Как устроены 3 самых популярных решения по защите от DDoS-атак, каким компаниям подойдет каждое и какое из решений нельзя обойти.
Илья Янгляев,
старший специалист сектора кибербезопасности
Защита интернет-канала от провайдера
Клиенту предоставляет защиту провайдер, у которого он берет канал. Этот вариант защиты Orange предоставляет своим клиентам.
Такую защиту нельзя обойти, потому что она стоит на единой точке входа трафика. Атака злоумышленника пройдет только в том случае, если ее мощность будет превышать мощность установленной защиты.
Этот вариант лучше всего подходит для банков и других финансовых организаций, которых регуляторы обязывают размещать серверы для платежных сервисов на своей территории, а не арендовать в дата-центрах.
Как мы увеличили скорость и защитили сеть банка
Рассказываем, как во время карантина мы за неделю увеличили пропускную способность интернет-портов банка и обеспечили защиту от DDoS-атак.
Как технически устроена
Защита, в случае Orange — Internet Umbrella, ставится перед роутером PE (provider edge). Клиентский роутер CE (Customer Edge) при этом может балансировать между несколькими провайдерами и переключаться на провайдера с защитой от DDoS только в момент атаки.
Оборудование стоит на единой точке входа трафика
Плюсы
- Полный контроль за оборудованием, сервисом и каналами связи.
- Банки таким образом выполняют требования законодательства по размещению оборудования.
- Защиту нельзя обойти, как в следующем варианте.
- Провайдера можно сменить без ущерба сервису.
- Провайдер несет ответственность за простои оборудования в соответствии с договором и принятыми SLA. Например, платит штрафы, если сервис не будет доступен определенное время.
Минусы
- Отсутствует гибкость по сравнению с другими вариантами защиты.
- Требуется мониторинг оборудования, организация взаимодействия с провайдерами, вендорами по поддержке каналов, оборудования, ОС и ПО.
- Мощность защиты ограничена мощностью провайдера.
Пропуск трафика в случае DDoS-атак через европейское оборудование
Для своих клиентов Orange дополнительно может прогонять трафик через оборудование во Франкфурте — если атаки превышают локальные мощности. Мощность защиты во Франкфурте: до 5 ТБ грубой очистки и до 200 Гб тонкой. Это нивелирует недостаток с ограниченной мощностью защиты от DDoS, предоставляемой провайдером.
Гид по межсетевым экранам
Если вы интересуетесь решениями для безопасности корпоративной сети, узнайте больше о фаерволах нового поколения.
Облачная защита
Клиент так же имеет свое оборудование и арендует канал для выхода в интернет, но защиту берет у облачного провайдера. Такую защиту можно купить у любого провайдера из любой страны и выбрать для себя наиболее мощную.
Этот вариант подходит крупным организациям, но имеет свои издержки.
Как технически устроена
Провайдер меняет IP-адрес клиента в DNS-записи на свой — выступает как прокси-сервер. В итоге весь трафик сначала проходит через облачного провайдера, а затем попадает к клиенту.
Оборудование подключается удаленно
Плюсы
- Возможность выбора и смены любого облачного провайдера.
- Полноценная защита от DDoS-атак, включая WAF-решения (защита веб-приложений).
- Бо́льшая мощность защиты. У облачных провайдеров обычно есть оборудование для отражения более крупных атак, чем у локальных провайдеров.
Минусы
- Повышенная сетевая задержка, так как центры очистки обычно размещаются только в самых крупных городах и часто не в России. Задержка будет такая же, как будто и сам сайт располагается в другой стране.
- Дороже варианта защиты канала от провайдера.
- Не все сервисы можно защитить таким способом. Часть сервисов не поддерживает режим проксирования, а их доработка может стоить очень дорого.
- Защиту можно обойти.
- Отсутствие видимости IP конечных клиентов. Информацию о посетителях сайта до перехода на такую защиту придется совмещать с информацией о тех же посетителей после перехода — их логи поменяются.
Гибрид с защитой от провайдера
Защиту от DDoS от провайдера на своем оборудовании можно совместить с облачной защитой. Если будет большая атака, которую провайдер отразить не может, поможет облачная защита.
Облачная защита от CDN-провайдера
У компании нет своего оборудования, она арендует распределенные мощности CDN-провайдера и размещает на них сайт.
В такой схеме вся инфраструктура не принадлежит компании и поэтому она не подходит банковским сервисам — им нельзя размещать платежное оборудование в сторонних ЦОДах. Зато схема подойдет маленьким компаниям или отдельным некритичным сервисам в больших компаниях — в этих случаях удобнее, когда провайдер сам обеспечивает инфраструктуру и ее безопасность.
Как технически устроена
Компания арендует сервер или мощности на хостинге, провайдер обслуживает оборудование сам и в качестве дополнительной услуги предлагает защиту от DDoS-атак.
Сам сервер располагается в облаке
Плюсы
- Защиту нельзя обойти, как в варианте со сторонним облачным провайдером.
- Меньше сетевая задержка при доступе к контенту сайта, так как за счет архитектуры решений CDN-провайдеров контент расположен наиболее близко к конечному пользователю.
- Не нужно заботиться о ширине каналов, взаимодействии с разными провайдерами, размещать сервера, не нужен мониторинг железного оборудования.
- Единый провайдер для всего мира и единый вход для взаимодействия.
- Поддержка современных технологий, отказоустойчивость и стабильность работы.
Минусы
- Полная зависимость от CDN-провайдера.
- Полностью арендованное решение, нет полноценного контроля.
- CDN-провайдер может изменить условия размещения, поднять цены.
- Трудоемкость диагностики при проблемах доступа конечных пользователей к ресурсу, так как команда поддержки распределена по миру и может говорить на другом языке.
Специалисты по кибербезопасности Orange Business Russia знают, как защитить бизнес от киберугроз, предотвратить атаки и предсказать поведение злоумышленников. Они делятся полезными кейсами из своего опыта.