Mencegah serangan DoS

Halaman ini berlaku untuk Apigee, tetapi tidak untuk Apigee Hybrid.

Lihat dokumentasi Apigee Edge.

Serangan Denial of Service (DoS) adalah upaya untuk membuat layanan atau aplikasi Anda tidak tersedia bagi pengguna akhir Anda. Dalam serangan Distributed Denial of Service (DDoS), penyerang menggunakan beberapa resource (sering kali sejumlah besar host/instance yang disusupi) untuk mengatur serangan skala besar terhadap target.

Arsitektur Apigee membuat koneksi peering antara dua jaringan: project tenant yang dikelola Google (VPC Apigee) dan project yang dikelola pelanggan (VPC Pelanggan). Untuk memitigasi atau mencegah serangan DoS di jaringan ini, pastikan untuk mengikuti Praktik Terbaik untuk Perlindungan DDoS dan Mitigasi di Google Cloud Platform (PDF).

Jika mengekspos API secara eksternal, Anda dapat rentan terhadap serangan DoS. Untuk memitigasi hal ini, Cloud Load Balancing menyertakan beberapa perlindungan bawaan, termasuk:

  • Perlindungan oleh infrastruktur Frontend Google: Dengan Cloud Load Balancing, infrastruktur frontend Google menghentikan traffic pengguna dan otomatis menskalakan untuk menyerap jenis serangan tertentu (seperti serangan bertubi-tubi menggunakan SYN) sebelum mencapai instance Compute Engine Anda.
  • Load Balancing berbasis Anycast: Cloud Load Balancing memungkinkan satu IP anycast menjadi frontend instance Apigee di semua region. Traffic diarahkan ke backend terdekat; jika terjadi serangan DDoS, GCLB akan memperluas area permukaan untuk meredam serangan dengan memindahkan traffic ke instance yang memiliki kapasitas yang tersedia di region tempat backend di-deploy.

Selain Cloud Load Balancing, Anda dapat menambahkan Google Cloud Armor untuk melindungi endpoint API Anda dari serangan DoS dan web. Cloud Armor memberikan manfaat seperti:

  • Kontrol akses berbasis IP dan posisi geografis: Memfilter traffic masuk berdasarkan alamat dan rentang alamat IPv4 dan IPv6 (CIDR). Terapkan kontrol akses berbasis geografi untuk mengizinkan atau menolak traffic berdasarkan geografi sumber menggunakan pemetaan geoIP Google.
  • Dukungan untuk deployment hybrid dan multi-cloud: Membantu melindungi aplikasi dari serangan web atau DDoS dan menerapkan kebijakan keamanan Lapisan 7, baik saat aplikasi Anda di-deploy di Google Cloud maupun dalam arsitektur hybrid atau multi-cloud.
  • Visibilitas dan pemantauan: Pantau semua metrik yang terkait dengan kebijakan keamanan Anda dengan mudah di dasbor Cloud Monitoring. Anda juga dapat melihat pola traffic aplikasi yang mencurigakan dari Cloud Armor secara langsung di dasbor Security Command Center.
  • Aturan WAF yang telah dikonfigurasi sebelumnya: Aturan siap pakai dari ModSecurity Core Rule Set untuk membantu memberikan pertahanan terhadap serangan seperti pembuatan skrip lintas situs (XSS) dan injeksi SQL. Aturan RFI, LFI, dan RCE juga tersedia dalam versi beta. Pelajari lebih lanjut di panduan aturan WAF kami.
  • Daftar IP Bernama: Izinkan atau tolak traffic melalui kebijakan keamanan Cloud Armor berdasarkan Daftar IP Bernama yang terseleksi (beta).

Untuk mengetahui informasi selengkapnya, lihat Google Cloud Armor.