Un ataque de denegación de servicio (DoS) es un intento de hacer que tu servicio o aplicación no esté disponible para tus usuarios finales. En los ataques de denegación de servicio distribuido (DDoS), los atacantes usan varios recursos (a menudo, un gran número de hosts o instancias vulnerados) para orquestar ataques a gran escala contra objetivos.
Si expones tus APIs externamente, puedes ser vulnerable a ataques de denegación de servicio (DoS). Para mitigar este problema, Cloud Load Balancing incluye algunas protecciones integradas, como las siguientes:
Protección de la infraestructura de frontend de Google: con Cloud Load Balancing, la infraestructura de frontend de Google finaliza el tráfico de los usuarios y se escala automáticamente para absorber determinados tipos de ataques (como las inundaciones SYN) antes de que lleguen a tus instancias de Compute Engine.
Balanceo de carga basado en Anycast: Cloud Load Balancing permite que una sola IP Anycast actúe como frontend de las instancias de Apigee en todas las regiones. El tráfico se dirige al backend más cercano. En caso de ataque DDoS, GCLB aumenta la superficie para absorber el ataque moviendo el tráfico a instancias con capacidad disponible en cualquier región en la que se hayan desplegado backends.
Además de Cloud Load Balancing, puedes añadir Google Cloud Armor para proteger tus endpoints de API frente a ataques DoS y web. Cloud Armor ofrece ventajas como las siguientes:
Control de acceso basado en IP y en geolocalización: filtra el tráfico entrante en función de las direcciones IPv4 e IPv6 o de los intervalos de direcciones (CIDR). Aplica controles de acceso basados en la ubicación para permitir o rechazar el tráfico según la información geográfica mediante la asignación de GeoIP de Google.
Compatibilidad con implementaciones híbridas y multinube: protege las aplicaciones frente a ataques DDoS o web e implementa políticas de seguridad de capa 7, tanto si tu aplicación está desplegada en Google Cloud como si lo está en una arquitectura híbrida o multinube.
Visibilidad y monitorización: monitoriza fácilmente todas las métricas asociadas a tus políticas de seguridad en el panel de Cloud Monitoring. También puedes ver los patrones de tráfico de aplicaciones sospechosos desde Cloud Armor directamente en el panel de Security Command Center.
Reglas de cortafuegos de aplicación web (WAF) preconfiguradas: reglas listas para usar del conjunto de reglas principales de ModSecurity para protegerte frente a las vulnerabilidades de tipo cross-site scripting (XSS) y los ataques de inyección de SQL. Las reglas de RFI, LFI y RCE también están disponibles en la versión beta. Consulta más información en nuestra guía de reglas de WAF.
Listas de IPs con nombres: permite o deniega el tráfico con una política de seguridad de Cloud Armor basada en una lista seleccionada de IPs con nombres (versión beta).
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-21 (UTC)."],[[["\u003cp\u003eThis content discusses Denial of Service (DoS) and Distributed Denial of Service (DDoS) attacks within the context of Apigee, specifically excluding Apigee hybrid.\u003c/p\u003e\n"],["\u003cp\u003eApigee's architecture utilizes a peering connection between a Google-managed tenant project and a customer-managed Virtual Private Cloud (VPC).\u003c/p\u003e\n"],["\u003cp\u003eCloud Load Balancing offers built-in protections against certain attacks, including using Google's frontend infrastructure and anycast-based load balancing.\u003c/p\u003e\n"],["\u003cp\u003eGoogle Cloud Armor can be added to protect API endpoints, offering features such as IP and geo-based access control, support for hybrid and multi-cloud deployments, and pre-configured WAF rules.\u003c/p\u003e\n"],["\u003cp\u003eFollowing the "Best Practices for DDoS Protection and Mitigation on Google Cloud Platform" is recommended to mitigate or prevent DoS attacks.\u003c/p\u003e\n"]]],[],null,["# Preventing DoS attacks\n\n*This page\napplies to **Apigee** , but not to **Apigee hybrid**.*\n\n\n*View [Apigee Edge](https://docs.apigee.com/api-platform/get-started/what-apigee-edge) documentation.*\n\nA Denial of Service (DoS) attack is an attempt to render your service or application\nunavailable to your end users. With Distributed Denial of Service (DDoS) attacks, the\nattackers use multiple resources (often a large number of compromised\nhosts/instances) to orchestrate large scale attacks against targets.\n\nThe Apigee architecture creates a peering connection between two networks: a Google-managed\ntenant project (the *Apigee* ) and a customer-managed project (the\n*Customer VPC* ). To mitigate or prevent DoS attacks on these networks, be sure to follow the\n[Best\nPractices for DDoS Protection and Mitigation on Google Cloud Platform](/static/files/GCPDDoSprotection-04122016.pdf) (PDF).\n\nIf you expose your APIs externally, you can be vulnerable to DoS attacks. To mitigate this,\nCloud Load Balancing includes some built-in protections, including:\n\n- **Protection by Google Frontend infrastructure:** With Cloud Load Balancing, the Google frontend infrastructure terminates user traffic and automatically scales to absorb certain types of attacks (such as SYN floods) before they reach your Compute Engine instances.\n- **Anycast-based Load Balancing:** Cloud Load Balancing enables a single anycast IP to front-end Apigee instances in all regions. Traffic is directed to the closest backend; in the event of a DDoS attack, GCLB increases the surface area to absorb the attack by moving traffic to instances with available capacity in any region where backends are deployed.\n\nIn addition to Cloud Load Balancing, you can add Google Cloud Armor to protect your API endpoints\nagainst DoS and web attacks. Cloud Armor provides benefits such as:\n\n- **IP-based and geo-based access control:** Filter your incoming traffic based on IPv4 and IPv6 addresses or address ranges (CIDRs). Enforce geography-based access controls to allow or deny traffic based on source geo using Google's geoIP mapping.\n- **Support for hybrid and multi-cloud deployments:** Help defend applications from DDoS or web attacks and enforce Layer 7 security policies whether your application is deployed on Google Cloud or in a hybrid or multi-cloud architecture.\n- **Visibility and monitoring:** Easily monitor all of the metrics associated with your security policies in the Cloud Monitoring dashboard. You can also view suspicious application traffic patterns from Cloud Armor directly in the Security Command Center dashboard.\n- **Pre-configured WAF rules:** Out-of-the-box rules from the ModSecurity Core Rule Set to help defend against attacks like cross-site scripting (XSS) and SQL injection. RFI, LFI, and RCE rules are also available in beta. Learn more in our WAF rules guide.\n- **Named IP Lists:** Allow or deny traffic through a Cloud Armor security policy based on a curated Named IP List (beta).\n\nFor more information, see [Google Cloud Armor](/armor).\n\n*[VPC]: Virtual Private Cloud"]]