Share
Acesta este cel de-al doilea dintr-o serie sponsorizată, cu trei părți, care acoperă performanța și serviciile de securitate Incapsula. În prima parte, v-am prezentat site-ul Incapsula Website Security și ați trecut prin cât de ușor este să vă integrați site-ul cu sistemele sale - este nevoie de doar câteva minute și oferă un set incredibil de larg de protecție sofisticată.
În acest tutorial, voi descrie modul în care securitatea Incapsula vă poate proteja site-ul găzduit de serviciile Amazon Web Services (precum și orice site web) de atacurile distribuite de servicii de distribuire (DDoS).
În esență, atacurile DDoS sunt cel mai adesea un atac coordonat de la mii de computere compromise "zombie" împotriva unei anumite ținte - poate site-ul dvs. Web. Nu este ușor să te aperi împotriva acestor atacuri. Nu numai că atacurile DDoS pot să-ți înlăture serviciile și să-ți ruineze experiența clienților, dar pot duce și la depășiri de lățime de bandă și cheltuieli ulterioare.
În cel de-al treilea și al treilea episod din această serie, vom trece la Incapsula CDN & Optimizer și alte caracteristici, cum ar fi compresia și optimizarea imaginilor - cea mai mare parte a acestora este disponibilă gratuit.
Incapsula este un serviciu atât de interesant și sofisticat, care sper să-i conving pe zeii editoriali de la Tuts + să mă lase să scriu mai multe despre el. Dacă aveți orice solicitări pentru episoadele viitoare din această serie sau întrebări și comentarii despre ziua de astăzi, vă rugăm să le postați mai jos. Puteți să mă contactați și pe Twitter @reifman sau Trimite-mi un email direct.
După cum am menționat în prima parte, când vă înscrieți pentru Incapsula, traficul de pe site-ul dvs. va fi direcționat fără probleme prin rețeaua distribuită de servere puternice la nivel global. Traficul dvs. de intrare este profilat în mod inteligent în timp real, blocând cele mai recente amenințări web (de exemplu, atacuri SQL de injecție, răniți, boți rău-intenționați, spamatori de comentarii) și cu planuri de nivel superior, împiedicând atacurile DDoS. Între timp, traficul dvs. de ieșire este accelerat cu CDN & Optimizer. Multe dintre aceste caracteristici sunt oferite gratuit și puteți încerca toate acestea fără costuri în timpul studiilor de 14 zile. Dacă aveți mai multe întrebări deja, consultați Întrebările frecvente privind incapsulațiile.
Potrivit lui Imperva, "un studiu recent din industrie a arătat că aproximativ 75% dintre factorii de decizie IT au suferit cel puțin un DDoS în ultimele 12 luni, iar 31% au raportat întreruperi ale serviciilor ca urmare a acestor atacuri".
Incapsula protejează în mod cuprinzător site-ul dvs. de toate cele trei tipuri de atacuri DDoS:
Incapsula protejează în mod cuprinzător site-ul dvs. de toate cele trei tipuri de atacuri DDoS:
Puteți măsura răspunderea financiară a unui atac DDoS asupra companiei dvs. cu ajutorul calculatorului Cost incapacitator DDoS:
Iată câteva exemple de rezultate care mi-au fost prezentate cu setările mele:
Cu incapsula Pro planificați, veți obține o protecție sofisticată a Aplicației Web Firewall (WAF) și a unei backdoor pentru a minimiza răspunderea și riscul.
Pentru protecția împotriva atacurilor DDoS la nivel de aplicație, veți avea nevoie de Afaceri plan care începe de la 299 dolari pe site pe lună. Afacere plan oferă protecție împotriva atacurilor pe stratul de rețea.
