Cette page s'applique à Apigee, mais pas à Apigee hybrid.
Consultez la documentation d'Apigee Edge.
Une attaque par déni de service (DoS) est une tentative de rendu d'un service ou d'une application indisponible par vos utilisateurs finaux. Avec les attaques par déni de service distribué (DDoS), les pirates informatiques utilisent plusieurs ressources (souvent un grand nombre d'hôtes/instances compromis) pour orchestrer des attaques à grande échelle contre des cibles.
L'architecture Apigee crée une connexion d'appairage entre deux réseaux : un projet locataire géré par Google (le VPC d'Apigee) et un projet géré par le client (le VPC du client). Pour atténuer ou prévenir les attaques DoS sur ces réseaux, veillez à suivre les Bonnes pratiques relatives à la protection contre les attaques DDoS et à la réduction de leur impact sur Google Cloud Platform (PDF).
Si vous exposez vos API en externe, vous pouvez être vulnérable aux attaques DoS. Pour limiter ce problème, Cloud Load Balancing inclut certaines protections intégrées, dont les suivantes :
- Protection avec l'infrastructure de l'interface Google : avec Cloud Load Balancing, l'infrastructure de l'interface Google met fin au trafic utilisateur et s'adapte automatiquement pour absorber certains types d'attaques (par exemple, les inondations NSY) avant qu'elles n'atteignent vos instances Compute Engine.
- Équilibrage de charge basé sur Anycast : Cloud Load Balancing permet de créer une seule adresse IP anycast pour les instances Apigee d'interface dans toutes les régions. Le trafic est dirigé vers le backend le plus proche. En cas d'attaque DDoS, GCLB augmente la zone de surface pour absorber l'attaque en déplaçant le trafic vers des instances disposant d'une capacité disponible dans toute région où des backends sont déployés.
En plus de Cloud Load Balancing, vous pouvez ajouter Google Cloud Armor pour protéger vos points de terminaison d'API contre les attaques DoS et Web. Cloud Armor offre de nombreux avantages, dont les suivants :
- Contrôle des accès basé sur les adresses IP et la géolocalisation : filtrez votre trafic entrant en fonction d'adresses IPv4 et IPv6 ou de plages d'adresses (CIDR). Appliquez des contrôles d'accès basés sur la géolocalisation pour autoriser ou refuser le trafic en fonction des données géographiques sources à l'aide de la mise en correspondance geoIP de Google.
- Compatibilité avec les déploiements hybrides et multicloud : protégez-vous des attaques DDoS ou sur le Web et appliquez des stratégies de sécurité de couche 7, que votre application soit déployée sur Google Cloud ou sur une architecture hybride ou multicloud.
- Visibilité et surveillance : surveillez facilement toutes les métriques associées à vos règles de sécurité dans le tableau de bord Cloud Monitoring. Vous pouvez également consulter les modèles de trafic suspects des applications détectés par Cloud Armor directement dans le tableau de bord Security Command Center.
- Règles WAF préconfigurées : les règles prêtes à l'emploi de ModSecurity Core Rule Set permettent de se protéger contre les attaques de type script intersites (XSS) et injection SQL (SQLi). Des règles RFI, LFI et RCE sont également disponibles en version bêta. Pour en savoir plus, consultez notre guide sur les règles WAF.
- Listes d'adresses IP nommées : autorisez ou refusez le trafic à l'aide d'une stratégie de sécurité Cloud Armor basée sur une liste d'adresses IP nommée (version bêta).
Pour plus d'informations, consultez Google Cloud Armor.