Edge 中的分散式阻斷服務防護

您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件
資訊

分散式阻斷服務 (DDoS) 攻擊的規模不斷擴大,且較常見。就近期的攻擊事件而言,發生記錄設定的流量和預測工作量會不斷惡化。這些攻擊的規模過於龐大,導致每個人重新評估自己的防禦能力。隨著使用遭駭的 IoT 裝置,DDoS 攻擊的規模也比以往大上許多。

Apigee 的 DDoS 防禦機制旨在保護各個客戶資料中心內的客戶 API。Apigee Edge Cloud 可接收大量流量,因此能保持真實要求傳送至客戶資料中心和其 API 介面,同時減少惡意流量、監控流量高峰、管理頻率限制,以及讓客戶在線上遭受攻擊。

Apigee 可以偵測流量遽增的情況,但無法判斷流量遽增是否為攻擊、廣告活動成功,或是推出向使用者發布的新應用程式。Apigee 不會主動查看 API 呼叫,以判斷哪些呼叫是否合法,以及哪些可能是攻擊。您也可以查看 API 呼叫,但這麼做並不屬於 Apigee 的一般作業。我們不會審查客戶酬載,因為這類酬載可能對大多數流量、客戶和使用者造成隱私權侵犯。Apigee 不知道每週二下午的高峰是否為客戶遭受攻擊或突然成功採用的應用程式和服務。Apigee 可以察覺高峰,但若沒有客戶顯而易見,但無法使用 Apigee 提供的其他細節和背景資訊,我們就無法判斷該如何因應。最糟的情況是,如果 Apigee 只阻擋了攻擊,卻發現遊戲在熱潮期間受到嚴重行銷的成功,而 Apigee 剛剛終止了該應用程式,則屬於最嚴重的情況。

Apigee 如何防範分散式阻斷服務攻擊?

Apigee Edge 是安全性工具箱中的一項工具。客戶可使用這項工具視需求進行設定,藉此封鎖惡意流量、限制有效但過多的流量,或是處理負載比客戶的後端快得更快,避免客戶的資料中心負荷過重。Apigee Edge 提供多項功能,讓我們客戶可以建立非常明確的安全性政策,保護 Apigee 背後的實際 API 服務。邊緣是一種防禦層,可以視需求調度資源,以吸收大量的尖峰流量 (例如分散式阻斷服務攻擊),同時減少對後端 (客戶的資料中心) 造成的影響。

由於 Apigee 不會管理及乾涉每位客戶每次呼叫的酬載,因此能識別客戶受攻擊的其餘部分。不過,攻擊的回應應與客戶和 Apigee 協調。如有需要,Apigee 甚至可以整合雲端服務供應商 (GCP 或 AWS)。

Apigee、GCP 和 AWS 不會遺漏歸給客戶的流量。若 Apigee 判定該流量惡意,將會與客戶溝通並給予協助。不過,由於 Apigee Edge 的規模龐大,因此簡單的流量並不是封鎖流量的觸發條件。

客戶可以使用 Edge 建立用來防範攻擊的政策 (包含在 DDoS 中)。這些政策並非立即預先建構。這可能表示每位客戶的 API、資料或服務並沒有獨特之處。Apigee 需要客戶輸入內容才能啟用這些政策。這代表 Apigee 正在審查客戶資料,並就有效與無效項目做出決策。

Edge 是一項要使用的工具,可用於執行客戶保護 API 所需的作業。但 API 防禦機制需要客戶來點工夫。

目標是保護客戶的 API 服務。這正是 Edge Cloud 的其中一項特色與功能。

其實,要封鎖不同類型的 DDoS 流量,就必須盡可能遠離實際 API:

  • 在 Cloud 網路中封鎖格式錯誤的網路封包
  • 在 Edge 平台層吸取適當格式卻不完整的封包
  • 在 Edge 層捨棄格式錯誤的 API 呼叫
  • 封鎖格式正確但未經授權的呼叫
  • 封鎖格式正確且授權,但在 Edge 內進行過多呼叫
  • 使用 Sense 偵測格式正確、有效的金鑰、有效的 API 要求,這些要求超出預期或允許的存取範圍
  • 只將有效、獲得授權、可接受的,且在已核准的限制範圍內,向客戶資料中心傳遞 API 呼叫

其他常見問題

Apigee 是否可以拒絕 (ip|country|url) 清單?

