DoS-Angriffe verhindern

Diese Seite gilt für Apigee, aber nicht für Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Bei einem DoS-Angriff (Denial of Service) wird versucht, einen Dienst oder eine Anwendung für Endnutzer nicht verfügbar zu machen. Bei DDoS-Angriffen (Distributed Denial of Service) verwenden Angreifer mehrere Ressourcen (oft eine große Anzahl kompromittierter Hosts/Instanzen), um groß angelegte Angriffe gegen Ziele zu orchestrieren.

Die Apigee-Architektur stellt eine Peering-Verbindung zwischen zwei Netzwerken her: einem von Google verwalteten Mandantenprojekt (Apigee VPC) und einem vom Kunden verwalteten Projekt (Kunden-VPC). Halten Sie sich an die Best Practices für den DDoS-Schutz und die Risikominderung auf der Google Cloud Platform (PDF), um DoS-Angriffe auf diese Netzwerke zu verhindern oder abzuschwächen.

Wenn Sie Ihre APIs extern freigeben, können Sie zum Ziel von DoS-Angriffen werden. Zur Lösung dieses Problem bietet Cloud Load Balancing einige integrierte Schutzmaßnahmen, zum Beispiel:

• Schutz durch die Google Frontend-Infrastruktur: Mit Cloud Load Balancing beendet die Google-Frontend-Infrastruktur den Nutzertraffic und skaliert automatisch, um bestimmte Arten von Angriffen (z. B. SYN-Floods) abzufangen, bevor sie Compute Engine-Instanzen erreichen.
• Anycast-basiertes Load-Balancing: Cloud Load Balancing ermöglicht eine einzelne Anycast-IP zu Frontend-Apigee-Instanzen in allen Regionen. Der Traffic wird an das nächstgelegene Back-End weitergeleitet. Im Falle eines DDoS-Angriffs erweitert GCLB die Oberfläche, um den Angriff abzufangen, indem der Traffic an Instanzen mit ausreichender Kapazität in einer beliebigen Region übertragen wird, in der Back-Ends bereitgestellt werden.

Zusätzlich zu Cloud Load Balancing können Sie Google Cloud Armor hinzufügen, um Ihre API-Endpunkte vor DoS- und Webangriffen zu schützen. Cloud Armor bietet folgende Vorteile:

• IP-basierte und standortbasierte Zugriffssteuerung: Filtern Sie eingehenden Traffic anhand der IPv4- und IPv6-Adressen oder -Adressbereichen (CIDRs). Setzen Sie eine standortbasierte Zugriffssteuerung durch, um Traffic mit der Geo-IP-Zuordnung von Google abhängig vom Standort der Quelle zuzulassen oder abzulehnen.
• Unterstützung für Hybrid- und Multi-Cloud-Bereitstellungen: Schützen Sie Anwendungen vor DDoS- oder Webangriffen und setzen Sie Layer-7-Sicherheitsrichtlinien durch, unabhängig davon, ob Ihre Anwendung in Google Cloud oder in einer Hybrid- oder Multi-Cloud-Architektur bereitgestellt ist
• Sichtbarkeit und Monitoring: Behalten Sie die Messwerte, die mit Ihren Sicherheitsrichtlinien zusammenhängen, auf dem Cloud Monitoring-Dashboard im Blick. Sie können verdächtige Muster im Anwendungstraffic aus Cloud Armor auch direkt im Dashboard des Security Command Centers aufrufen.
• Vorkonfigurierte WAF-Regeln: Sofort verfügbare Regeln aus dem Mod Security Core Rule Set, um sich vor Angriffen wie Cross-Site-Scripting (XSS) und SQL-Injection zu schützen. In der Betaversion sind außerdem RFI-, LFI- und RCE-Regeln verfügbar. Weitere Informationen finden Sie in unserem Leitfaden zu WAF-Regeln.
• Benannte IP-Listen: Sie können Traffic mit einer Cloud Armor-Sicherheitsrichtlinie auf der Grundlage einer ausgewählten benannten IP-Liste (Beta) zulassen oder ablehnen

Weitere Informationen finden Sie unter Google Cloud Armor.