Австрія 
Азербайджан 
Болгарія 
Боснія та Герцеговина 
Грузія 
Естонія 
Казахстан 
Киргизстан 
Латвія 
Литва 
Молдова 
Німеччина 
Північна Македонія 
Польща 
Румунія 
Сербія 
Словакія 
Словенія 
Таджикистан 
Туркменістан 
Угорщина 
Узбекистан 
Україна 
Хорватія 
Чехія 
Чорногорія 
Швейцарія 
Швеція 
Всім привіт!
Я — Іван Рудницький , Sales Engineer в компанії BAKOTECH. Підкреслю (бо не всі знають), що Sales Engineer не дорівнює Sales Manager, Sales Engineer – це технічний інженер з навичками продажу. Я маю більше ніж 15 років досвіду в якості ІТ-інженера, і наразі моєю основною спеціалізацією є захист вебдодатків.
В роботі я дуже часто стикаюся із запитами клієнтів, які звучать наче просто: «Нам потрібен захист від DDoS-атак». Однак насправді тут багато нюансів, і через це виникає безліч запитань.
Від якого типу DDoS-атаки потрібен захист?
Для якої інфраструктури? On-prem чи хмарної?
Яка специфіка бізнесу компанії-замовника?
Звісно, є кілька підходів до розгортання засобів протидії DDoS-атакам та вторгненням, які мають свої плюси та мінуси. Про це і йтиметься в цій статті.
Але спочатку наведу трошки аналітики.
Згідно зі статистикою, DDoS-атаки — одна з найпоширеніших загроз для кібербезпеки, з якими сьогодні стикаються організації. З початком повномасштабної війни Україна посіла перше місце за кількістю DDoS-атак. Тільки за 9 місяців загальна кількість атак перейшла позначку в 1 200 000 випадків.
З 2005 по 2013 рік загальна кількість інцидентів у світі зросла із сотень до тисяч, а зараз вже складає мільйони на рік. І з кожним роком кількість DDoS-атак продовжує збільшуватись. Зловмисники більш вправно оминають кіберзахист та вигадують все нові шляхи запобігання традиційному пом’якшенню наслідків DDoS.
Тож, як організувати ефективний захист від DDoS-атак та мінімізувати їхній негативний вплив на робочі процеси? Давайте розбиратися.
В статті розглянемо:
- Вимоги до сучасної anti-DDoS-системи
- Способи реалізації компонентів безпеки
- Підходи до архітектури рішень для захисту від DDoS
– Традиційний метод
– Хмарний сервіс DDoS-захисту
– Послуга DDoS-захисту в оператора звʼязку
– Гібридні рішення - Комплексний підхід до розгортання засобів протидії атакам та вторгненям
- Замість висновків
Вимоги до сучасної anti-DDoS-системи
Система повинна забезпечувати автоматизовану протидію DDoS-атакам мережевої інфраструктури та додатків на 2-7 рівнях моделі OSI.
Ці системи архітектурно складаються з таких компонентів:
- Апаратно-програмний комплекс автоматичної боротьби з атаками типу DDoS (очищення трафіку), що поєднує в собі кілька рівнів захисту і використовує спеціалізовані програмні та апаратні складові, побудовані для боротьби з потужними flood-атаками. Якщо наявної потужності каналів зв’язку поточного дата-центру недостатньо для фільтрації широкосмугових DDoS-атак, фільтрація атак повинна базуватися на зовнішньому (наприклад, на рішенні постачальника послуг зв’язку) або хмарному сервісі. У цій ситуації трафік може бути автоматично або вручну перенаправлений у зовнішні центри очищення, у такий спосіб мінімізуючи вплив атаки на канал зв’язку дата-центру.
- Брандмауер вебдодатків (WAF) – це система, призначена для автоматичної боротьби з конкретними атаками, спрямованими на вебдодатки, а також повільними (slowloris) атаками на них.
- Служба підтримки рішень є дуже бажаним, нетехнічним, але організаційним компонентом, який надає допомогу з фільтрацією та/або конфігурацією. В ідеалі вона повинна бути доступна 24/7/365.
