Лепшая абарона ад DDoS 2020 года

Лепшая абарона ад DDoS 2020 года
У кастрычніку 2016 года DNS-правайдэр Dyn падвергнуўся буйной DDoS-атацы арміяй прылад IoT, якія былі ўзламаныя спецыяльна для гэтай мэты. Больш за 14,000 100,000 даменаў, якія выкарыстоўваюць паслугі Dyn, перагружаны і недаступныя, у тым ліку такія вядомыя імёны, як Amazon, HBO і PayPal. Згодна з даследаваннем Cloudflare, сярэдні кошт збою інфраструктуры для прадпрыемстваў складае 75,000 7 долараў (XNUMX XNUMX долараў) за гадзіну. Як вы можаце пераканацца, што ваша арганізацыя не стане ахвярай такога роду нападаў? У гэтым кіраўніцтве вы даведаецеся пра вядучых пастаўшчыкоў інфраструктуры, якія валодаюць лічбавай магутнасцю для абароны ад нападаў, накіраваных на перапаўненне ёмістасці вашай сеткі. Вы таксама даведаецеся, якія пастаўшчыкі могуць прапанаваць абарону ад больш складаных (узровень XNUMX) нападаў прыкладанняў, якія можна зрабіць без вялікай колькасці ўзламаных кампутараў (часам іх называюць ботнет).

праект шчыт

1. Шчыт праекта

Магутная абарона ад DDoS ад Google, але не для ўсіх гасцей. Скарыстайцеся перавагамі інфраструктуры Google. Вельмі простая налада, даступная толькі для пэўных вэб-сайтаў. Project Shield - гэта дзецішча Jigsaw, даччынай кампаніі Google, мацярынскай кампаніі Alphabet. Распрацоўка пачалася некалькі гадоў таму пад кіраўніцтвам Джорджа Конарда пасля нападаў на вэб-сайты па назіранні за выбарамі і звязаныя з імі праваабарончыя сайты ва Украіне. Project Shield здольны фільтраваць патэнцыйны шкоднасны трафік, дзейнічаючы як зваротны проксі, які знаходзіцца паміж вэб-сайтам і Інтэрнэтам у цэлым, фільтруючы запыты на злучэнне. Калі здаецца, што злучэнне адбываецца ад законнага наведвальніка, Project Shield дазваляе запыт на злучэнне. Калі запыт на злучэнне прызнаны няўдалым, напрыклад, некалькі спроб злучэння з аднаго IP-адраса, ён блакуецца. Гэтая сістэма робіць Project Shield надзвычай простым у рэалізацыі, проста змяняючы налады DNS вашых сервераў. Любы дасведчаны карыстальнік, які чытае гэта, можа задацца пытаннем, як будзе працаваць фільтраванне трафіку праз проксі-сервер з SSL. На шчасце, Jigsaw падумаў пра гэта і сабраў поўны падручнік, каб пераканацца, што бяспечныя злучэнні з вашым сайтам працуюць як шарм. Розныя іншыя падручнікі таксама даступныя ў раздзеле падтрымкі. У цяперашні час Project Shield даступны толькі для спецыяльных СМІ, вэб-сайтаў па маніторынгу выбараў і праваабарончых сайтаў. Таксама ў цэнтры ўвагі невялікія і малафінансаваныя вэб-сайты, якія не могуць дазволіць сабе дарагія хостынгавыя рашэнні для абароны ад DDoS-атак. Калі ваша арганізацыя не адпавядае гэтым патрабаванням, вам можа спатрэбіцца разгледзець альтэрнатыўнае рашэнне, напрыклад Cloudflare.

