Защита облачных приложений от DDoS-атак: ответственность провайдера и клиента

Рассказываем, какие сервисы стоит подключить и как настроить.

Защита облачных приложений от DDoS-атак: ответственность провайдера и клиента

Любые сервисы и службы, у которых есть выход в интернет, подвержены DDoS-атакам: сайты, веб-приложения, API, шлюзы. Не важно, лежат они на локальном сервере или в облаке, их надо защищать. Инструменты защиты в любом случае одинаковые: сервисы операторов связи, сервисы специализированных провайдеров защиты или свой центр очистки трафика с локальным программным обеспечением.

Содержание статьи

Привет, мы — Cloud.ru, провайдер облачных и AI-технологий. Многие компании размещают свои веб-приложения и сайты в нашем облаке. А мы предоставляем вычислительные ресурсы и защищаем свою инфраструктуру от DDoS-атак, чтобы усилить безопасность облачных сервисов и доступность пользовательских ресурсов.

Когда мы обсуждаем с клиентами тему кибербезопасности, иногда слышим такие мнения:

  • наш ресурс вряд ли нужно защищать от DDoS-атак,
  • приложению в облаке достаточно защиты облачного провайдера,
  • подключить защиту от DDoS можно и в момент атаки.

Статистика по DDoS-атакам одного из провайдеров сервисов защиты говорит, что в 2023 году атак в России было на 29% больше, чем в прошлом. Самая крупная DDoS-атака достигла максимума в 1,4 Тбит/с.

Реальные истории доказывают, что целью хакеров может стать кто угодно: онлайн-магазин, игровой сервис, авиакомпания, больница, вуз. И цель атаки не всегда деньги. Ее могут использовать, например, как отвлекающий маневр для кражи данных, чтобы испортить репутацию конкурента или просто ради развлечения.

По истории DDoS-атак видно, что меняются тактика и внимание к отраслям, а число и мощность атак неизменно растет.

Облачный провайдер по умолчанию защищает свою инфраструктуру от DDoS-атак, чтобы консоль управления всегда была доступна из интернета. Обычно провайдер работает с несколькими операторами связи и каждый его ЦОД подключен к ним несколькими линками с высокой пропускной способностью. Поэтому даже если случится атака на IP-адрес одного клиента или технологический IP-адрес провайдера, она не отразится на других пользователях облака, у которых может быть, а может и не быть установленной защиты от DDoS.

У облачного провайдера нет доступа к ресурсам, размещенным клиентами в облаке, так что за защиту своих виртуальных машин, приложений и данных отвечает сам заказчик.

Отразить DDoS-атаку в интересах облачного провайдера независимо от того, есть у клиента защита или нет. Но зона его ответственности — облачная инфраструктура, а не конкретный ресурс, развернутый на виртуальной машине.

Подключение сервиса защиты занимает от нескольких минут до нескольких дней в зависимости от типа подключаемой защиты. Самый оперативный способ подключения — веб-защита ресурсов со сменой DNS-записи. Некоторые поставщики сервисов защиты от DDoS предлагают подключение по инциденту, то есть не заранее, а непосредственно уже во время атаки. Но чтобы подключение произошло быстро, нужно уже быть клиентом этого поставщика.

Безопаснее относиться к защите от DDoS как страховке КАСКО, которая не факт, что пригодится, но, если случится ДТП, сильно поможет. Нельзя купить страховку после аварии, а без полиса ущерб не возместят. Аналогично с защитой от DDoS: если ресурс попадет под атаку и будет недоступен какое-то время, вернуть ушедших клиентов будет сложно.

Виды DDoS-атак

Единой классификации DDoS-атак нет: их разделяют по тем или другим критериям в зависимости от того, какую преследуют цель. При этом новые механизмы атак не всегда вписываются в эти классификации.

Защита облачных приложений от DDoS-атак: ответственность провайдера и клиента

Атаки на исчерпание полосы

Характеризуются очень большим потоком трафика, часто это сотни Гбит/с. Цель таких атак — забить канал доступа и остановить работу веб-ресурса. Есть техники, которые генерят огромные объемы трафика без существенных затрат для атакующего, например, амплификация трафика через уязвимые протоколы.

