Prevenção de ataques DoS

Esta página aplica-se ao Apigee, mas não ao Apigee Hybrid.

Veja a documentação do Apigee Edge.

Um ataque de negação de serviço (DoS) é uma tentativa de tornar o seu serviço ou aplicação indisponível para os utilizadores finais. Com os ataques de negação de serviço distribuídos (DDoS), os atacantes usam vários recursos (muitas vezes, um grande número de anfitriões/instâncias comprometidos) para orquestrar ataques em grande escala contra alvos.

A arquitetura do Apigee cria uma ligação de peering entre duas redes: um projeto de inquilino gerido pela Google (a VPC do Apigee) e um projeto gerido pelo cliente (a VPC do cliente). Para mitigar ou evitar ataques DoS nestas redes, certifique-se de que segue as Práticas recomendadas para proteção e mitigação de DDoS na Google Cloud Platform (PDF).

Se expuser as suas APIs externamente, pode ficar vulnerável a ataques DoS. Para mitigar esta situação, o Cloud Load Balancing inclui algumas proteções incorporadas, incluindo:

  • Proteção pela infraestrutura de front-end da Google: com o Cloud Load Balancing, a infraestrutura de front-end da Google termina o tráfego do utilizador e é dimensionada automaticamente para absorver determinados tipos de ataques (como inundações SYN) antes de chegarem às suas instâncias do Compute Engine.
  • Balanceamento de carga baseado em Anycast: o Cloud Load Balancing permite que um único IP Anycast seja a interface das instâncias do Apigee em todas as regiões. O tráfego é direcionado para o back-end mais próximo. Em caso de um ataque DDoS, o GCLB aumenta a área de superfície para absorver o ataque movendo o tráfego para instâncias com capacidade disponível em qualquer região onde os back-ends estejam implementados.

Além do Cloud Load Balancing, pode adicionar o Google Cloud Armor para proteger os seus pontos finais da API contra ataques DoS e ataques Web. O Cloud Armor oferece vantagens como:

  • Controlo de acesso baseado em IP e localização geográfica: filtre o tráfego recebido com base em endereços IPv4 e IPv6 ou intervalos de endereços (CIDRs). Aplique controlos de acesso baseados na geografia para permitir ou recusar tráfego com base na geolocalização de origem através do mapeamento geoIP da Google.
  • Suporte para implementações híbridas e em várias nuvens: ajude a defender as aplicações contra ataques DDoS ou Web e aplique políticas de segurança da camada 7, quer a sua aplicação esteja implementada no Google Cloud ou numa arquitetura híbrida ou em várias nuvens.
  • Visibilidade e monitorização: monitorize facilmente todas as métricas associadas às suas políticas de segurança no painel de controlo do Cloud Monitoring. Também pode ver padrões de tráfego de aplicações suspeitos do Cloud Armor diretamente no painel de controlo do Security Command Center.
  • Regras de WAF pré-configuradas: regras prontas a usar do conjunto de regras principais do ModSecurity para ajudar a defender-se contra ataques como cross-site scripting (XSS) e injeção de SQL. As regras de RFI, LFI e RCE também estão disponíveis em versão beta. Saiba mais no nosso guia de regras da WAF.
  • Listas de IPs com nome: permita ou negue o tráfego através de uma política de segurança do Cloud Armor com base numa lista de IPs com nome organizada (beta).

Para mais informações, consulte o Google Cloud Armor.