Esta página se aplica à Apigee, mas não à Apigee híbrida.
Confira a documentação da Apigee Edge.
Um ataque de negação de serviço (DoS, na sigla em inglês) é uma tentativa de tornar seu serviço ou aplicativo indisponível para os usuários finais. Com ataques distribuídos de negação de serviço (DDoS, na sigla em inglês), os invasores usam vários recursos, geralmente um grande número de hosts/instâncias comprometidas, para orquestrar ataques de grande escala contra alvos.
A arquitetura da Apigee cria uma conexão de peering entre duas redes: um projeto de locatário gerenciado pelo Google (a VPC Apigee) e um projeto gerenciado pelo cliente (a VPC do cliente). Para atenuar ou impedir ataques de DoS nessas redes, siga as Práticas recomendadas para proteção e mitigação contra DDoS (PDF, na sigla em inglê) no Google Cloud Platform.
Se você expor as APIs externamente, poderá ficar vulnerável a ataques de DoS. Para atenuar isso, o Cloud Load Balancing inclui algumas proteções integradas, incluindo:
- Proteção pela infraestrutura de front-end do Google: com o Cloud Load Balancing, a infraestrutura de front-end do Google encerra o tráfego de usuários e faz o escalonamento automático para absorver determinados tipos de ataques (como inundações SYN) antes de eles alcançarem as instâncias do Compute Engine.
- Balanceamento de carga baseado em Anycast: o Cloud Load Balancing permite um único IP anycast para instâncias de front-end da Apigee em todas as regiões. O tráfego é direcionado para o back-end mais próximo; no caso de um ataque DDoS, o GCLB aumenta a área de superfície para absorver o ataque movendo o tráfego para instâncias com capacidade disponível em qualquer região onde os back-ends são implantados.
Além do Cloud Load Balancing, é possível adicionar o Google Cloud Armor para proteger os endpoints da API contra ataques DoS e da Web. O Cloud Armor oferece benefícios como:
- Controle de acesso baseado em IP e localização geográfica: filtre seu tráfego de entrada com base em endereços IPv4 e IPv6 ou intervalos de endereços (CIDRs). Implemente controles de acesso baseados na localização geográfica para permitir ou rejeitar tráfego com base nas localizações de origem usando o mapeamento de geoIP do Google.
- Suporte para implantações híbridas e em várias nuvens: ajude a proteger aplicativos de ataques DDoS ou da Web e aplique políticas de segurança da Camada 7, independentemente de o aplicativo estar implantado no Google Cloud ou em uma arquitetura híbrida ou de várias nuvens.
- Visibilidade e monitoramento: monitore facilmente todas as métricas associadas às suas políticas de segurança no painel do Cloud Monitoring. Também é possível identificar padrões suspeitos de tráfego de aplicativos do Cloud Armor diretamente no painel do Security Command Center.
- Regras de WAF pré-configuradas: regras prontas para uso do conjunto de regras principais do ModSecurity que ajudam na proteção contra ataques como scripting em vários locais (XSS) e injeção de SQL. Regras de RFI, LFI e RCE também estão disponíveis na versão Beta. Saiba mais no nosso guia de regras de WAF.
- Listas de IPs nomeados: permitem ou negam o tráfego através de uma política de segurança do Cloud Armor com base em uma lista de IP nomeada selecionada (Beta).
Para mais informações, consulte Google Cloud Armor.