  • Сервисы оператора связи, которые фильтруют входящий трафик по портам атаки на пограничных маршрутизаторах, настраивая ACL вручную или распространяя их по сети через BGP Flowspec. Такой метод эффективен при атаках, созданных путем амплификации трафика, но практически бесполезен при более сложных атаках на уровне L7.
  • Сервисы провайдеров защиты, которые заточены на очистку трафика под эффективную фильтрацию атак на всех уровнях. Нюанс в том, что при их использовании важно обращать внимание на схему интеграции сервиса с защищаемым облачным ресурсом, так как от этого может зависеть эффективность защиты.

Самый простой и очевидный для клиента способ защиты от DDoS на исчерпание ресурсов — тонкая настройка параметров серверов для эффективного использования ресурсов с последующим наращиванием вычислительных мощностей, на которых размещено веб-приложение, и установкой перед ним stateless балансировщика нагрузки. Такой способ условно эффективен для умеренного размера атак. Для более мощных лучше подключать центры очистки оператора связи или провайдера защиты от DDoS.

Защита облачных приложений от DDoS-атак: ответственность провайдера и клиента

Атаки на исчерпание серверных ресурсов

Речь про CPU, оперативную память, дисковое пространство, TCP-порты сетевого стека. Например, атака «SSL/TLS Exhaustion» направлена на веб-ресурсы с шифрованием и эксплуатирует процесс установки SSL, являющийся крайне CPU-ресурсоемким; атака «Low and Slow» эмулирует толпу низкоскоростных клиентов, занимая и удерживая процессы веб-сервера.

Защита облачных приложений от DDoS-атак: ответственность провайдера и клиента

Как защитить от DDoS веб-ресурс в облаке

Защиту от DDoS-атак в облаке можно построить на сервисах операторов связи, сервисах провайдеров защиты или ПО с собственным центром очистки трафика. Можно подключить один сервис, а можно организовать многоуровневую защиту. Любой вариант поможет защитить канал доступа в интернет, сетевую инфраструктуру и веб-ресурсы на всех уровнях модели OSI.

Сервис оператора связи — базовый минимум, который нужен любому приложению. Максимальная емкость фильтрации трафика до уровня L7 у операторов связи — до 320 Гбит/с. Это значит, что сервис защиты справится с небольшими атаками. Точки очистки трафика у операторов связи находятся внутри страны: если источник атаки будет за границей, очистка трафика начнется только когда атака долетит до России.

Купить сервис защиты можно у того же оператора, к которому подключен облачный провайдер, или выбрать другого, чье предложение выглядит привлекательнее. При этом облачный провайдер оставляет за собой право выбора поставщика интернета для своих облачных ресурсов.

Сервис защиты оператора связи справится с небольшими атаками. Центры очистки трафика у операторов связи находятся в России, поэтому если атака придет из-за границы, очистка трафика начнется только когда он долетит до страны
Сервис защиты оператора связи справится с небольшими атаками. Центры очистки трафика у операторов связи находятся в России, поэтому если атака придет из-за границы, очистка трафика начнется только когда он долетит до страны

Сервис провайдера защиты — оптимальный вариант защиты важных для бизнеса приложений. Провайдерами защиты мы называем компании, которые специализируются на информационной безопасности, в том числе на защите от DDoS-атак. Например, это Qrator или Stormwall, с которыми работают большинство российских облачных провайдеров.

Архитектура провайдеров защиты отличается от операторов связи: точки очистки трафика расположены по всему миру и фильтруют трафик близко к источнику атаки, а значит, каналы связи будут меньше перегружены атакой и защита будет эффективнее. Емкость фильтрации трафика у провайдеров защиты гораздо выше: более 4 500 Гбит/с против 300 Гбит/с.

Облачные провайдеры сами не разрабатывают сервисы защиты от DDoS, но работают с известными поставщиками и предлагают их защиту как облачный сервис. Для работы с облаком и сервисом защиты у клиента будет два личных кабинета. Некоторые облачные провайдеры предлагают опцию single sign on, чтобы входить в оба ЛК с одной учетной записью.

Купить защиту через облачного провайдера удобно еще тем, что не придется заключать отдельный договор и всю ответственность за доставку трафика от входящего порта в центр очистки трафика до тенанта клиента будет нести облачный провайдер. Клиент может купить сервис и напрямую у провайдера защиты, которого нет в списке партнеров облачного провайдера. С точки зрения пользования облаком это ничего не меняет. Но тогда ответственность облачного провайдера начнется у порта выхода в интернет конкретного ЦОД и со всем, что происходит дальше в интернете, придется разбираться самостоятельно. Когда зона ответственности делится между несколькими участниками процесса доставки трафика, будет сложнее найти причину потери трафика.

