Разбор самых популярных решений защиты от DDoS-атак

Как устроены 3 самых популярных решения по защите от DDoS-атак, каким компаниям подойдет каждое и какое из решений нельзя обойти.

Thumbnail

 

Илья Янгляев,
старший специалист сектора кибербезопасности

 

Защита интернет-канала от провайдера

Клиенту предоставляет защиту провайдер, у которого он берет канал. Этот вариант защиты Orange предоставляет своим клиентам.

Такую защиту нельзя обойти, потому что она стоит на единой точке входа трафика. Атака злоумышленника пройдет только в том случае, если ее мощность будет превышать мощность установленной защиты.

Этот вариант лучше всего подходит для банков и других финансовых организаций, которых регуляторы обязывают размещать серверы для платежных сервисов на своей территории, а не арендовать в дата-центрах.

Как мы увеличили скорость и защитили сеть банка

Рассказываем, как во время карантина мы за неделю увеличили пропускную способность интернет-портов банка и обеспечили защиту от DDoS-атак.

Читать статью

Как технически устроена

Защита, в случае Orange — Internet Umbrella, ставится перед роутером PE (provider edge). Клиентский роутер CE (Customer Edge) при этом может балансировать между несколькими провайдерами и переключаться на провайдера с защитой от DDoS только в момент атаки.

Thumbnail

Оборудование стоит на единой точке входа трафика

 

Плюсы

  • Полный контроль за оборудованием, сервисом и каналами связи.
  • Банки таким образом выполняют требования законодательства по размещению оборудования.
  • Защиту нельзя обойти, как в следующем варианте.
  • Провайдера можно сменить без ущерба сервису.
  • Провайдер несет ответственность за простои оборудования в соответствии с договором и принятыми SLA. Например, платит штрафы, если сервис не будет доступен определенное время.

Минусы

  • Отсутствует гибкость по сравнению с другими вариантами защиты.
  • Требуется мониторинг оборудования, организация взаимодействия с провайдерами, вендорами по поддержке каналов, оборудования, ОС и ПО. 
  • Мощность защиты ограничена мощностью провайдера.
     

Пропуск трафика в случае DDoS-атак через европейское оборудование

Для своих клиентов Orange дополнительно может прогонять трафик через оборудование во Франкфурте — если атаки превышают локальные мощности. Мощность защиты во Франкфурте: до 5 ТБ грубой очистки и до 200 Гб тонкой. Это нивелирует недостаток с ограниченной мощностью защиты от DDoS, предоставляемой провайдером.

Гид по межсетевым экранам

Если вы интересуетесь решениями для безопасности корпоративной сети, узнайте больше о фаерволах нового поколения.

Читать статью

Облачная защита

Клиент так же имеет свое оборудование и арендует канал для выхода в интернет, но защиту берет у облачного провайдера. Такую защиту можно купить у любого провайдера из любой страны и выбрать для себя наиболее мощную.

Этот вариант подходит крупным организациям, но имеет свои издержки.

Как технически устроена

Провайдер меняет IP-адрес клиента в DNS-записи на свой — выступает как прокси-сервер. В итоге весь трафик сначала проходит через облачного провайдера, а затем попадает к клиенту.

Thumbnail

Оборудование подключается удаленно

 

Плюсы

  • Возможность выбора и смены любого облачного провайдера.
  • Полноценная защита от DDoS-атак, включая WAF-решения (защита веб-приложений).
  • Бо́льшая мощность защиты. У облачных провайдеров обычно есть оборудование для отражения более крупных атак, чем у локальных провайдеров.

Минусы

  • Повышенная сетевая задержка, так как центры очистки обычно размещаются только в самых крупных городах и часто не в России. Задержка будет такая же, как будто и сам сайт располагается в другой стране.
  • Дороже варианта защиты канала от провайдера. 
  • Не все сервисы можно защитить таким способом. Часть сервисов не поддерживает режим проксирования, а их доработка может стоить очень дорого.
  • Защиту можно обойти.
  • Отсутствие видимости IP конечных клиентов. Информацию о посетителях сайта до перехода на такую защиту придется совмещать с информацией о тех же посетителей после перехода — их логи поменяются.
     

Гибрид с защитой от провайдера

Защиту от DDoS от провайдера на своем оборудовании можно совместить с облачной защитой. Если будет большая атака, которую провайдер отразить не может, поможет облачная защита.

Облачная защита от CDN-провайдера

У компании нет своего оборудования, она арендует распределенные мощности CDN-провайдера и размещает на них сайт. 

В такой схеме вся инфраструктура не принадлежит компании и поэтому она не подходит банковским сервисам — им нельзя размещать платежное оборудование в сторонних ЦОДах. Зато схема подойдет маленьким компаниям или отдельным некритичным сервисам в больших компаниях — в этих случаях удобнее, когда провайдер сам обеспечивает инфраструктуру и ее безопасность.

Как технически устроена

Компания арендует сервер или мощности на хостинге, провайдер обслуживает оборудование сам и в качестве дополнительной услуги предлагает защиту от DDoS-атак.

Thumbnail

Сам сервер располагается в облаке

 

Плюсы

  • Защиту нельзя обойти, как в варианте со сторонним облачным провайдером.
  • Меньше сетевая задержка при доступе к сайту, так как за счет архитектуры решений CDN-провайдеров сайт расположен наиболее близко к конечному пользователю.
  • Не нужно заботиться о ширине каналов, взаимодействии с разными провайдерами, размещать сервера, не нужен мониторинг железного оборудования.
  • Единый провайдер для всего мира и единый вход для взаимодействия.
  • Поддержка современных технологий, отказоустойчивость и стабильность работы.

Минусы

  • Полная зависимость от CDN-провайдера.
  • Полностью арендованное решение, нет полноценного контроля. 
  • CDN-провайдер может изменить условия размещения, поднять цены.
  • Трудоемкость диагностики при проблемах доступа конечных пользователей к ресурсу, так как команда поддержки распределена по миру и может говорить на другом языке.
Команда кибербезопасности

Специалисты по кибербезопасности Orange Business Services Russia знают, как защитить бизнес от киберугроз, предотвратить атаки и предсказать поведение злоумышленников. Они делятся полезными кейсами из своего опыта.