Bei einem DoS-Angriff (Denial of Service) wird versucht, einen Dienst oder eine Anwendung für Endnutzer nicht verfügbar zu machen. Bei DDoS-Angriffen (Distributed Denial of Service) verwenden Angreifer mehrere Ressourcen (oft eine große Anzahl kompromittierter Hosts/Instanzen), um groß angelegte Angriffe gegen Ziele zu orchestrieren.
Die Apigee-Architektur stellt eine Peering-Verbindung zwischen zwei Netzwerken her: einem von Google verwalteten Mandantenprojekt (Apigee VPC) und einem vom Kunden verwalteten Projekt (Kunden-VPC). Halten Sie sich an die Best Practices für den DDoS-Schutz und die Risikominderung auf der Google Cloud Platform (PDF), um DoS-Angriffe auf diese Netzwerke zu verhindern oder abzuschwächen.
Wenn Sie Ihre APIs extern freigeben, können Sie zum Ziel von DoS-Angriffen werden. Zur Lösung dieses Problem bietet Cloud Load Balancing einige integrierte Schutzmaßnahmen, zum Beispiel:
Schutz durch die Google Frontend-Infrastruktur: Mit Cloud Load Balancing beendet die Google-Frontend-Infrastruktur den Nutzertraffic und skaliert automatisch, um bestimmte Arten von Angriffen (z. B. SYN-Floods) abzufangen, bevor sie Compute Engine-Instanzen erreichen.
Anycast-basiertes Load-Balancing: Cloud Load Balancing ermöglicht eine einzelne Anycast-IP zu Frontend-Apigee-Instanzen in allen Regionen. Der Traffic wird an das nächstgelegene Back-End weitergeleitet. Im Falle eines DDoS-Angriffs erweitert GCLB die Oberfläche, um den Angriff abzufangen, indem der Traffic an Instanzen mit ausreichender Kapazität in einer beliebigen Region übertragen wird, in der Back-Ends bereitgestellt werden.
Zusätzlich zu Cloud Load Balancing können Sie Google Cloud Armor hinzufügen, um Ihre API-Endpunkte vor DoS- und Webangriffen zu schützen. Cloud Armor bietet folgende Vorteile:
IP-basierte und standortbasierte Zugriffssteuerung: Filtern Sie eingehenden Traffic anhand der IPv4- und IPv6-Adressen oder -Adressbereichen (CIDRs). Setzen Sie eine standortbasierte Zugriffssteuerung durch, um Traffic mit der Geo-IP-Zuordnung von Google abhängig vom Standort der Quelle zuzulassen oder abzulehnen.
Unterstützung für Hybrid- und Multi-Cloud-Bereitstellungen: Schützen Sie Anwendungen vor DDoS- oder Webangriffen und setzen Sie Layer-7-Sicherheitsrichtlinien durch, unabhängig davon, ob Ihre Anwendung in Google Cloud oder in einer Hybrid- oder Multi-Cloud-Architektur bereitgestellt ist
Sichtbarkeit und Monitoring: Behalten Sie die Messwerte, die mit Ihren Sicherheitsrichtlinien zusammenhängen, auf dem Cloud Monitoring-Dashboard im Blick. Sie können verdächtige Muster im Anwendungstraffic aus Cloud Armor auch direkt im Dashboard des Security Command Centers aufrufen.
Vorkonfigurierte WAF-Regeln: Sofort verfügbare Regeln aus dem Mod Security Core Rule Set, um sich vor Angriffen wie Cross-Site-Scripting (XSS) und SQL-Injection zu schützen. In der Betaversion sind außerdem RFI-, LFI- und RCE-Regeln verfügbar. Weitere Informationen finden Sie in unserem Leitfaden zu WAF-Regeln.
