Um ataque de negação de serviço (DoS, na sigla em inglês) é uma tentativa de tornar seu serviço ou aplicativo
indisponível para os usuários finais. Com ataques distribuídos de negação de serviço (DDoS, na sigla em inglês), os
invasores usam vários recursos, geralmente um grande número de
hosts/instâncias comprometidas, para orquestrar ataques de grande escala contra alvos.
Se você expor as APIs externamente, poderá ficar vulnerável a ataques de DoS. Para atenuar isso,
o Cloud Load Balancing inclui algumas proteções integradas, incluindo:
Proteção pela infraestrutura de front-end do Google: com o Cloud Load
Balancing, a infraestrutura de front-end do Google encerra o tráfego de usuários e faz o escalonamento automático para
absorver determinados tipos de ataques (como inundações SYN) antes de eles alcançarem as instâncias do
Compute Engine.
Balanceamento de carga baseado em Anycast: o Cloud Load Balancing permite um único IP
anycast para instâncias de
front-end da Apigee em todas as regiões. O tráfego é direcionado para o back-end mais próximo; no caso de um
ataque DDoS, o GCLB aumenta a área de superfície para absorver o ataque movendo o tráfego para instâncias
com capacidade disponível em qualquer região onde os back-ends são implantados.
Além do Cloud Load Balancing, é possível adicionar o Google Cloud Armor para proteger os endpoints da API
contra ataques DoS e da Web. O Cloud Armor oferece benefícios como:
Controle de acesso baseado em IP e localização geográfica: filtre seu tráfego de entrada com base em
endereços IPv4 e IPv6 ou intervalos de endereços (CIDRs). Implemente controles de acesso baseados na localização geográfica para
permitir ou rejeitar tráfego com base nas localizações de origem usando o mapeamento de geoIP do Google.
Suporte para implantações híbridas e em várias nuvens: ajude a proteger aplicativos de
ataques DDoS ou da Web e aplique políticas de segurança da Camada 7, independentemente de o aplicativo estar implantado
no Google Cloud ou em uma arquitetura híbrida ou de várias nuvens.
Visibilidade e monitoramento: monitore facilmente todas as métricas associadas às
suas políticas de segurança no painel do Cloud Monitoring. Também é possível identificar padrões
suspeitos de tráfego de aplicativos do Cloud Armor diretamente no painel do
Security Command Center.
Regras de WAF pré-configuradas: regras prontas para uso do conjunto de regras principais do
ModSecurity que ajudam na proteção contra ataques como scripting em vários locais (XSS) e injeção de SQL. Regras de RFI, LFI
e RCE também estão disponíveis na versão Beta. Saiba mais no nosso guia de regras de WAF.
Listas de IPs nomeados: permitem ou negam o tráfego através de uma política de segurança do Cloud Armor
com base em uma lista de IP nomeada selecionada (Beta).
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-05 UTC."],[[["\u003cp\u003eThis content discusses Denial of Service (DoS) and Distributed Denial of Service (DDoS) attacks within the context of Apigee, specifically excluding Apigee hybrid.\u003c/p\u003e\n"],["\u003cp\u003eApigee's architecture utilizes a peering connection between a Google-managed tenant project and a customer-managed Virtual Private Cloud (VPC).\u003c/p\u003e\n"],["\u003cp\u003eCloud Load Balancing offers built-in protections against certain attacks, including using Google's frontend infrastructure and anycast-based load balancing.\u003c/p\u003e\n"],["\u003cp\u003eGoogle Cloud Armor can be added to protect API endpoints, offering features such as IP and geo-based access control, support for hybrid and multi-cloud deployments, and pre-configured WAF rules.\u003c/p\u003e\n"],["\u003cp\u003eFollowing the "Best Practices for DDoS Protection and Mitigation on Google Cloud Platform" is recommended to mitigate or prevent DoS attacks.\u003c/p\u003e\n"]]],[],null,["# Preventing DoS attacks\n\n*This page\napplies to **Apigee** , but not to **Apigee hybrid**.*\n\n\n*View [Apigee Edge](https://docs.apigee.com/api-platform/get-started/what-apigee-edge) documentation.*\n\nA Denial of Service (DoS) attack is an attempt to render your service or application\nunavailable to your end users. With Distributed Denial of Service (DDoS) attacks, the\nattackers use multiple resources (often a large number of compromised\nhosts/instances) to orchestrate large scale attacks against targets.\n\nThe Apigee architecture creates a peering connection between two networks: a Google-managed\ntenant project (the *Apigee* ) and a customer-managed project (the\n*Customer VPC* ). To mitigate or prevent DoS attacks on these networks, be sure to follow the\n[Best\nPractices for DDoS Protection and Mitigation on Google Cloud Platform](/static/files/GCPDDoSprotection-04122016.pdf) (PDF).\n\nIf you expose your APIs externally, you can be vulnerable to DoS attacks. To mitigate this,\nCloud Load Balancing includes some built-in protections, including:\n\n- **Protection by Google Frontend infrastructure:** With Cloud Load Balancing, the Google frontend infrastructure terminates user traffic and automatically scales to absorb certain types of attacks (such as SYN floods) before they reach your Compute Engine instances.\n- **Anycast-based Load Balancing:** Cloud Load Balancing enables a single anycast IP to front-end Apigee instances in all regions. Traffic is directed to the closest backend; in the event of a DDoS attack, GCLB increases the surface area to absorb the attack by moving traffic to instances with available capacity in any region where backends are deployed.\n\nIn addition to Cloud Load Balancing, you can add Google Cloud Armor to protect your API endpoints\nagainst DoS and web attacks. Cloud Armor provides benefits such as:\n\n- **IP-based and geo-based access control:** Filter your incoming traffic based on IPv4 and IPv6 addresses or address ranges (CIDRs). Enforce geography-based access controls to allow or deny traffic based on source geo using Google's geoIP mapping.\n- **Support for hybrid and multi-cloud deployments:** Help defend applications from DDoS or web attacks and enforce Layer 7 security policies whether your application is deployed on Google Cloud or in a hybrid or multi-cloud architecture.\n- **Visibility and monitoring:** Easily monitor all of the metrics associated with your security policies in the Cloud Monitoring dashboard. You can also view suspicious application traffic patterns from Cloud Armor directly in the Security Command Center dashboard.\n- **Pre-configured WAF rules:** Out-of-the-box rules from the ModSecurity Core Rule Set to help defend against attacks like cross-site scripting (XSS) and SQL injection. RFI, LFI, and RCE rules are also available in beta. Learn more in our WAF rules guide.\n- **Named IP Lists:** Allow or deny traffic through a Cloud Armor security policy based on a curated Named IP List (beta).\n\nFor more information, see [Google Cloud Armor](/armor).\n\n*[VPC]: Virtual Private Cloud"]]
