Edge 中的分散式阻斷服務防護

您正在查看 Apigee Edge 說明文件。
前往 Apigee X 說明文件 info

分散式阻斷服務 (DDoS) 攻擊的規模與頻率越來越大,近期的攻擊造成的流量創下新高,且預測情況會持續惡化。這些攻擊規模龐大,讓所有人都重新評估防禦措施。透過遭到入侵的物聯網裝置,DDoS 攻擊的規模如今已遠遠超越以往。

Apigee 的 DDoS 防護措施旨在保護每位客戶資料中心中的客戶 API。Apigee Edge Cloud 可接受大量流量,並充當篩選器,讓真實要求流向客戶資料中心和其 API 介面,同時捨棄惡意流量、監控流量尖峰、管理速率限制,並讓客戶在遭受攻擊時仍能保持連線。

Apigee 可以偵測流量量激增,但無法判斷這類激增是否為攻擊、成功的廣告活動,或是向使用者發布的全新應用程式。Apigee 不會主動查看 API 呼叫內容,判斷哪些呼叫是合法的,哪些呼叫可能是攻擊。您可以查看 API 呼叫,但這並非 Apigee 的正常作業。我們不會審查客戶酬載,因為這會侵犯大部分流量、客戶和使用者的隱私權。Apigee 不知道週二下午的特定尖峰是否是因為遭到攻擊,或是客戶突然採用應用程式和服務。Apigee 可以看到流量激增,但如果沒有客戶明顯可見,但 Apigee 無法取得的其他詳細資料和背景資訊,我們就無法得知如何回應。最糟糕的情況是,Apigee 封鎖攻擊後才發現,這其實是 Apigee 在熱門期間封鎖應用程式,導致重大行銷活動失敗。

Apigee 如何防範分散式阻斷服務攻擊?

Apigee Edge 是安全工具箱中的工具。客戶可視需要設定這項工具,以阻擋惡意流量、限制有效但過多的流量,或讓處理作業的載入速度快於客戶的後端可回應的速度,並防止客戶資料中心過度負載。Apigee Edge 提供的功能可讓客戶建立非常明確的安全性政策,保護 Apigee 背後的實際 API 服務。Edge 是防禦層,可視需要調整資源配置,以吸收大量流量尖峰 (例如 DDoS 攻擊),同時限制對後端 (客戶的資料中心) 的影響。

由於 Apigee 不會管理及查詢每位客戶的每個呼叫酬載,因此客戶必須自行識別攻擊。但應與客戶和 Apigee 協調,以便回應攻擊。必要時,Apigee 甚至可以納入雲端供應商 (GCP 或 AWS)。

Apigee、GCP 和 AWS 不會將流量導向客戶的黑洞。如果 Apigee 判定流量含有惡意,我們會與客戶溝通並提供協助。不過,由於 Apigee Edge 的規模,單純的流量量並不會觸發封鎖流量。

客戶可以使用 Edge 建立防範攻擊 (包括分散式阻斷服務攻擊) 的政策。這些政策並非預先建構。這表示每位客戶的 API、資料或服務都沒有任何獨特之處。沒有客戶的意見回饋,Apigee 無法啟用這些政策。這表示 Apigee 會審查客戶的資料,並決定哪些資料有效,哪些資料無效。

Edge 是可用的工具,可用於執行客戶保護 API 所需的操作。不過,API 防護功能需要客戶進行一些工作。

目的是保護客戶的 API 服務。這正是 Edge Cloud 的特色與功能之一。

其實,只要盡可能將不同類型的 DDoS 流量阻擋在實際 API 之外即可:

  • 在 Cloud 網路中封鎖格式錯誤的網路封包
  • 在 Edge 平台層吸收大量正確格式但不完整的封包
  • 在 Edge 層中捨棄格式不正確的 API 呼叫
  • 封鎖 Edge 中正確格式但未經授權的呼叫
  • 封鎖 Edge 中正確形成且已授權的過多呼叫
  • 使用 Sense 偵測正確格式的有效金鑰、有效的 API 要求,這些項目不屬於預期或允許的存取權
  • 只將有效、經授權、可接受且符合核准限制的 API 呼叫傳遞至客戶資料中心

其他常見問題

Apigee 可以將 (ip|country|url) 列入拒絕清單嗎?