Benannte IP-Listen: Sie können Traffic mit einer Cloud Armor-Sicherheitsrichtlinie auf der Grundlage einer ausgewählten benannten IP-Liste (Beta) zulassen oder ablehnen
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-05 (UTC)."],[[["\u003cp\u003eThis content discusses Denial of Service (DoS) and Distributed Denial of Service (DDoS) attacks within the context of Apigee, specifically excluding Apigee hybrid.\u003c/p\u003e\n"],["\u003cp\u003eApigee's architecture utilizes a peering connection between a Google-managed tenant project and a customer-managed Virtual Private Cloud (VPC).\u003c/p\u003e\n"],["\u003cp\u003eCloud Load Balancing offers built-in protections against certain attacks, including using Google's frontend infrastructure and anycast-based load balancing.\u003c/p\u003e\n"],["\u003cp\u003eGoogle Cloud Armor can be added to protect API endpoints, offering features such as IP and geo-based access control, support for hybrid and multi-cloud deployments, and pre-configured WAF rules.\u003c/p\u003e\n"],["\u003cp\u003eFollowing the "Best Practices for DDoS Protection and Mitigation on Google Cloud Platform" is recommended to mitigate or prevent DoS attacks.\u003c/p\u003e\n"]]],[],null,["# Preventing DoS attacks\n\n*This page\napplies to **Apigee** , but not to **Apigee hybrid**.*\n\n\n*View [Apigee Edge](https://docs.apigee.com/api-platform/get-started/what-apigee-edge) documentation.*\n\nA Denial of Service (DoS) attack is an attempt to render your service or application\nunavailable to your end users. With Distributed Denial of Service (DDoS) attacks, the\nattackers use multiple resources (often a large number of compromised\nhosts/instances) to orchestrate large scale attacks against targets.\n\nThe Apigee architecture creates a peering connection between two networks: a Google-managed\ntenant project (the *Apigee* ) and a customer-managed project (the\n*Customer VPC* ). To mitigate or prevent DoS attacks on these networks, be sure to follow the\n[Best\nPractices for DDoS Protection and Mitigation on Google Cloud Platform](/static/files/GCPDDoSprotection-04122016.pdf) (PDF).\n\nIf you expose your APIs externally, you can be vulnerable to DoS attacks. To mitigate this,\nCloud Load Balancing includes some built-in protections, including:\n\n- **Protection by Google Frontend infrastructure:** With Cloud Load Balancing, the Google frontend infrastructure terminates user traffic and automatically scales to absorb certain types of attacks (such as SYN floods) before they reach your Compute Engine instances.\n- **Anycast-based Load Balancing:** Cloud Load Balancing enables a single anycast IP to front-end Apigee instances in all regions. Traffic is directed to the closest backend; in the event of a DDoS attack, GCLB increases the surface area to absorb the attack by moving traffic to instances with available capacity in any region where backends are deployed.\n\nIn addition to Cloud Load Balancing, you can add Google Cloud Armor to protect your API endpoints\nagainst DoS and web attacks. Cloud Armor provides benefits such as:\n\n- **IP-based and geo-based access control:** Filter your incoming traffic based on IPv4 and IPv6 addresses or address ranges (CIDRs). Enforce geography-based access controls to allow or deny traffic based on source geo using Google's geoIP mapping.\n- **Support for hybrid and multi-cloud deployments:** Help defend applications from DDoS or web attacks and enforce Layer 7 security policies whether your application is deployed on Google Cloud or in a hybrid or multi-cloud architecture.\n- **Visibility and monitoring:** Easily monitor all of the metrics associated with your security policies in the Cloud Monitoring dashboard. You can also view suspicious application traffic patterns from Cloud Armor directly in the Security Command Center dashboard.\n- **Pre-configured WAF rules:** Out-of-the-box rules from the ModSecurity Core Rule Set to help defend against attacks like cross-site scripting (XSS) and SQL injection. RFI, LFI, and RCE rules are also available in beta. Learn more in our WAF rules guide.\n- **Named IP Lists:** Allow or deny traffic through a Cloud Armor security policy based on a curated Named IP List (beta).\n\nFor more information, see [Google Cloud Armor](/armor).\n\n*[VPC]: Virtual Private Cloud"]]