Halaman ini diterjemahkan oleh Cloud Translation API.

Mencegah serangan DoS

Halaman ini berlaku untuk Apigee, tetapi tidak untuk Apigee Hybrid.

Baca dokumentasi Apigee Edge.

Serangan Denial of Service (DoS) adalah upaya untuk membuat layanan atau aplikasi Anda tidak tersedia bagi pengguna akhir. Dengan serangan Distributed Denial of Service (DDoS), penyerang menggunakan beberapa resource (sering kali sejumlah besar host/instance yang disusupi) untuk mengatur serangan skala besar terhadap target.

Arsitektur Apigee membuat koneksi peering antara dua jaringan: project tenant yang dikelola Google (VPC Apigee) dan project yang dikelola pelanggan (VPC Pelanggan). Untuk memitigasi atau mencegah serangan DoS di jaringan ini, pastikan untuk mengikuti Praktik Terbaik untuk Perlindungan dan Mitigasi DDoS di Google Cloud Platform (PDF).

Jika mengekspos API secara eksternal, Anda dapat rentan terhadap serangan DoS. Untuk mengurangi hal ini, Cloud Load Balancing menyertakan beberapa perlindungan bawaan, termasuk:

Perlindungan oleh infrastruktur Frontend Google: Dengan Cloud Load Balancing, infrastruktur frontend Google akan menghentikan traffic pengguna dan otomatis diskalakan untuk menyerap jenis serangan tertentu (seperti serangan bertubi-tubi menggunakan SYN) sebelum serangan tersebut mencapai instance Compute Engine Anda.
Load Balancing berbasis Anycast: Cloud Load Balancing memungkinkan satu IP anycast menjadi frontend instance Apigee di semua region. Traffic diarahkan ke backend terdekat; jika terjadi serangan DDoS, GCLB akan meningkatkan area permukaan untuk menyerap serangan dengan memindahkan traffic ke instance dengan kapasitas yang tersedia di region tempat backend di-deploy.

Selain Cloud Load Balancing, Anda dapat menambahkan Google Cloud Armor untuk melindungi endpoint API Anda dari serangan DoS dan web. Cloud Armor memberikan manfaat seperti:

Kontrol akses berbasis IP dan posisi geografis: Memfilter traffic masuk berdasarkan alamat IPv4 dan IPv6 atau rentang alamat (CIDR). Terapkan kontrol akses berbasis geografi untuk mengizinkan atau menolak traffic berdasarkan geografi sumber menggunakan pemetaan geoIP Google.
Dukungan untuk deployment hybrid dan multi-cloud: Membantu melindungi aplikasi dari serangan web atau DDoS dan menerapkan kebijakan keamanan Lapisan 7, baik saat aplikasi Anda di-deploy di Google Cloud maupun dalam arsitektur hybrid atau multi-cloud.
Visibilitas dan pemantauan: Memantau semua metrik yang terkait dengan kebijakan keamanan Anda dengan mudah di dasbor Cloud Monitoring. Anda juga dapat melihat pola traffic aplikasi yang mencurigakan dari Cloud Armor secara langsung di dasbor Security Command Center.
Aturan WAF yang telah dikonfigurasi sebelumnya: Aturan siap pakai dari Kumpulan Aturan Inti ModSecurity untuk membantu memberikan pertahanan terhadap serangan seperti pembuatan skrip lintas situs (XSS) dan injeksi SQL. Aturan RFI, LFI, dan RCE juga tersedia dalam versi beta. Pelajari lebih lanjut di panduan aturan WAF kami.
Daftar IP Bernama: Mengizinkan atau menolak traffic melalui kebijakan keamanan Cloud Armor berdasarkan Daftar IP Bernama yang terseleksi (beta).

Untuk informasi selengkapnya, lihat Google Cloud Armor.