防範 DoS 攻擊

本頁面適用於 Apigee，但不適用於 Apigee Hybrid。

查看 Apigee Edge 說明文件。

阻斷服務 (DoS) 攻擊會試圖讓您的服務或應用程式無法供終端使用者使用。在分散式阻斷服務 (DDoS) 攻擊中，攻擊者會使用多個資源 (通常是大量遭到入侵的主機/執行個體)，對目標進行大規模攻擊。

Apigee 架構會在兩個網路之間建立對等互連連線：Google 管理的租用戶專案 (Apigee VPC) 和客戶管理的專案 (客戶 VPC)。如要減輕或防止這些網路上的 DoS 攻擊，請務必遵循「在 Google Cloud Platform 中防範分散式阻斷服務攻擊及減輕影響的最佳做法」(PDF)。

如果將 API 公開給外部，可能會遭受 DoS 攻擊。為減輕這類問題，Cloud Load Balancing 內建了一些防護機制，包括：

• Google 前端基礎架構提供的防護：透過 Cloud Load Balancing，Google 前端基礎架構會終止使用者流量，並自動調整規模，以便在特定類型的攻擊 (例如 SYN 洪水) 抵達 Compute Engine 執行個體之前，吸收這些攻擊。
• Anycast 負載平衡：Cloud Load Balancing 可讓單一 Anycast IP 對應所有地區的 Apigee 前端執行個體。流量會導向最近的後端；在遭受 DDoS 攻擊時，GCLB 會將流量移至後端部署所在的任何地區，以便在可用容量內吸收攻擊，進而增加吸收攻擊的範圍。

除了 Cloud Load Balancing 外，您也可以加入 Google Cloud Armor，保護 API 端點免受 DoS 和網路攻擊。Cloud Armor 提供以下優點：

• 以 IP 和地理位置為基礎的存取權控管：根據 IPv4 和 IPv6 位址或位址範圍 (CIDR) 篩選傳入的流量。實施以地理位置為依據的存取權控管，利用 Google 的 geoIP 對應功能，依據流量的來源位置來允許或拒絕流量。
• 支援混合式和多雲端部署：不論應用程式部署於 Google Cloud、混合式雲端或多雲端架構中，Cloud Armor 皆可協助防禦分散式阻斷服務或網路攻擊，並且強制執行第 7 層安全性政策。
• 可視性和監控：透過 Cloud Monitoring 資訊主頁，輕鬆監控所有與安全性政策有關的指標。您也可以透過 Security Command Center 資訊主頁，直接查看 Cloud Armor 偵測到的可疑應用程式流量模式。
• 預先設定的 WAF 規則：ModSecurity 核心規則集提供立即可用的規則，有助防禦跨網站指令碼攻擊 (XSS) 和 SQL 植入攻擊。Beta 版中也提供 RFI、LFI 及 RCE 規則。詳情請參閱網路應用程式防火牆規則指南。
• 已命名 IP 清單：根據收錄的已命名 IP 清單 (Beta 版)，透過 Cloud Armor 安全性政策允許或拒絕流量。

詳情請參閱 Google Cloud Armor。