Protecția Incapsula DDoS va funcționa dacă găzduiți site-ul dvs. la AWS sau orice gazdă web. Iată cum sunt livrate și ce furnizează:
Iată o hartă a centrelor de date globale ale rețelei Incapsula:
Puteți vedea cum vizitatorii dvs. efectivi și traficul DDoS sunt gestionați de Incapsula înainte de a ajunge pe site-ul dvs. (adesea reflectat de Incapsula pentru performanță):
Există, de asemenea, protecție DDoS pentru toate tipurile de servicii (UDP / TCP, SMTP, FTP, SSH, VoIP, etc.) atunci când vă înscrieți pentru protecția infrastructurii pentru o adresă IP individuală.
Protecția individuală IP permite utilizatorilor să implementeze protecția DDoS pentru a apăra toate tipurile de medii, inclusiv:
Când vă înscrieți în acest serviciu, Incapsula vă va atribui o adresă IP din gama noastră IP pentru rutarea traficului. Un tunel este apoi stabilit între serverele de origine (sau routerele / încărcătoarele) și rețeaua Incapsula. Odată instalat, acest tunel este utilizat pentru a direcționa traficul curat din rețeaua noastră către originea dvs. și invers. Apoi, transmiteți adresele IP atribuite utilizatorilor dvs. prin DNS, făcându-le adresele dvs. "originale" nominale.
Înainte de a ne explica mai multe despre avantajele Incapsula pentru clienții AWS, hai să facem mai multe despre atacurile DDoS și terminologia de rețea.
Imaginea de mai jos (de la Wikipedia) arată cum un atacator utilizează o rețea netradițională de computere și compromite "zombi" pentru a aduce o aplicație web în genunchi:
Protecțiile incapsulate DDoS funcționează la aplicația (stratul 7) și la rețeaua (straturile 3 și 4) din cele șapte straturi ale modelului OSI. Iată ghidul Wikipedia pentru aceste straturi pentru mai multe detalii:
Deși poate părea complexă, acestea sunt, în esență, straturile pe care le folosesc atacurile DDoS, acestea fiind cele care vă conectează site-ul web la utilizatorii de Internet și la alte computere de pe Internet.
Din punct de vedere conceptual, protecția Incapsula DDoS se bazează pe un set de inele concentrice în jurul aplicației, fiecare dintre acestea filtrează o porțiune diferită a traficului. Fiecare din aceste inele poate fi usor ocolit; cu toate acestea, lucrând la unison, opresc aproape orice trafic rău intenționat. În timp ce unele atacuri DDoS pot fi oprite la inelele externe, atacurile multi-vector persistente pot fi oprite numai prin utilizarea tuturor (sau celor mai multe).
Ca atare, Incapsula se apără împotriva tuturor tipurilor de încercări și atacuri de hacking, inclusiv Open Web Security Security Project (OWASP), primele zece amenințări definite:
Iată cum funcționează soluția Incapsula cu cinci inele:
Inelul 5: Clasificarea clientului vs. Atacurile volumetrice 7. În unele cazuri, atacatorii pot folosi un atac de nivel volumic al aplicației (de exemplu, inundații HTTP) ca o distragere a atenției care intenționează să mascheze alte atacuri mai bine direcționate. Incapsula utilizează clasificarea clientului pentru a identifica și a filtra aceste roboți prin compararea semnăturilor și examinarea diferitelor atribute: informații IP și ASN, anteturi HTTP, variante de asistență pentru cookie-uri, amprente JavaScript și alte semne de avertizare. Incapsula distinge între traficul de oameni și bot, între bots "bun" și "rău" și identifică AJAX și API-uri.
Inelul 4: Lista de albume a vizitatorilor și reputația. După ce marchează și blochează traficul volumetric rău intenționat, Incapsula divizează restul traficului de site web în vizitatori "gri" (suspect) și "alb" (legitim). Această sarcină este susținută de sistemul de reputație Incapsula.
Inelul 3: Firewall pentru aplicații web pentru vectorii de atac direct. Pe lângă oferirea protecției DDoS, soluția Incapsula include o aplicație Firewall pentru aplicații web (WAF), care protejează site-urile web de orice amenințare la nivel de aplicație, cum ar fi injectarea SQL, scripting cross-site, accesul ilegal la resurse și includerea fișierelor la distanță. WAF utilizează tehnologie sofisticată de inspecție a traficului și tehnici de mulțimire, combinată cu o vastă expertiză care oferă securitate securizată a aplicațiilor. Funcțiile avansate includ un motor cu reguli personalizate (IncapRules, revizuit mai jos), protecția shell shell backdoor și autentificare cu două factori integrate (revizuită în prima parte.)
