Une attaque par déni de service (DoS) est une tentative de rendu d'un service ou d'une application indisponible par vos utilisateurs finaux. Avec les attaques par déni de service distribué (DDoS), les pirates informatiques utilisent plusieurs ressources (souvent un grand nombre d'hôtes/instances compromis) pour orchestrer des attaques à grande échelle contre des cibles.
Si vous exposez vos API en externe, vous pouvez être vulnérable aux attaques DoS. Pour limiter ce problème, Cloud Load Balancing inclut certaines protections intégrées, dont les suivantes :
Protection avec l'infrastructure de l'interface Google : avec Cloud Load Balancing, l'infrastructure de l'interface Google met fin au trafic utilisateur et s'adapte automatiquement pour absorber certains types d'attaques (par exemple, les inondations NSY) avant qu'elles n'atteignent vos instances Compute Engine.
Équilibrage de charge basé sur Anycast : Cloud Load Balancing permet de créer une seule adresse IP anycast pour les instances Apigee d'interface dans toutes les régions. Le trafic est dirigé vers le backend le plus proche. En cas d'attaque DDoS, GCLB augmente la zone de surface pour absorber l'attaque en déplaçant le trafic vers des instances disposant d'une capacité disponible dans toute région où des backends sont déployés.
En plus de Cloud Load Balancing, vous pouvez ajouter Google Cloud Armor pour protéger vos points de terminaison d'API contre les attaques DoS et Web. Cloud Armor offre de nombreux avantages, dont les suivants :
Contrôle des accès basé sur les adresses IP et la géolocalisation : filtrez votre trafic entrant en fonction d'adresses IPv4 et IPv6 ou de plages d'adresses (CIDR). Appliquez des contrôles d'accès basés sur la géolocalisation pour autoriser ou refuser le trafic en fonction des données géographiques sources à l'aide de la mise en correspondance geoIP de Google.
Compatibilité avec les déploiements hybrides et multicloud : protégez-vous des attaques DDoS ou sur le Web et appliquez des stratégies de sécurité de couche 7, que votre application soit déployée sur Google Cloud ou sur une architecture hybride ou multicloud.
Visibilité et surveillance : surveillez facilement toutes les métriques associées à vos règles de sécurité dans le tableau de bord Cloud Monitoring. Vous pouvez également consulter les modèles de trafic suspects des applications détectés par Cloud Armor directement dans le tableau de bord Security Command Center.
Règles WAF préconfigurées : les règles prêtes à l'emploi de ModSecurity Core Rule Set permettent de se protéger contre les attaques de type script intersites (XSS) et injection SQL (SQLi). Des règles RFI, LFI et RCE sont également disponibles en version bêta. Pour en savoir plus, consultez notre guide sur les règles WAF.
Listes d'adresses IP nommées : autorisez ou refusez le trafic à l'aide d'une stratégie de sécurité Cloud Armor basée sur une liste d'adresses IP nommée (version bêta).
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/05 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/05 (UTC)."],[[["\u003cp\u003eThis content discusses Denial of Service (DoS) and Distributed Denial of Service (DDoS) attacks within the context of Apigee, specifically excluding Apigee hybrid.\u003c/p\u003e\n"],["\u003cp\u003eApigee's architecture utilizes a peering connection between a Google-managed tenant project and a customer-managed Virtual Private Cloud (VPC).\u003c/p\u003e\n"],["\u003cp\u003eCloud Load Balancing offers built-in protections against certain attacks, including using Google's frontend infrastructure and anycast-based load balancing.\u003c/p\u003e\n"],["\u003cp\u003eGoogle Cloud Armor can be added to protect API endpoints, offering features such as IP and geo-based access control, support for hybrid and multi-cloud deployments, and pre-configured WAF rules.\u003c/p\u003e\n"],["\u003cp\u003eFollowing the "Best Practices for DDoS Protection and Mitigation on Google Cloud Platform" is recommended to mitigate or prevent DoS attacks.\u003c/p\u003e\n"]]],[],null,["# Preventing DoS attacks\n\n*This page\napplies to **Apigee** , but not to **Apigee hybrid**.*\n\n\n*View [Apigee Edge](https://docs.apigee.com/api-platform/get-started/what-apigee-edge) documentation.*\n\nA Denial of Service (DoS) attack is an attempt to render your service or application\nunavailable to your end users. With Distributed Denial of Service (DDoS) attacks, the\nattackers use multiple resources (often a large number of compromised\nhosts/instances) to orchestrate large scale attacks against targets.\n\nThe Apigee architecture creates a peering connection between two networks: a Google-managed\ntenant project (the *Apigee* ) and a customer-managed project (the\n*Customer VPC* ). To mitigate or prevent DoS attacks on these networks, be sure to follow the\n[Best\nPractices for DDoS Protection and Mitigation on Google Cloud Platform](/static/files/GCPDDoSprotection-04122016.pdf) (PDF).\n\nIf you expose your APIs externally, you can be vulnerable to DoS attacks. To mitigate this,\nCloud Load Balancing includes some built-in protections, including:\n\n- **Protection by Google Frontend infrastructure:** With Cloud Load Balancing, the Google frontend infrastructure terminates user traffic and automatically scales to absorb certain types of attacks (such as SYN floods) before they reach your Compute Engine instances.\n- **Anycast-based Load Balancing:** Cloud Load Balancing enables a single anycast IP to front-end Apigee instances in all regions. Traffic is directed to the closest backend; in the event of a DDoS attack, GCLB increases the surface area to absorb the attack by moving traffic to instances with available capacity in any region where backends are deployed.\n\nIn addition to Cloud Load Balancing, you can add Google Cloud Armor to protect your API endpoints\nagainst DoS and web attacks. Cloud Armor provides benefits such as:\n\n- **IP-based and geo-based access control:** Filter your incoming traffic based on IPv4 and IPv6 addresses or address ranges (CIDRs). Enforce geography-based access controls to allow or deny traffic based on source geo using Google's geoIP mapping.\n- **Support for hybrid and multi-cloud deployments:** Help defend applications from DDoS or web attacks and enforce Layer 7 security policies whether your application is deployed on Google Cloud or in a hybrid or multi-cloud architecture.\n- **Visibility and monitoring:** Easily monitor all of the metrics associated with your security policies in the Cloud Monitoring dashboard. You can also view suspicious application traffic patterns from Cloud Armor directly in the Security Command Center dashboard.\n- **Pre-configured WAF rules:** Out-of-the-box rules from the ModSecurity Core Rule Set to help defend against attacks like cross-site scripting (XSS) and SQL injection. RFI, LFI, and RCE rules are also available in beta. Learn more in our WAF rules guide.\n- **Named IP Lists:** Allow or deny traffic through a Cloud Armor security policy based on a curated Named IP List (beta).\n\nFor more information, see [Google Cloud Armor](/armor).\n\n*[VPC]: Virtual Private Cloud"]]