可以,前提是客戶在 Edge 的組織中,已在 Edge 中建立、設定及啟用政策。

Apigee 可以偵測到機器人或類似的惡意活動嗎?

Apigee 提供名為 Sense 的機器人偵測服務。

Apigee 會封鎖我的流量嗎?

Apigee 不會將流量導向客戶的黑洞。如果 Apigee 判定流量含有惡意,我們會與客戶溝通並提供協助。不過,由於 Apigee Edge 和我們的雲端服務供應商 (GCP 和 AWS) 的規模,流量量並不會觸發封鎖流量。

DoS 或 DDoS 攻擊是否會計為 Edge 中已處理的 API 呼叫?

Apigee Edge 是一種解決方案,可協助防止客戶後端系統遭到濫用。因此,在遭到攻擊時,Edge 會根據設定強制執行配額/尖峰封鎖/威脅防護等功能,以便在 Apigee Cloud 層吸收濫用行為。擁有有效 API 金鑰且未超過配額限制的使用者,仍可繼續存取該 API。在我們的層級處理的任何 API 呼叫都會計為已處理的呼叫。Apigee Edge 是安全性工具箱中的工具,可協助客戶防範 DDoS 和其他類型的攻擊。

詳細的分散式阻斷服務防護資訊

  1. GCP 和 AWS 會在網路層級提供分散式阻斷服務協助 (視需要/攻擊規模而定)。
    • 如果需要 GCP 或 AWS 協助回應攻擊事件,Apigee 會將安全性聯絡人轉介給 GCP 和 AWS,以便進行升級和回應。
  2. Apigee Edge 可用於實作政策,保護客戶的 API 不受攻擊。
    • 頻率限制。
    • 尖峰流量防範。
    • XML 酬載攻擊偵測。
    • 您也可以編寫其他政策,用於防範特定攻擊。
  3. Edge 會使用自動調整資源配置功能來防範攻擊。
  4. 在 DDoS 攻擊期間,Apigee 和客戶 (以及 GCP 或 AWS) 需要共同合作。開放式通訊十分重要,Apigee 的支援團隊隨時可提供安全性資源。

對 DDoS 的初步回應是使用 Apigee Edge 協助應對攻擊:啟用尖峰封鎖、速率限制,甚至將來源 IP 位址列入拒絕清單。Edge 提供許多工具,可防範分散式阻斷服務攻擊。

如果攻擊量相當龐大,Apigee 可以與客戶合作,將問題提報給適當的雲端服務供應商,以便取得「上游協助」。由於每起 DDoS 攻擊都各不相同,我們會在攻擊期間決定回應方式。不過,AWS 的阻斷服務攻擊緩解措施一文中列出了最佳做法和詳細資訊,有助於您瞭解如何提報問題。

請注意,鍵為:

建立攻擊計畫。別忘了,我們都在為共同目標一起努力。 如果客戶懷疑遭到攻擊,應開立支援單並要求 Apigee 提供協助。

GCP

Apigee 會使用 GCP 提供的防禦機制,如「DDoS 防護和減輕影響的最佳做法」中所述,例如:

  • 虛擬網路
  • 防火牆規則
  • 負載平衡

AWS

AWS 發布了DDoS 復原能力的最佳做法如何減少攻擊面,為 DDoS 攻擊做好準備。Apigee 會使用其中幾項適用於我們環境的工具:

  • 虛擬私有雲
  • 安全性群組
  • 存取控制清單 (ACL)
  • Route53
  • 負載平衡