Inelul 2: provocări progresive. Incapsula aplică un set de provocări progresive care sunt concepute pentru a asigura un echilibru optim între protecția puternică DDoS și o experiență neîntreruptă a utilizatorului. Ideea este de a minimiza false pozitive prin utilizarea unui set de provocări transparente (de exemplu, suport cookie, executare JavaScript etc.) pentru a furniza identificarea exactă a clientului (uman sau bot, "bun" sau "rău").
Inelul 1: Detectarea anomaliilor comportamentale. Incapsula utilizează regulile Anomaly Detection pentru a detecta posibilele cazuri de atacuri sofisticate Layer 7. Acest inel acționează ca o plasă de siguranță automată pentru a prinde atacuri care ar fi putut să se strecoare prin fisuri.
Inelul 0: Echipa de securitate dedicată. În ultimă instanță, experiența dvs. cu Incapsula este susținută de echipa de profesioniști a Centrului de operațiuni de securitate Expert și de personalul de suport 24x7. Ele analizează în mod proactiv comportamentul intern al aplicației și detectează utilizarea neregulată înainte ca orice problemă să devină larg răspândită.
Mai jos, Incapsula atenuează un atac de 250GBps DDoS - unul dintre cele mai mari din Internet:
În plus, Incapsula Web Application Firewall este certificată PCI (PCI a fost creată de organizații globale de credit, cum ar fi American Express, MasterCard și Visa):
Consiliul Standardelor de Securitate PCI este un forum global deschis, lansat în 2006, responsabil pentru dezvoltarea, managementul, educarea și conștientizarea Standardelor PCI de Securitate, inclusiv Standardul de Securitate a Datelor (PCI DSS) PA-DSS) și cerințele privind securitatea tranzacțiilor prin PIN (PTS).
Desigur, protecția DDoS este implementată în afara rețelei. Aceasta înseamnă că numai traficul filtrat ajunge la gazdele dvs. - protejând investiția în hardware, software și infrastructură de rețea, asigurând în același timp continuitatea afacerii dvs..
Fie că vă găzduiți aplicația cu AWS sau nu, nu contează, deoarece capabilitățile de protecție DDoS ale soluției Incapsula vor proteja site-ul dvs. Web. Dar, dacă sunteți un client AWS, nu vă lăsați păcăliți să gândiți că Amazon vă va proteja pe deplin - Incapsula oferă protecții suplimentare semnificative.
Ca majoritatea platformelor de hosting, AWS nu este o platformă de securitate. Deși oferă capabilități de diminuare a dimensiunilor DDoS, cum ar fi cookie-urile SYN și limitarea conexiunilor, acesta nu este construit pentru a apăra servere și aplicații găzduite. Dacă serverul dvs. Web este lovit de o aplicație (stratul 7) atac DDoS, AWS nu vă va proteja. Mai rău, dacă suferiți o rețea masivă (straturile 3 și 4) atac DDoS, veți fi taxat pentru lățimea de bandă suplimentară și veți primi o factură imensă la sfârșitul lunii. Oricine are de-a face cu serviciul de relații cu clienții Amazon știe să primească rambursări nu este întotdeauna ușor.
Incapsula completează AWS cu serviciul de protecție DDoS bazat pe cloud. Acest serviciu îmbunătățește capacitățile de securitate de bază ale AWS, astfel încât aplicațiile critice să fie protejate împotriva tuturor tipurilor de atacuri DDoS.
Folosind tehnologia avansată de inspecție a traficului, Incapsula DDoS Protection pentru AWS detectează și atenuează automat rețeaua volumetrică (stratul OSI 3) și aplicațiile sofisticate (nivelul 7) atacurile DDoS -.