Способи реалізації компонентів безпеки
Рекомендовано встановлювати апаратно-програмний комплекс в розрив мережі (inline) – на маршруті руху трафіку. Такий підхід вважається ефективним з погляду протидії DDoS-атакам, але в разі збою компонента захисту, який фільтрує трафік, є шанси, що весь трафік взагалі зникне. Тому необхідно забезпечити відмовостійкість рішення і можливість «bypass» трафіку (тобто проходження його без фільтрації у випадку непрацездатності пристрою, що фільтрує трафік).
При встановленні в inline досягається відразу два позитивних моменти:
1) можливість перевірити «на льоту» весь трафік, а не тільки його частини,
2) захистити всі складові інфраструктури компанії від DDoS-атак як зовнішніх, так і внутрішніх зловмисників.
Також відбувається перевірка вихідного трафіку, що є важливим елементом захисту.
Варто враховувати, що оскільки і маршрутизатори, і брандмауери часто використовують зовнішні «білі» IP-адреси, це відкриває можливість для атаки системи. Річ у тому, що інформація про ці IP-адреси легко доступна зловмиснику. Отже, він може почати з визначення відкритих портів, версії ОС і служб системи, а потім, використовуючи відомі «особливості» стека TCP/IP, атакувати саму систему.
У цьому випадку саме встановлення системи захисту inline дозволяє виявити та відбити ці атаки, захистивши всю інфраструктуру в цілому.
Підходи до архітектури рішень для захисту від DDoS
Розгляньмо чотири основні підходи, враховуючи їхні переваги та недоліки.
Традиційний метод
Традиційним методом захисту від DDoS-атак є встановлення в мережу дата-центру спеціалізованого рішення On-Premise, основною і єдиною функцією якого є фільтрація паразитного трафіку.
Основні переваги:
- Повний контроль над трафіком користувачів, можливість тонкого налаштування відділом інформаційнихмережевих технологій.
- Свідомо не потрібно розголошувати конфіденційні дані (наприклад, ключі шифрування або вміст зашифрованих сеансів) третій стороні.
Основні недоліки:
- Потреба у кваліфікованій службі підтримки, яка знайома з усіма аспектами специфіки DDoS-атак, періодично проходить відповідну підготовку і доступна 24/7/365.
- Необхідність підключення до Інтернету з високою пропускною здатністю. Рішення On-Premise не зможе відфільтрувати атаку, якщо канал між рішенням On-Premise і оператором зв’язку перевантажений паразитичним трафіком.
Дуже важливо своєчасно оновлювати сигнатури та програмне забезпечення рішень On-Premise, аби підтримувати їх в актуальному стані.
Хмарний сервіс DDoS-захисту
У світлі простоти створення масованих DDoS-атак постає питання захисту каналу зв’язку. Впоратись із цією проблемою допомагають хмарні сервіси для захисту від DDoS-атак, пропонуючи технології захисту в хмарі – віддалену, і, як правило, топологічно розподілену мережу.
Основні переваги:
- Швидка реалізація
- Швидка адаптація до багатьох видів і параметрів нападів
- Навчений персонал у постачальника послуг, що знімає із замовника потребу самостійно вчити працівників
Основні недоліки:
- Необхідність постійно або під атакою перенаправляти трафік через хмару. Хмарні сервіси можна використовувати як схему з постійним проходженням трафіку клієнтів через хмару, так і як опцію перемикання трафіку тільки під атакою. В останньому випадку можуть виникати різні негативні наслідки з погляду накопиченої статистики трафіку, швидкості реагування на інциденти (у порівнянні з постійним з’єднанням), відфільтрованих атак, точності фільтрації тощо.
- Залежність від мережевої архітектури хмарного рішення: компанія, що надає хмарне рішення, повинна гарантувати, що її мережа відповідає поточному рівню загроз в будь-який момент часу.
Послуга DDoS-захисту в оператора зв’язку
По суті, це окремий випадок хмарного рішення. Багато постачальників послуг зв’язку додатково пропонують послугу захисту від DDoS-атак на основі свого обладнання. З певного погляду, цей сервіс нагадує хмарне рішення для захисту від DDoS-атак, але з відсутністю необхідності в роздільному перенаправленні трафіку, адже він вже проходить через обладнання провайдера (тобто ви отримуєте все абсолютно прозоро, і вам не потрібно самостійно перенаправляти трафік у хмару).