是,請在客戶的 Edge 機構中建立、設定和啟用政策。

Apigee 能夠偵測機器人或類似的惡意活動嗎?

Apigee 提供稱為 Sense 的機器人偵測服務。

Apigee 是否會為我黑洞流量?

Apigee 不會反制目標客戶的流量。如果 Apigee 判定該流量惡意,我們會與客戶溝通並提供協助。不過,由於 Apigee Edge 和我們的雲端服務供應商 (GCP 和 AWS) 規模龐大,因此流量並不多,因此不會觸發封鎖流量。

阻斷服務攻擊或分散式阻斷服務攻擊是否會計入 Edge 中已處理的 API 呼叫?

Apigee Edge 是一項解決方案,可防止客戶後端系統遭到濫用。因此,發生攻擊時,Edge 會依據設定強制實施配額/遽增/威脅防護等措施,以便在 Apigee 雲端層吸收濫用行為。具備有效 API 金鑰且未超過配額限制的使用者仍可繼續存取該 API。凡是在圖層處理的 API 呼叫,都會計為已處理的呼叫。Apigee Edge 是安全性工具箱中的一項工具,可協助客戶防範分散式阻斷服務和其他類型攻擊。

詳細的 DDoS 防禦資訊

  1. GCP 和 AWS 會視需要在網路層級提供分散式阻斷服務支援 (十分龐大的攻擊)。
    • 如果需要 GCP 或 AWS 協助回應攻擊,Apigee 會在 GCP 和 AWS 上維護安全性聯絡人,以便提報及回應。
  2. Apigee Edge 可用於實作政策,保護客戶 API 不受攻擊。
    • 頻率限制。
    • 刺釘逮捕。
    • XML 酬載攻擊偵測。
    • 您也可以撰寫其他政策來抵禦特定攻擊。
  3. 邊緣使用自動調整資源配置功能,做為我們的防禦機制。
  4. Apigee 和客戶 (以及 GCP 或 AWS) 在 DDoS 攻擊期間必須攜手合作。開放式通訊相當重要,因此 Apigee 隨時都能與支援團隊通話的安全性資源。

第一個對分散式阻斷服務採取的回應,就是使用 Apigee Edge 來協助遭受攻擊,例如啟用尖峰流量防範、頻率限制,甚至拒絕列出來源 IP 位址。Edge 提供多項工具,可協助您防範 DDoS 攻擊。

如果攻擊次數夠多,Apigee 可以與客戶合作,向適當的雲端服務供應商提報「上游協助」。每項 DDoS 攻擊都是獨一無二的,因此系統在攻擊期間會判定回應。不過,協助提報問題的最佳做法和詳細資料已記載於「AWS 上的阻斷服務攻擊因應措施」。

請記住,關鍵是:

擬定攻擊計畫。別忘了,我們都在同一處。 如果客戶懷疑自己遭到攻擊,則應開啟支援單並要求 Apigee 的協助。

GCP

Apigee 採用 GCP 提供的防禦機制,如分散式阻斷服務保護與減輕攻擊的最佳做法中所述,例如:

  • 虛擬網路
  • 防火牆規則
  • 負載平衡

AWS

AWS 發布了強化分散式阻斷服務彈性的最佳做法如何藉由減少攻擊途徑來因應 DDoS 攻擊。Apigee 採用的其中幾項適用於我們環境:

  • 虛擬私有雲
  • 安全性群組
  • 存取控制清單 (ACL)
  • Route53
  • 負載平衡