Облачные инструменты для защиты и восстановления инфраструктуры. Часть 2: Direct Connect, AntiDDoS, WAF, Secure Cloud
По итогам 2024 года количество успешных кибератак на российские компании достигло 130 тысяч случаев, что в 2,5 раза больше, чем годом ранее. При этом большая часть атак пришлась на ИТ-инфраструктуру. В связи с этим бизнес всё чаще выбирает вариант размещения критически значимых сервисов и данных в облаке, а также их защиту с помощью облачных сервисов.
В первой статье серии мы рассказали о том, как защитить данные и быстро восстанавливать инфраструктуру помогают DRaaS, резервное копирование и S3. А в этой остановимся на обзоре Direct Connect, AntiDDoS, WAF и Secure Cloud.
1. AntiDDoS
DDoS-атаки — прямая угроза доступности ИТ-сервисов любой компании. Их цель — перегрузить ресурсы (серверы, сеть, приложения) до полной неработоспособности, вызывая простои, финансовые потери и репутационный ущерб.
Основным средством противодействия DDoS-атакам являются AntiDDoS-инструменты, которые поглощают и фильтруют атакующий трафик, не позволяя ему достигнуть и перегрузить инфраструктуру компании.
Примечательно, что облачные AntiDDoS-решения имеют важные особенности:
- практически безграничное масштабирование, которое позволяет поглощать атаки, неизбежно сокрушающие локальные решения;
- фильтрация на основе ML и глобальной аналитики угроз, что минимизирует ложные срабатывания, обеспечивая доступность для легитимных пользователей;
- автоматическое срабатывание 24/7 для мгновенной реакции на атаку без задержек на обнаружение и запуск защиты.
Подобные преимущества характерны и для сервиса AntiDDoS от VK Cloud, который обеспечивает защиту приложений компаний от DDoS-атак на уровне L3-L4 и блокирует SYN-флуд, UDP-флуд, ICMP-флуд, а также атаки с отражением на основе UDP.
2. WAF
Для повышения защищенности данных и ИТ-инфраструктуры в облаке также можно задействовать WAF — специализированный защитный барьер, анализирующий HTTP/HTTPS-трафик между интернетом и веб-приложением (сайт, API) компании для блокировки атак на уровне приложений.
WAF напрямую предотвращает инциденты безопасности, которые могут привести к сбоям, утечкам данных или необходимости экстренного восстановления систем, защищая от эксплойтов, эксплуатирующих уязвимости в коде самого приложения. Благодаря этому, WAF эффективен, когда нужны:
- защита от атак OWASP Тор-10;
- предотвращение логических атак;
- защита от ботов и переборных атак;
- блокировка атак на 0-day и 1-day уязвимости;
- защита АРI и мобильных приложений;
- предотвращение мошенничеств и не только.
При этом в связке с AntiDDoS WAF значительно эффективнее и позволяет надежнее защищать приложения от всех векторов хакерских атак. Именно подобная интеграция AntiDDoS и WAF доступна пользователям в рамках сервиса AntiDDoS + WAF от VK Cloud.
3. Secure Cloud (Private Cloud)
Аттестованная защищенная облачная платформа для ГИС и ИС с повышенными требованиями к безопасности, которая обеспечивает полную безопасность данных и инфраструктуры, а также предоставляет комплекс мер, где каждый компонент выполняет свою задачу:
- физическая безопасность дата-центров предотвращает несанкционированный доступ, кражи оборудования и физические сбои (пожары, потопы);
- защита гипервизора и нижележащих слоев гарантирует изоляцию виртуальных машин и данных от других клиентов и базовых уязвимостей платформы.
- встроенное шифрование защищает данные от компрометации даже при утечке носителей или перехвате трафика;
- надежная базовая сеть с защитой от спуфинга и сегментацией снижает риски распространения атак;
- инструменты управления идентификацией и доступом, аудит и мониторинг позволяют строго контролировать доступ, быстро выявлять аномалии и неавторизованные изменения, которые могут привести к сбою или уязвимости;
- интеграция с сервисами резервного копирования и восстановления обеспечивает целостность и доступность бэкапов.
