Prevenir ataques DoS

Esta página se aplica a Apigee, pero no a Apigee Hybrid.

Consulta la documentación de Apigee Edge.

Un ataque de denegación de servicio (DoS) es un intento de hacer que tu servicio o aplicación no esté disponible para tus usuarios finales. En los ataques de denegación de servicio distribuido (DDoS), los atacantes usan varios recursos (a menudo, un gran número de hosts o instancias vulnerados) para orquestar ataques a gran escala contra objetivos.

La arquitectura de Apigee crea una conexión de emparejamiento entre dos redes: un proyecto de inquilino gestionado por Google (la VPC de Apigee) y un proyecto gestionado por el cliente (la VPC del cliente). Para mitigar o evitar ataques DoS en estas redes, sigue las prácticas recomendadas para la protección y la mitigación de ataques DDoS en Google Cloud Platform (PDF).

Si expones tus APIs externamente, puedes ser vulnerable a ataques de denegación de servicio (DoS). Para mitigar este problema, Cloud Load Balancing incluye algunas protecciones integradas, como las siguientes:

  • Protección de la infraestructura de frontend de Google: con Cloud Load Balancing, la infraestructura de frontend de Google finaliza el tráfico de los usuarios y se escala automáticamente para absorber determinados tipos de ataques (como las inundaciones SYN) antes de que lleguen a tus instancias de Compute Engine.
  • Balanceo de carga basado en Anycast: Cloud Load Balancing permite que una sola IP Anycast actúe como frontend de las instancias de Apigee en todas las regiones. El tráfico se dirige al backend más cercano. En caso de ataque DDoS, GCLB aumenta la superficie para absorber el ataque moviendo el tráfico a instancias con capacidad disponible en cualquier región en la que se hayan desplegado backends.

Además de Cloud Load Balancing, puedes añadir Google Cloud Armor para proteger tus endpoints de API frente a ataques DoS y web. Cloud Armor ofrece ventajas como las siguientes:

  • Control de acceso basado en IP y en geolocalización: filtra el tráfico entrante en función de las direcciones IPv4 e IPv6 o de los intervalos de direcciones (CIDR). Aplica controles de acceso basados en la ubicación para permitir o rechazar el tráfico según la información geográfica mediante la asignación de GeoIP de Google.
  • Compatibilidad con implementaciones híbridas y multinube: protege las aplicaciones frente a ataques DDoS o web e implementa políticas de seguridad de capa 7, tanto si tu aplicación está desplegada en Google Cloud como si lo está en una arquitectura híbrida o multinube.
  • Visibilidad y monitorización: monitoriza fácilmente todas las métricas asociadas a tus políticas de seguridad en el panel de Cloud Monitoring. También puedes ver los patrones de tráfico de aplicaciones sospechosos desde Cloud Armor directamente en el panel de Security Command Center.
  • Reglas de cortafuegos de aplicación web (WAF) preconfiguradas: reglas listas para usar del conjunto de reglas principales de ModSecurity para protegerte frente a las vulnerabilidades de tipo cross-site scripting (XSS) y los ataques de inyección de SQL. Las reglas de RFI, LFI y RCE también están disponibles en la versión beta. Consulta más información en nuestra guía de reglas de WAF.
  • Listas de IPs con nombres: permite o deniega el tráfico con una política de seguridad de Cloud Armor basada en una lista seleccionada de IPs con nombres (versión beta).

Para obtener más información, consulta Google Cloud Armor.