このページの内容は Apigee に適用されます。Apigee ハイブリッドには適用されません。
Apigee Edge のドキュメントを表示する。
サービス拒否(DoS)攻撃とは、エンドユーザーがサービスやアプリケーションを利用できないようにする企てです。分散型サービス拒否(DDoS)攻撃では、攻撃者が複数のリソース(多数の不正アクセスしたホストやインスタンス)を使用して、ターゲットに対する大規模な攻撃をオーケストレートします。
Apigee アーキテクチャは、Google が管理するテナント プロジェクト(ApigeeVPC)とお客様が管理するプロジェクト(お客様の VPC)の 2 つのネットワーク間にピアリング接続を作成します。これらのネットワーク上の DoS 攻撃を軽減または防止するには、Google Cloud Platform での DDoS 攻撃の防御と軽減に関するベスト プラクティス(PDF)に従ってください。
API を外部に公開すると、DoS 攻撃に対して脆弱な状態になる可能性があります。これを軽減するために、Cloud Load Balancing には次のような保護機能が組み込まれています。
- Google フロントエンド インフラストラクチャによる保護: Cloud Load Balancing を使用すると、Google のフロントエンド インフラストラクチャがユーザー トラフィックを終了させ、自動的にスケールして特定タイプの攻撃(SYN フラッドなど)を吸収し、お客様の Compute Engine インスタンスに到達しないようにします。
- エニーキャスト ベースのロード バランシング: Cloud Load Balancing を使用すると、すべてのリージョンの Apigee フロントエンド インスタンスに単一のエニーキャスト IP を使用できるようになります。トラフィックは最も近いバックエンドに送信されます。DDoS 攻撃が発生した場合、GCLB は、バックエンドがデプロイされているリージョンで利用可能な容量を持つインスタンスにトラフィックを転送し、表面積を拡大して攻撃を吸収します。
Cloud Load Balancing に加えて、さらに Google Cloud Armor を追加して、DoS 攻撃やウェブ攻撃から API エンドポイントを保護することもできます。Cloud Armor には次のようなメリットがあります。
- IP ベースと地域ベースのアクセス制御: IPv4 / IPv6 アドレスやアドレス範囲(CIDR)に基づいて受信トラフィックをフィルタします。位置情報ベースのアクセス制御を適用し、Google の geoIP マッピングを使用してソースの位置情報に基づいてトラフィックを許可または拒否できます。
- ハイブリッドおよびマルチクラウド デプロイのサポート: アプリケーションのデプロイ先が Google Cloud 上かハイブリッドまたはマルチクラウド アーキテクチャかを問わず、DDoS 攻撃やウェブ攻撃からアプリケーションを保護し、レイヤ 7 のセキュリティ ポリシーを適用できます。
- 可視性とモニタリング: Cloud Monitoring ダッシュボードで、セキュリティ ポリシーに関連するすべての指標を簡単にモニタリングできます。また、疑わしいアプリケーション トラフィックのパターンを直接 Cloud Armor から Security Command Center ダッシュボードに表示できます。
- 事前構成された WAF ルール: すぐに使用できる ModSecurity Core ルールセットのルールによって、クロスサイト スクリプティング(XSS)や SQL インジェクションなどの攻撃から防御できます。RFI、LFI、RCE ルール(ベータ版)も利用できます。詳細については、WAF ルールガイドをご覧ください。
- 名前付き IP リスト: キュレートされた名前付き IP リストに基づく Cloud Armor セキュリティ ポリシーによって、トラフィックを許可または拒否できます(ベータ版)。
詳細については、Google Cloud Armor をご覧ください。