Questa pagina si applica a Apigee, ma non a Apigee ibrido.
Visualizza
documentazione di Apigee Edge.
Un attacco Denial of Service (DoS) è un tentativo di eseguire il rendering del tuo servizio o della tua applicazione non disponibili per i tuoi utenti finali. Con gli attacchi Distributed Denial of Service (DDoS), il gli aggressori utilizzano diverse risorse (spesso un gran numero di host/istanze) per orchestrare attacchi su larga scala contro obiettivi.
L'architettura di Apigee crea una connessione in peering tra due reti: una rete gestita da Google, progetto tenant (VPC di Apigee) e un progetto gestito dal cliente (il VPC del cliente). Per limitare o prevenire gli attacchi DoS su queste reti, assicurati di seguire le Migliore Pratiche per la protezione dagli attacchi DDoS e mitigazione dei rischi correlati su Google Cloud (PDF).
Se esponi le tue API esternamente, puoi essere vulnerabile agli attacchi DoS. Per ovviare a questo problema, Cloud Load Balancing include alcune protezioni integrate, tra cui:
- Protezione tramite l'infrastruttura Google Frontend: con Cloud Load In questo equilibrio, l'infrastruttura frontend di Google termina il traffico degli utenti e scala automaticamente assorbire determinati tipi di attacchi (come i flood SYN) prima che raggiungano le istanze di Compute Engine di Compute Engine.
- Bilanciamento del carico basato su anycast: Cloud Load Balancing abilita un singolo bilanciamento del carico anycast Da IP a front-end Istanze Apigee in tutte le regioni. Il traffico viene indirizzato al backend più vicino. nel caso di un Attacco DDoS, GCLB aumenta la superficie per assorbire l'attacco spostando il traffico sulle istanze con capacità disponibile in qualsiasi regione in cui viene eseguito il deployment dei backend.
Oltre a Cloud Load Balancing, puoi aggiungere Google Cloud Armor per proteggere gli endpoint API contro gli attacchi web e DoS. Cloud Armor offre vantaggi come:
- Controllo controllo dell'accesso basato su IP e dati geografici:filtra il traffico in entrata in base a Indirizzi o intervalli di indirizzi (CIDR) IPv4 e IPv6. Applica i controlli di accesso basati sull'area geografica a consentire o negare il traffico in base all'area geografica di origine utilizzando la mappatura geoIP di Google.
- Supporto di deployment ibridi e multi-cloud: aiuta a difendere le applicazioni Attacchi DDoS o web e forza l'applicazione dei criteri di sicurezza di livello 7 indipendentemente dal fatto che venga eseguito il deployment dell'applicazione su Google Cloud o in un'architettura ibrida o multi-cloud.
- Visibilità e monitoraggio: monitora facilmente tutte le metriche associate a i tuoi criteri di sicurezza nella dashboard di Cloud Monitoring. Puoi anche visualizzare pattern di traffico dell'applicazione da Cloud Armor direttamente in Security Command Center Fitbit.com.
- Regole WAF preconfigurate: regole pronte all'uso della regola di base ModSecurity Impostalo per aiutarti a difenderti da attacchi come cross-site scripting (XSS) e SQL injection. RFI, LFI e le regole RCE sono disponibili anche in versione beta. Scopri di più nella nostra guida alle regole WAF.
- Elenchi di IP denominati: consenti o nega il traffico tramite un criterio di sicurezza di Cloud Armor in base a un elenco di IP denominati selezionato (beta).
Per ulteriori informazioni, vedi Google Cloud Armor.