Serviciul său întotdeauna asigură site-uri și aplicații bazate pe AWS împotriva tuturor tipurilor de atacuri DDoS - de la rețelele volumetrice masive (straturi OSI 3 și 4) până la aplicații sofisticate (nivelul 7). Detectarea automată și atenuarea transparentă a penetrărilor DDoS minimizează falsurile pozitive, asigurând o experiență normală a utilizatorului - chiar și atunci când este atacată.
Dacă doriți să experimentați cu Incapsula și AWS cu un exemplu EC2 exemplu și un ghid simplu, urmați ghidul meu de instalare Tuts + pentru WordPress în Amazon Cloud și apoi utilizați o parte din această serie pentru a vă înscrie pentru Incapsula și pentru a face modificările simple DNS pentru ao integra cu site-ul dvs. web. După cum descriu în acel episod, rezultatele se țin rapid și impresionant.
Desigur, dacă utilizați serviciul DNS Amazon Route53, este la fel de ușor să vă configurați site-ul așa cum am descris în prima parte cu serviciul meu generic DNS.
Conectați-vă doar la consola de administrare Route53 și apoi răsfoiți seturile de înregistrări ale domeniului. Din lista de înregistrări, selectați subdomeniul pe care îl adăugați la Incapsula și editați înregistrarea în Editați setul de înregistrări dialog.
Dacă utilizați un CNAME, acesta arată astfel:
Dacă utilizați un www. sau un domeniu gol și o înregistrare A, arată astfel:
Dacă preferați doar o viziune vizuală, verificați site-ul demonstrativ Incapsula și câteva dintre aceste resurse excelente despre protecția Incapsula DDoS pentru AWS.
În primul rând, există Prezentarea generală a protecției Incapsula DDoS (pdf) (screenshot de mai jos):
Există, de asemenea, aceste referințe utile și detaliate:
Și, de asemenea, există o pagină de destinație DDoS pentru gazde generice (non-AWS).
Serverele incapsula efectuează o inspecție robustă și profundă a pachetelor pentru a identifica și a bloca pachetele rău intenționate pe baza celor mai granulate detalii. Acest lucru le permite să examineze instantaneu toate atributele fiecărui pachet primit, oferind simultan sute de gigabiți de trafic la o rată inline.
Rețeaua de 700+ Gbps Incapsula de centre de epurare globală atenuează cele mai mari atacuri DDoS - inclusiv amplificări SYN de inundații și DNS, care pot depăși 100 Gbps. Rețeaua Incapsula scade la cerere pentru a contracara atacurile DDoS volumetrice masive. Acest lucru asigură faptul că atenuarea este aplicată în afara rețelei proprii, permițând doar traficului filtrat să ajungă la gazdele dvs..
În curând, Incapsula va asigura protecția infrastructurii IP individuale pe care am menționat-o mai sus pentru clienții AWS. Odată configurați, puteți utiliza grupurile de securitate ale Amazon pentru a vă asigura că tot traficul extern este restricționat să provină din interiorul Incapsula. Acest lucru elimină atacatorii din afară din ignorarea serviciilor dvs. cu Incapsula și vă atacă direct. În esență, trebuie doar să configurați grupurile de securitate pentru a restricționa adresele IP de rețea Incapsula.
Și da, puteți utiliza în continuare domeniul dvs. CloudFront pentru a servi fișiere statice în timp ce utilizați Incapsula pentru diminuarea DDoS și DNS Route 53 AWS.
Am analizat elementele inițiale ale acestui eveniment în episodul unu; odată ce site-ul dvs. este configurat, îl veți vedea afișat pe tabloul de bord:
Setările Incapsula vă oferă un control complet asupra diverselor sale caracteristici puternice. Puteți vedea configurațiile DDoS din Firewall pentru aplicații web (WAF) sub-meniu:
De acolo, puteți configura comportamentul DDoS-ului dvs. Sub Setari avansate puteți instrui pe Incapsula când și cum să provoace atacatorii suspectați:
Puteți, de asemenea, să includeți liste de adrese IP, adrese URL, anumite țări și altele:
Tabloul de bord este Evenimente vă ajută să filtrați, să identificați și să începeți să răspundeți atacurilor de tot felul, inclusiv DDoS:
Cu ajutorul de aici sau din specificațiile dvs., puteți configura reguli pentru filtrarea, alertarea și răspunsul automat la aceste tipuri de atacuri. Ele sunt numite IncapRules. IncapRules submeniul oferă descrieri complete despre modul de definire a unor reguli mai detaliate.