Попри очевидні переваги такого підходу, існує ряд недоліків, найкритичнішим з яких є відсутність (у більшості випадків) гарантій того, що провайдер зв’язку впорається з DDoS-атакою самостійно. Якщо ні, це може призвести до недоступності захищеної послуги.
Тому я не рекомендую вибирати послугу «захист від DDoS-атак», що надається провайдером зв’язку, як єдиний захід захисту. Вкрай бажано використовувати її спільно з On-Premise, хмарним або гібридним рішенням (за умови, що провайдер, якщо не впорається з DDoS-атакою, пропустить частину паразитичного трафіку далі).
Гібридні рішення: підхід, що дозволяє успішно протидіяти DDoS у великих організаціях
Гібридний підхід до протидії DDoS-атакам полягає в об’єднанні On-Premise і хмарного/провайдерського рішення для компенсації окремих недоліків кожного з рішень.
У цьому підході два рішення використовуються паралельно. Водночас рішення On-Premise використовується для захисту від атак прикладного рівня постійно, а хмарне рішення призначене для фільтрації всіх інших атак і може працювати як always-on, так і на вимогу.
Основні переваги:
- Часткову залежність від хмарної мережі
- Можливість фільтрувати ряд атак прикладного рівня без затримок
- Вищу надійність рішення
Основні недоліки:
- Час реакції на атаку, а також можливі затримки під час перемикання; в процесі комутації захищений ресурс може бути ненадовго недоступний
- Збільшення витрат (з погляду людино-годин) на реалізацію, по суті, двох паралельних рішень одного й того ж завдання.
Отже, кожен із підходів має свої «за» та «проти». Дотримуючись лише одного з них, ви ризикуєте залишити слабкі місця у вашому захисті. Тож я пропоную зосередитись на сильних сторонах рішень, обʼєднавши їх у ще більш потужний захист. Уявімо, що перелічені підходи до архітектури anti-DDoS-рішень, як Avengers, сильні поодинці, але разом — майже непереможні.
Що ми бачимо?
Комплексний підхід до розгортання засобів протидії атакам та вторгненням
Щоб захиститись від сучасних атак, незалежно від типу обраної архітектури рішення, слід дотримуватися комплексного підходу до побудови безпеки.
Рішення для захисту від мережевих атак, спрямоване на вичерпання ресурсів серверів і мережевого обладнання, варто розмістити перед border-маршрутизатором дата-центру компанії, тим самим захистивши всю інфраструктуру компанії від атак такого класу.
Майте на увазі, що такий підхід допомагає захистити не тільки сервери центрів обробки даних, але і border-брандмауер. Якщо ви використовуєте зовнішнє або хмарне рішення, ця вимога виконується автоматично.
Рішення захисту від атак додатків (WAF) має бути встановлено за модулем захисту від мережевих атак.
Така архітектура дозволить ефективно протидіяти майже всім відомим атакам. Структурно система комплексної протидії може мати вигляд, наприклад, як на малюнку нижче. Там також показані компоненти рішення, що захищають від типових атак, а саме:
- DdoS Cloud protection – хмарне рішення для захисту від DDoS-атак;
- DdoS On-premise – рішення в інфраструктурі клієнта;
- WAF – рішення, що забезпечують DDoS-захист на рівні додатків.
Замість висновків
DDoS залишається актуальним і не збирається вмирати – зловмисники не припиняють осучаснювати тактику і методи для здійснення гібридних DDoS-атак, а їх обсяги продовжують зростати. Саме тому компанії мають розглядати нові способи захисту від DDoS, щоб ефективно протидіяти зростанню складності цих атак.
Однак, заради справедливості мушу зазначити, що я доволі часто зіштовхуюся з тим, що компанії думають про захист від DDoS в останню чергу – «нема DDoSу, нема проблеми». Але коли хакери починають атакувати, то вже занадто пізно. Це розповсюджена тенденція як в українських компаніях, так і в закордонних. І на жаль, поки що не всі компанії свідомо підходять до ризику DDoS-атак та можливих фінансових і репутаційних втрат, як наслідок.
