防範 DoS 攻擊

本頁內容適用於 Apigee，但不適用於 Apigee Hybrid。

查看 Apigee Edge 說明文件。

阻斷服務 (DoS) 攻擊會試圖讓您的服務或應用程式無法運作，在分散式阻斷服務 (DDoS) 攻擊中，攻擊者會使用多項資源 (通常是大量遭入侵的主機/執行個體)，對目標發動大規模攻擊。

Apigee 架構會在兩個網路之間建立對等互連連線：Google 管理的租戶專案 (Apigee VPC) 和客戶管理的專案 (Customer VPC)。如要防範或減輕這些網路遭受 DoS 攻擊的影響，請務必遵循「在 Google Cloud Platform 中防範分散式阻斷服務攻擊及減輕影響的最佳做法」(PDF)。

如果公開 API，可能會遭受 DoS 攻擊。為減輕這類影響，Cloud Load Balancing 內建多項防護機制，包括：

• Google 前端基礎架構防護：使用 Cloud Load Balancing 時，Google 前端基礎架構會終止使用者流量，並自動擴充，以吸收特定類型的攻擊 (例如 SYN 洪水)，避免攻擊影響 Compute Engine 執行個體。
• 以 Anycast 為基礎的負載平衡：Cloud Load Balancing 可讓單一 Anycast IP 前端對應所有地區的 Apigee 執行個體。流量會導向至最接近的後端；如果發生 DDoS 攻擊，GCLB 會將流量移至後端部署所在地區中具有可用容量的執行個體，藉此增加吸收攻擊的範圍。

除了 Cloud Load Balancing，您還可以新增 Google Cloud Armor，保護 API 端點免受 DoS 和網路攻擊。Cloud Armor 的優點包括：

• 以 IP 和地理位置為基礎的存取權控管：根據 IPv4 和 IPv6 位址或位址範圍 (CIDR) 篩選傳入的流量。實施以地理位置為依據的存取權控管，利用 Google 的 geoIP 對應功能，依據流量的來源位置來允許或拒絕流量。
• 支援混合式和多雲端部署：無論應用程式部署於 Google Cloud、混合式雲端或多雲端架構，Cloud Armor 都能協助防範分散式阻斷服務或網路攻擊，並強制實行第 7 層安全性政策。
• 掌握狀況及監控：透過 Cloud Monitoring 資訊主頁，輕鬆監控所有與安全性政策有關的指標。您也可以透過 Security Command Center 資訊主頁，直接查看 Cloud Armor 偵測到的可疑應用程式流量模式。
• 預先設定的 WAF 規則：ModSecurity 核心規則集提供立即可用的規則，有助防禦跨網站指令碼攻擊 (XSS) 和 SQL 植入攻擊。Beta 版中也提供 RFI、LFI 及 RCE 規則。詳情請參閱網路應用程式防火牆規則指南。
• 已命名 IP 清單：根據系統收錄的已命名 IP 清單 (Beta 版)，透過 Cloud Armor 安全性政策允許或拒絕流量。

詳情請參閱 Google Cloud Armor。