воблака полымя

2. Воблака полымя

Цяжкавагавая абарона ад DDoS. Лідэр галіны ў галіне рашэнняў для DoS. Бясплатная база ўключае базавую абарону. Камерцыйныя пакеты адносна дарагія. Любы, хто карыстаўся Інтэрнэтам на працягу апошніх некалькіх гадоў, будзе знаёмы з Cloudflare, паколькі многія буйныя вэб-сайты выкарыстоўваюць яе абарону. Хоць штаб-кватэра Cloudflare знаходзіцца ў Злучаных Штатах, яна кіруе больш чым 180 цэнтрамі апрацоўкі дадзеных па ўсім свеце - інфраструктура, якая канкуруе з Google. Гэта павялічвае шанцы на тое, што вашы сайты застануцца ў сетцы. Кожны карыстальнік Cloudflare можа актываваць рэжым «Я знаходжуся пад атакай», які можа абараніць ад самых складаных DoS-атак, прадстаўляючы выклік JavaScript. Cloudflare таксама звычайна дзейнічае як зваротны проксі паміж наведвальнікамі і хостам вашага сайта для фільтрацыі трафіку такім жа чынам, як Jigsaw's Project Shield. У сакавіку 2019 года Cloudflare выпусціла Spectrum для UDP, які забяспечвае абарону ад DDoS і брандмаўэр для ненадзейных пратаколаў. Наведвальнікі, якія робяць запыты на злучэнне, павінны запусціць шэраг складаных фільтраў, уключаючы рэпутацыю сайта, калі іх IP-адрас быў у чорным спісе і загаловак HTTP выглядае падазрона. HTTP-запыты здымаюцца адбіткамі пальцаў для абароны ад вядомых ботнетаў. Як гігант індустрыі, Cloudflare можа лёгка выкарыстоўваць свае пазіцыі, абменьваючыся інфармацыяй на больш чым 7 мільёнах вэб-сайтаў, якімі яна кіруе. Cloudflare прапануе бясплатны базавы план, які ўключае неабмежаванае змякчэнне DDoS. Для тых, хто гатовы раскашэліцца на камерцыйную падпіску на Cloudflare (кошты пачынаюцца ад 200 еўра або 149 еўра ў месяц), даступная больш пашыраная абарона, напрыклад, загрузка карыстальніцкіх сертыфікатаў SSL.

Шчыт AWS

3. Шчыт AWS

Выдатнае параўнальнае змякчэнне DDoS з большай колькасцю Стандартны бясплатны ўзровень абараняе ад найбольш распаўсюджаных нападаў Лёгкая ўстаноўка Пашыраны ўзровень вельмі дарагі. Абарона AWS Shield забяспечваецца патрэбнымі людзьмі ў Amazon Web Services. Узровень «Стандартны» даступны ўсім кліентам AWS без дадатковай аплаты. Гэта ідэальна, таму што многія малыя прадпрыемствы выбіраюць размяшчэнне сваіх вэб-сайтаў на Amazon. AWS Shield Standard даступны ўсім кліентам без дадатковай аплаты. Абараняе ад больш традыцыйных сеткавых (узровень 3) і транспартных (узровень 4) нападаў пры выкарыстанні з сэрвісамі Amazon Cloud Front і Route 53. Гэта павінна адпудзіць усіх, акрамя самых рашучых хакераў. Аднак ваша прапускная здольнасць, скажам, 15 Гбіт/с, заўсёды будзе абмежавана памерам вашага асобніка Amazon, што дазваляе хакерам выконваць DoS-атакі, калі ў іх дастаткова рэсурсаў. Што яшчэ горш, вы па-ранейшаму нясеце адказнасць за аплату дадатковага трафіку да вашага асобніка. Каб змякчыць гэтую праблему, Amazon таксама прапануе AWS Shield Advanced. Падпіска ўключае ў сябе абарону выдаткаў ад DDoS, што можа зэканоміць значнае павелічэнне вашага штомесячнага рахунку за выкарыстанне, калі вы сталі ахвярай атакі. AWS Shield Advanced таксама можа разгарнуць вашы ACL (спісы кантролю доступу) на мяжы сеткі AWS, забяспечваючы абарону ад самых буйных нападаў. Прасунутыя падпісчыкі таксама атрымліваюць выгаду ад 24-гадзіннай DRT (групы рэагавання на DDoS), а таксама падрабязных паказчыкаў аб атаках на іх асобнікі. Аднак душэўны спакой, які прапануе AWS Shield Advanced, мае сваю цану. Вы павінны быць гатовыя падпісацца як мінімум на адзін год па цане 3,000 еўра (2,200 еўра) у месяц. Гэта ў дадатак да выдаткаў на выкарыстанне перадачы даных, якія вы можаце пакрыць на аснове "аплаты па меры выкарыстання".

