Questa pagina si applica ad Apigee, ma non ad Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
Un attacco Denial of Service (DoS) è un tentativo di rendere non disponibile il tuo servizio o la tua applicazione per gli utenti finali. Con gli attacchi DDoS (Distributed Denial of Service), gli autori degli attacchi utilizzano più risorse (spesso un numero elevato di host/istanze compromessi) per orchestrare attacchi su larga scala contro i target.
L'architettura Apigee crea una connessione in peering tra due reti: un progetto tenant gestito da Google (VPC Apigee) e un progetto gestito dal cliente (VPC del cliente). Per mitigare o prevenire gli attacchi DoS su queste reti, assicurati di seguire le best practice per la protezione dagli attacchi DDoS e la mitigazione dei rischi correlati su Google Cloud (PDF).
Se esponi le tue API all'esterno, potresti essere vulnerabile ad attacchi DoS. Per mitigare questo problema, Cloud Load Balancing include alcune protezioni integrate, tra cui:
- Protezione tramite l'infrastruttura frontend di Google:con il bilanciamento del carico Cloud, l'infrastruttura frontend di Google termina il traffico utente e si ridimensiona automaticamente per assorbire determinati tipi di attacchi (come i flood SYN) prima che raggiungano le istanze Compute Engine.
- Bilanciamento del carico basato su anycast:Cloud Load Balancing consente a un singolo IP anycast di agire da frontend per le istanze Apigee in tutte le regioni. Il traffico viene indirizzato al backend più vicino. In caso di attacco DDoS, il bilanciatore del carico a livello di gruppo aumenta la superficie per assorbire l'attacco spostando il traffico verso le istanze con capacità disponibile in qualsiasi regione in cui sono implementati i backend.
Oltre a Cloud Load Balancing, puoi aggiungere Google Cloud Armor per proteggere gli endpoint API dagli attacchi web e DoS. Cloud Armor offre vantaggi quali:
- Controllo degli accessi basato su IP e dati geografici:filtra il traffico in entrata in base agli indirizzi IPv4 e IPv6 o agli intervalli di indirizzi (CIDR). Applica i controlli degli accessi basati sui dati geografici per accettare o rifiutare il traffico in base ai dati geografici di origine utilizzando la mappatura geoIP di Google.
- Supporto per i deployment ibride e multi-cloud: aiuta a difendere le applicazioni da attacchi web o di tipo DDoS e applica criteri di sicurezza di livello 7, indipendentemente dal fatto che il deployment dell'applicazione sia stato eseguito su Google Cloud oppure in un'architettura ibrida o multi-cloud.
- Visibilità e monitoraggio:monitora con facilità tutte le metriche associate ai tuoi criteri di sicurezza nella dashboard di Cloud Monitoring. Puoi anche visualizzare i pattern di traffico delle applicazioni sospetti da Cloud Armor direttamente nella dashboard di Security Command Center.
- Regole WAF preconfigurate:regole pronte all'uso del ModSecurity Core Rule Set per difenderti dagli attacchi di tipo cross-site scripting (XSS) e SQL injection. Le regole RFI, LFI e RCE sono disponibili in versione beta. Scopri di più nella nostra guida alle regole WAF.
- Elenchi di IP denominati:consenti o nega il traffico attraverso un criterio di sicurezza di Cloud Armor basato su un elenco di IP denominati selezionato (beta).
Per ulteriori informazioni, consulta Google Cloud Armor.