您正在查看 Apigee Edge 文档。
前往 Apigee X 文档。 信息
分布式拒绝服务 (DDoS) 攻击越来越大,也越来越常见。最近的攻击流量创下了历史新高,预计未来还会继续恶化。这些攻击的规模之大,迫使所有人重新评估自己的防御措施。现在,通过使用被入侵的 IoT 设备,DDoS 攻击的规模比以往大得多。
Apigee 的 DDoS 防御机制旨在保护每个客户数据中心中的客户 API。Apigee Edge Cloud 专为接受大量流量而设计,可作为过滤器,让真实请求流向客户数据中心及其 API 接口,同时丢弃恶意流量、监控流量激增情况、管理速率限制,并在攻击期间确保客户保持在线。
Apigee 可以检测流量量激增的情况,但我们无法确定该激增是攻击、成功的广告系列还是向最终用户发布的新应用所致。Apigee 不会主动查看 API 调用内容,以确定哪些调用是合法的,哪些调用可能是攻击。您可以查看 API 调用,但这不是 Apigee 的正常操作。我们不会审核客户载荷,因为这会侵犯大多数流量、客户和最终用户的隐私。Apigee 不知道周二下午的特定峰值是由于攻击造成的,还是由于客户突然成功采用了应用和服务造成的。Apigee 可以看到激增情况,但如果没有对客户来说显而易见但对 Apigee 来说却不可用的其他详细信息和背景信息,我们就不知道如何应对。最糟糕的情况是,Apigee 屏蔽了一次攻击,但后来发现该攻击是一次重大的营销活动,而 Apigee 却在该应用的热门时期屏蔽了它。
Apigee 如何防范 DDoS 攻击?
Apigee Edge 是安全工具箱中的一款工具。客户可以根据需要配置该工具,以阻止恶意流量、限制过多但有效的流量,或处理比客户后端能够响应的速度更快的请求,并防止客户的数据中心过载。Apigee Edge 提供的功能可让客户创建非常具体的安全政策,以保护 Apigee 背后的实际 API 服务。Edge 是一种防御层,可根据需要扩容以吸收大量流量高峰(例如 DDoS 攻击),同时限制对后端(客户的数据中心)的影响。
由于 Apigee 不会为每个客户管理和查询每次调用的载荷,因此客户需要自行识别攻击。但应与客户和 Apigee 协调对攻击的响应。Apigee 甚至可以根据需要调用云服务提供商 (GCP 或 AWS)。
Apigee、GCP 和 AWS 不会将要发送给客户的流量丢弃。如果 Apigee 确定流量是恶意的,我们会与客户沟通并提供帮助。不过,由于 Apigee Edge 的规模,流量的简单数量并不能成为屏蔽流量的触发器。
客户可以使用 Edge 创建政策来防范攻击(包括 DDoS 攻击)。这些政策并非开箱即用。这意味着每个客户的 API、数据或服务都没有任何独特之处。在没有客户提供信息的情况下,Apigee 无法启用这些政策。这意味着 Apigee 会审核客户的数据,并决定哪些数据有效,哪些数据无效。
Edge 是一款工具,可用于执行客户保护 API 所需的操作。不过,客户需要完成一些工作才能使用 API 防御功能。
目的是保护客户 API 服务。这是 Edge Cloud 的功能之一。
实际上,关键在于尽可能远离实际 API 来屏蔽不同类型的 DDoS 流量:
- 在 Cloud 的网络上屏蔽格式错误的网络数据包
- 在边缘平台层吸收大量格式正确但不完整的数据包
- 在 Edge 层丢弃格式错误的 API 调用
- 在 Edge 中屏蔽格式正确但未经授权的调用
- 阻止 Edge 中格式正确且已获授权但过多的调用
- 使用 Sense 检测格式正确、有效的密钥,以及超出预期或允许访问范围的有效 API 请求
- 仅将有效、已获授权、可接受且在已获批准的限制范围内的 API 调用传递给客户数据中心
其他常见问题
Apigee 能否禁止索引 (ip|country|url)?
是的,如果此政策是在客户的 Edge 组织中创建、配置和启用的。
Apigee 能否检测到聊天机器人或类似的恶意活动?
Apigee 提供一项名为 Sense 的聊天机器人检测服务。
Apigee 会为我屏蔽流量吗?
Apigee 不会将要发送给客户的流量丢弃。如果 Apigee 能够确定流量是恶意的,我们会与客户沟通并提供帮助。不过,由于 Apigee Edge 和我们的云服务提供商(GCP 和 AWS)的规模,流量绝对量并非导致流量被屏蔽的触发因素。
DoS 或 DDoS 攻击是否会计入 Edge 中处理的 API 调用?
Apigee Edge 是一种有助于防止滥用客户后端系统的解决方案。因此,在发生攻击时,Edge 会根据配置强制执行配额/突发流量限制/威胁防范等措施,以在 Apigee Cloud 层吸收滥用行为。拥有有效 API 密钥且未达到配额限制的用户仍可继续访问该 API。在我们层级处理的任何 API 调用都将计为已处理的调用。Apigee Edge 是安全工具箱中的一款工具,可帮助客户防范 DDoS 攻击和其他类型的攻击。
详细的 DDoS 防御信息
- GCP 和 AWS 会根据需要(发生非常大规模的攻击)在网络级别提供 DDoS 帮助。
- Apigee 会在 GCP 和 AWS 中维护安全联系人,以便在需要 GCP 或 AWS 协助来响应攻击时进行上报和响应。
- Apigee Edge 可用于实现政策,以保护客户 API 免受攻击。
- 速率限制。
- SpikeArrest。
- XML 载荷攻击检测。
- 您还可以编写其他政策来防范特定攻击。
- Edge 会将自动扩缩作为防御功能。
- 在遭受 DDoS 攻击期间,Apigee 和客户(以及 GCP 或 AWS)需要通力合作。坦诚沟通非常重要,Apigee 的支持团队随时可提供安全资源。
对 DDoS 攻击的首要响应是使用 Apigee Edge 来帮助防范攻击:启用突发流量抑制、速率限制,甚至将来源 IP 地址列入拒绝名单。Edge 中提供了许多用于防范 DDoS 攻击的工具。
如果攻击量足够大,Apigee 可以与客户合作,将问题上报给相应的云服务提供商,以寻求“上游协助”。由于每种 DDoS 攻击都是独特的,因此响应将在攻击期间确定。不过,AWS 上的拒绝服务攻击缓解中记录了有助于上报问题的最佳实践和详细信息。
请记住以下要点:
制定针对攻击的计划。别忘了,我们一起努力。 如果客户怀疑自己受到了攻击,应创建工单并请求 Apigee 提供帮助。
GCP
Apigee 使用 DDoS 防范和缓解最佳实践中所述的 GCP 提供的防御措施,例如:
- 虚拟网络
- 防火墙规则
- 负载平衡
AWS
AWS 发布了提高 DDoS 弹性功能的最佳实践和如何通过缩小攻击面来为 DDoS 攻击做好准备。Apigee 使用了适用于我们环境的以下几种方法:
- VPC
- 安全组
- ACL
- Route53
- 负载平衡