Сервисы провайдеров защиты справятся с мощными атаками больше 1 000 Гбит/с. Центры очистки трафика у провайдеров расположены по всему миру, то есть ближе к источнику атаки. Поэтому трафик начнет очищаться раньше и защита будет более эффективной
Сервисы провайдеров защиты справятся с мощными атаками больше 1 000 Гбит/с. Центры очистки трафика у провайдеров расположены по всему миру, то есть ближе к источнику атаки. Поэтому трафик начнет очищаться раньше и защита будет более эффективной

Собственное ПО и центр очистки трафика — дорогостоящее и сложное решение, которое могут себе позволить только очень крупные компании. Они строят многоуровневую схему защиты сразу из нескольких сервисов и ПО. Например, держат on-premise защиту в резерве и подключают ее во время специфической атаки, с которой не справляются сервисы оператора связи и провайдера защиты. Или когда не готовы раскрывать SSL/TLS сертификаты и отправлять логи веб-сервера поставщику защиты.

Крупные компании могут позволить себе двухуровневую защиту от DDoS с сервисом провайдера защиты и on-premise решением
Крупные компании могут позволить себе двухуровневую защиту от DDoS с сервисом провайдера защиты и on-premise решением

Как облачный провайдер защищается от DDoS

Облачные провайдеры защищают свою инфраструктуру теми же сервисами операторов связи и провайдеров защиты, которые предлагают своим клиентам.

Также облачный провайдер следит за чистотой пула IP-адресов: если он узнает, что какой-то из его IP скомпрометирован, то обязан провести расследование и выяснить, кто находится за этим адресом — этим обычно занимается центр киберзащиты.

Защита облачных приложений от DDoS-атак: ответственность провайдера и клиента

Очищенный трафик от центра фильтрации провайдера защиты передается в облако через физические стыки. Трафик очищается от DDoS-атак на уровнях L3 и L4 OSI и, если тип трафика http и https, то дополнительно на уровне L7. Очищенный трафик через интернет направляется в тенант на публичный IP в облаке.

Схемы подключения сервисов провайдеров защиты в облаке Cloud.ru

Две типовые схемы подключения сервисов защиты облачных веб-ресурсов от DDoS-атак.

Защита по схеме Reverse Proxy с раскрытием сертификатов

Схема защиты веб-сайта или приложения, которое размещено в облаке Cloud․ru и работает по HTTPS. Предполагается раскрытие сертификатов, чтобы сервис защиты мог проверять HTTPS-сессии. В схеме сервис защиты работает как Reverse Proxy: принимает на себя весь трафик, проверяет его и перенаправляет на защищаемый сайт или приложение уже очищенный трафик.

Защита облачных приложений от DDoS-атак: ответственность провайдера и клиента

Защита по схеме TCP Proxy без раскрытия сертификатов

Схема защиты веб-сайта или приложения, которое размещено в облаке Cloud․ru и работает по HTTPS. Раскрытие сертификатов не предполагается.

Сервис защиты работает как TCP Proxy, принимая на себя все входящие соединения и перенаправляя их на защищаемый сайт или приложение. Механизмы очистки выполняются только для трафика уровня L4. Дополнительно клиент может настроить веб-сервер или балансировщик нагрузки для своего веб-сайта, чтобы направить access log в сторону сервиса защиты — это позволит реализовать более глубокую очистку, но все равно менее эффективную, чем в схеме с раскрытием сертификатов.

Защита облачных приложений от DDoS-атак: ответственность провайдера и клиента

Что важно помнить

  • Атаковать могут любое приложение, сайт, шлюз или VPN, у которого есть выход в интернет.
  • Облачный провайдер отвечает за защиту своей облачной инфраструктуры.
  • За безопасность самого веб-ресурса, развернутого на виртуальной машине, отвечает клиент.
  • Защиту от DDoS можно собрать из сервиса оператора связи, сервиса провайдера защиты или on-premise ПО.
  • Защиту от DDoS удобно купить как облачный сервис, если веб-ресурс развернут в облаке.
Начать дискуссию
[]