Подобные меры можно реализовать в публичном облаке — в том числе, в VK Cloud. Но, например, в случае ГИС и ИС с повышенными требованиями к безопасности, и этого может оказаться недостаточно. Вместе с тем, в облаке можно найти решение и для таких кейсов. Например, VK Cloud предлагает пользователям Secure Cloud — изолированную защищенную облачную платформу, предназначенную для разработки, размещения и масштабирования ГИС и систем обработки персональных данных, а также для размещения и обработки любых иных проектов, к которым предъявляются высокие требования по обеспечению безопасности.
Secure Cloud использует эшелонированную систему защиты, включающую:
- шифрование каналов связи с применением сертифицированных ФСБ России СКЗИ;
- комплексную защиту облачных сервисов, ВМ и каналов связи;
- многофакторную аутентификацию и систему ролевого управления доступом;
- систему мониторинга и аудита, фиксирующую и анализирующую все действия пользователей и администраторов;
- автоматическое переключение на резервные мощности в случае сбоев, обеспечивающее отказоустойчивость;
- сертифицированные средства межсетевого экранирования;
- систему сбора и корреляции событий безопасности с Secure Cloud.
Таким образом, в Secure Cloud максимальную защиту данных и автоматизацию восстановления инфраструктуры можно получить «из коробки».
4. Direct Connect
Один из эффективных вариантов защиты каналов передачи данных и исключения проникновения во внутреннюю сеть компании при работе с гибридной или облачной инфраструктурой — организация выделенных подключений между локальной сетью и облачной инфраструктурой.
Основная ценность выделенных каналов в контексте защиты и устойчивости — предотвращение сбоев связи и обеспечение стабильности критических процессов, особенно при гибридных сценариях, ведь выделенный канал связи предоставляет предсказуемую полосу пропускания с минимальными задержками и высоким SLA доступности. Это важно для:
- бесперебойной работы гибридных приложений (часть в облаке, часть локально), чей сбой парализует бизнес;
- надежной и быстрой передачи больших объемов данных (например, резервных копий, образов систем) в облако для хранения и последующего восстановления;
- организации «теплого» или «горячего» резерва в облаке — данные и системы всегда актуальны благодаря стабильному каналу репликации.
На платформе VK Cloud для организации выделенных подключений между локальной сетью компании и облачной инфраструктурой доступен сервис Cloud Direct Connect:
- выделенное подключение использует L2VPN/L3VPN каналы для организации соединения инфраструктуры компании и ресурсов в облаке VK Cloud;
- сетевая связность между локальной инфраструктурой и VK Cloud обеспечивается через выделенные VLAN;
- защита каналов передачи данных реализуется с помощью шифрования трафика по ГОСТ-алгоритмам (например, в VPN, TLS, IPSec), исключающего перехват и подмену.
Итоги
Выстраивание инфраструктуры и размещение данных в облаке — подход, который позволяет получить максимум инструментов и технологий защиты без долгих ожиданий, сложной настройки, необоснованных переплат и сопутствующих издержек.
Так, пользователям VK Cloud доступны:
- программное решение для аварийного восстановления ИТ-инфраструктуры и данных Cloud Disaster Recovery;
- сервис резервного копирования в облаке Cloud Backup;
- S3-объектное хранилище Object Storage;
- сервис для создания выделенных сетевых соединений Cloud Direct Connect;
- сервис для защиты от DDoS AntiDDoS;
- комбинация AntiDDoS + WAF;
- защищенное облако Secure Cloud (Private Cloud).
Подобного стека достаточно, чтобы закрыть потребности современных компаний и минимизировать риски от большинства существующих типов киберугроз.