Adăugarea și gestionarea Lista regulilor este destul de ușor:
IncapRules vă permit să profitați de întreaga gamă de abilități puternice de inspecție a traficului Incapsula. Cu ajutorul acestora puteți crea politici personalizate bazate pe conținut antet HTTP, geolocație și multe altele.
Sintaxa IncapRules se bazează pe "Filtre" și pe un set de operatori logici. Combinate acestea sunt folosite pentru a forma o regulă de securitate (a.k.a. "Trigger") care conduce la una dintre acțiunile predefinite. Iată câteva exemple:
În această imagine, configurăm o regulă pentru a solicita cookie-urile în cazul în care sunt active mai mult de 50 de sesiuni, permițând în același timp o activitate mai mare de la anumite adrese IP sau de pe botsul de căutare Google.
Pentru a combate atacurile de forță brute, puteți implementa o regulă relativ simplă, pentru a limita numărul de solicitări POST ulterioare la pagina dvs. de conectare. De exemplu, acest filtru simplu va fi declanșat de mai mult de 50 de solicitări POST ulterioare făcute de vizitatori inuman (non-browser) în decursul unui minut:
Rata> post-ip; 50 & ClientType! = Browser [Block Session]
Odată declanșat, o astfel de regulă poate răspunde cu orice număr de acțiuni. În acest caz, regula este setată la [Sesiunea de blocare] care va întrerupe imediat sesiunea. Alternativ, puteți seta acțiunea la [Alerta], care vă va înștiința în mod transparent despre incident cu mesajele de e-mail și GUI.
Desigur, pragurile de rată generică pot perturba experiența utilizatorului în mod necorespunzător. De exemplu, ați putea dori să restricționați acest lucru la nivelul API și la ratele de solicitare mai mari decât cele normale. Un lucru pe care îl puteți face este să tweak sintaxa de regulă cu [URL] filtru, pentru a crea o regulă care nu va fi declanșată de solicitările POST către adresele URL API:
Rata> post-ip; 50 & URL! = / Api & ClientType! = Browser [Block IP]
Atunci când utilizați mai multe filtre cu operatori logici diferiți (de exemplu și / sau mai mari / mai mici decât și etc.) pentru a le conecta, setul de filtre IncapRules oferă combinații nelimitate - permițându-vă să creați o politică de securitate personalizată pentru fiecare tip de scenariu.
Puteți afla mai multe despre IncapRules și despre protecția împotriva atacurilor de forță brute aici, sau puteți să încercați!
Sper că vă bucurați să aflați despre protecția Incapsula DDoS. Când am încercat soluția Incapsula, am fost complet impresionată de integrarea simplă și de o gamă largă de capacități puternice de protecție. Dacă aplicația dvs. de pe site poate fi susceptibilă la atacuri la scară largă, protecția DDoS se va dovedi incredibil de valoroasă și eficientă din punct de vedere al costurilor.
Înainte de aceasta, voi începe să profund în Encapsula CDN & Optimizer, începând cu planul gratuit, care include o rețea de livrare a conținutului, minimizare, compresie de imagine, optimizare TCP, conexiune pre-pooling și multe alte caracteristici.
Vă rugăm să nu ezitați să postați întrebările și comentariile dvs. de mai jos. Puteți să mă contactați și pe Twitter @reifman sau să mă trimiteți direct prin e-mail. De asemenea, puteți să răsfoiți pagina instructorului Tuts + pentru a citi celelalte tutoriale pe care le-am scris.
Accentsconagua