Microsoft Azure

4.Microsoft Azure

Бліскучая базавая абарона на даступным прэміум-ўзроўні. Стандартную абарону вельмі лёгка наладзіць. Аўтаматызаванае памяншэнне пагроз. Глабальная абарона ад DDoS для ўсіх рэсурсаў. Як і Amazon, Microsoft прапануе магчымасць арандаваць месца для абслугоўвання праз службу Azure. Усе ўдзельнікі маюць базавую абарону ад DDoS. Функцыі ўключаюць кругласутачны маніторынг трафіку і ў рэжыме рэальнага часу (узровень 3) памяншэнне сеткавых атак для ўсіх публічных IP-адрасоў, якія вы выкарыстоўваеце. Гэта той самы тып абароны, які прапануецца ўласным інтэрнэт-сэрвісам Microsoft, і ўсе рэсурсы ў сетцы Azure можна выкарыстоўваць для паглынання DDoS-атак. Для арганізацый, якім патрэбна больш складаная абарона, Azure таксама прапануе ўзровень «Стандартны». Гэта было шырока ацэнена за тое, што яго вельмі лёгка актываваць, патрабуючы ўсяго некалькі пстрычак мышы. Важна адзначыць, што Azure не патрабуе ўнясення якіх-небудзь змяненняў у вашы прыкладанні, хаця стандартны ўзровень забяспечвае абарону ад DDoS-атак прыкладанняў (узровень 7) праз брандмаўэр вэб-прыкладанняў Application Gateway. Azure Monitor можа паказаць вам паказчыкі ў рэальным часе, калі адбудзецца атака. Яны захоўваюцца на працягу 30 дзён і могуць быць экспартаваныя для далейшага вывучэння, калі вы хочаце. Azure пастаянна правярае вэб-трафік вашых рэсурсаў. Калі яны перавышаюць загадзя зададзены парог, аўтаматычна запускаецца змякчэнне DDoS. Гэта ўключае ў сябе праверку пакетаў, каб пераканацца, што яны не сфарміраваны або падробленыя, а таксама выкарыстанне абмежавання хуткасці. Стандартная абарона ў цяперашні час складае 2,944 еўра (2,204 еўра) у месяц плюс плата за перадачу даных да 100 рэсурсаў. Абарона таксама распаўсюджваецца на ўсе рэсурсы. Іншымі словамі, вы не можаце адаптаваць змякчэнне DDoS да індывідуальных мер.

Ахова DDoS ад Verisign

5. Абарона ад DDoS Verisign / Neustar

Лепшая абарона ад DDoS ад ветэранаў бяспекі Лёгка наладжваецца праз DNS Выдзеленыя цэнтры ачысткі для абароны ад нападаў Можна разгарнуць на сайце Інтэрфейс патрабуе часу, каб вывучыць Абнаўленне: службы бяспекі Verisign пераходзяць на Neustar, але функцыі і функцыянальнасць, згаданыя ў аглядзе, засталіся адносна ранейшымі. Verisign амаль такая ж старая, як і сам Інтэрнэт. З 1995 года ён ператварыўся з простага цэнтра сертыфікацыі ў буйнога гульца ў індустрыі сеткавых паслуг. Абарона Verisign ад DDoS працуе ў воблаку. Карыстальнікі могуць выбраць перанакіраванне спроб злучэння простым змяненнем налад сервера даменных імёнаў (DNS). Трафік адпраўляецца ў Verisign для праверкі, каб прадухіліць сеткавыя атакі. Verisign старанна аналізуе ўвесь трафік перад перанакіраваннем. Паколькі Verisign кіруе двума з трынаццаці сервераў імёнаў маршрутаў у свеце, нядзіўна, што гэтая арганізацыя таксама кіруе некалькімі спецыялізаванымі "цэнтрамі ачысткі" DDoS. Яны аналізуюць трафік і фільтруюць дрэнныя запыты на злучэнне. Аб'яднаная інфраструктура працуе на хуткасці амаль 2 ТБ/с і можа блакаваць нават самыя разбуральныя DDoS-атакі. Гэта ў значнай ступені дасягаецца праз Athena, платформу Verisign для зніжэння пагроз. Афіна ў цэлым дзеліцца на тры элементы. «Shield» фільтруе сеткавыя (узровень 3) і транспартныя (узровень 4) атакі праз DPI (глыбокая праверка пакетаў), чорныя і белыя спісы і кіраванне рэпутацыяй сайта. "Проксі" Athena правярае HTTP-загалоўкі на наяўнасць дрэннага трафіку падчас першых спроб злучэння. І «проксі», і «шчыт» падтрымліваюць «балансір нагрузкі» Athena, які дапамагае прадухіліць атакі прыкладанняў (узровень 7). Кліенцкі партал адлюстроўвае падрабязныя справаздачы аб трафіку і дазваляе вам наладзіць кіраванне пагрозамі, напрыклад, шляхам стварэння чорных спісаў злучэнняў. Для карыстальнікаў, якія не жадаюць укараняць усё ў воблаку, Verisign таксама прапануе OpenHybrid, які можна ўсталяваць лакальна. Крэдыт выявы: Wikimedia Commons (Антуан Лам'ель) Падборка лепшых прапаноў дня