Prevenzione degli attacchi DoS

Questa pagina si applica ad Apigee, ma non ad Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Un attacco Denial of Service (DoS) è un tentativo di rendere il tuo servizio o la tua applicazione non disponibile per gli utenti finali. Con gli attacchi Distributed Denial of Service (DDoS), gli aggressori utilizzano più risorse (spesso un numero elevato di host/istanze compromessi) per orchestrare attacchi su larga scala contro i target.

L'architettura Apigee crea una connessione in peering tra due reti: un progetto tenant gestito da Google (il VPC Apigee) e un progetto gestito dal cliente (il VPC cliente). Per mitigare o prevenire attacchi DoS su queste reti, assicurati di seguire le best practice per la protezione dagli attacchi DDoS e la mitigazione dei rischi correlati su Google Cloud (PDF).

Se esponi le tue API esternamente, potresti essere vulnerabile agli attacchi DoS. Per mitigare questo problema, Cloud Load Balancing include alcune protezioni integrate, tra cui:

  • Protezione tramite l'infrastruttura Google Front End:con Cloud Load Balancing, l'infrastruttura Google Front End termina il traffico utente e si adatta automaticamente per assorbire determinati tipi di attacchi (come i flood SYN) prima che raggiungano le istanze Compute Engine.
  • Bilanciamento del carico basato su anycast:Cloud Load Balancing consente a un singolo IP anycast di fungere da frontend per le istanze Apigee in tutte le regioni. Il traffico viene indirizzato al backend più vicino. In caso di attacco DDoS, GCLB aumenta la superficie per assorbire l'attacco spostando il traffico verso istanze con capacità disponibile in qualsiasi regione in cui sono implementati i backend.

Oltre a Cloud Load Balancing, puoi aggiungere Google Cloud Armor per proteggere gli endpoint API da attacchi DoS e web. Cloud Armor offre vantaggi quali:

  • Controllo controllo dell'accesso basato su IP e dati geografici:filtra il traffico in entrata in base agli indirizzi IPv4 e IPv6 o agli intervalli di indirizzi (CIDR). Applica i controlli degli accessi basati sui dati geografici per accettare o rifiutare il traffico in base ai dati geografici di origine utilizzando la mappatura geoIP di Google.
  • Supporto per deployment ibridi e multi-cloud:difendi le applicazioni da attacchi web o di tipo DDoS e applica criteri di sicurezza di livello 7, indipendentemente dal fatto che il deployment dell'applicazione sia stato eseguito su Google Cloud oppure in un'architettura ibrida o multi-cloud.
  • Visibilità e monitoraggio: monitora con facilità tutte le metriche associate ai tuoi criteri di sicurezza nella dashboard di Cloud Monitoring. Puoi anche visualizzare i pattern di traffico sospetti delle applicazioni da Cloud Armor direttamente nella dashboard di Security Command Center.
  • Regole WAF preconfigurate:regole pronte all'uso del ModSecurity Core Rule Set per difenderti dagli attacchi di tipo cross-site scripting (XSS) e SQL injection. Le regole RFI, LFI e RCE sono disponibili in versione beta. Scopri di più nella nostra guida alle regole WAF.
  • Elenchi di IP denominati:consenti o nega il traffico attraverso un criterio di sicurezza di Cloud Armor basato su un elenco di IP denominati selezionato (beta).

Per ulteriori informazioni, consulta Google Cloud Armor.