Evitar ataques de DoS

Esta página se aplica a Apigee, pero no a Apigee Hybrid.

Consulta la documentación de Apigee Edge.

Un ataque de denegación del servicio (DoS) es un intento de renderizar tu servicio o aplicación no disponible para tus usuarios finales. Con ataques de denegación del servicio distribuido (DSD), los atacantes usan varios recursos (a menudo, una gran cantidad de hosts o instancias vulnerados) para organizar ataques a gran escala en los objetivos.

La arquitectura de Apigee crea una conexión de intercambio de tráfico entre dos redes: un proyecto de usuario administrado por Google (el VPC de Apigee) y un proyecto administrado por el cliente (el VPC del cliente). Para mitigar o evitar ataques de DoS en estas redes, asegúrate de seguir las Prácticas recomendadas para la protección contra DSD y la mitigación de estos ataques en Google Cloud Platform (PDF).

Si expones tus API de forma externa, puedes ser vulnerable a los ataques de DoS. Para mitigar esto, Cloud Load Balancing incluye algunas protecciones integradas, que incluye las siguientes:

  • Protección mediante la infraestructura de frontend de Google: Con Cloud Load Balancing, la infraestructura de frontend de Google finaliza el tráfico del usuario y escala automáticamente para absorber determinados tipos de ataques (como desbordes SYN) antes de que alcancen tu instancias de Compute Engine.
  • Balanceo de cargas basado en Anycast: Cloud Load Balancing permite una sola IP Anycast para las instancias de Apigee de frontend en todas las regiones. El tráfico se dirige al backend más cercano. En el caso de un ataque DSD, GCLB aumenta el área de superficie para absorber el ataque mediante la migración del tráfico a instancias con capacidad disponible en cualquier región en la que se implementen los backends.

Además de Cloud Load Balancing, puedes agregar Google Cloud Armor para proteger los extremos de la API contra DoS y ataques web. Cloud Armor proporciona beneficios como los siguientes:

  • Control de acceso basado en IP y en ubicación geográfica: Filtra tu tráfico entrante en función de las direcciones IPv4, IPv6 o los rangos de direcciones (CIDR). Aplica los controles de acceso basados en la ubicación geográfica a fin de permitir o rechazar el tráfico en función de la ubicación geográfica de origen mediante el mapeo de IP geográficas de Google.
  • Compatibilidad con implementaciones híbridas y de múltiples nubes: Ayudan a defender las aplicaciones de ataques web o DSD y aplicar las políticas de seguridad de capa 7 si la aplicación se implementa en Google Cloud o en una arquitectura de nube híbrida o múltiples nubes.
  • Visibilidad y supervisión: Supervisa con facilidad todas las métricas asociadas con tus políticas de seguridad en el panel de Cloud Monitoring. También puedes ver patrones de tráfico de aplicaciones sospechosos desde Cloud Armor directamente en el panel de Security Command Center.
  • Reglas de WAF preconfiguradas: Reglas listas para usar del conjunto de reglas principales de ModSecurity a fin de defenderte de ataques como la secuencia de comandos entre sitios (XSS) y la inserción de SQL. Las reglas RFI, LFI y RCE también están disponibles en versión beta. Obtén más información en nuestra guía de reglas de WAF.
  • Listas de IP con nombre: Permiten o rechazan el tráfico a través de una política de seguridad de Cloud Armor basada en una lista de IP con nombre seleccionado (beta).

Para obtener más información, consulta Google Cloud Armor.