Share
Dette er den andre av en sponset, tre-delt serie som omfatter Incapsula ytelse og sikkerhetstjenester. I første del introduserte jeg deg til Incapsula Website Security og gikk gjennom hvor enkelt det er å integrere nettstedet ditt med sine systemer. Det tar bokstavelig talt bare minutter og gir et utrolig bredt sett av sofistikerte beskyttelse.
I denne veiledningen skal jeg beskrive hvordan Incapsula-sikkerhet kan beskytte din Amazon Web Services-hostede nettside (samt alle nettsteder) fra distribuerte avslag på tjenestenangrep (DDoS).
I hovedsak er DDoS-angrep oftest et koordinert angrep fra tusenvis av kompromitterte "zombie" -datamaskiner mot et bestemt mål - kanskje ditt nettsted. Det er ikke lett å forsvare seg mot disse angrepene. Ikke bare kan DDoS-angrep ta ned tjenestene dine og ødelegge kundenes opplevelse, men de kan også føre til store båndbredder og etterfølgende utgifter.
I neste og tredje episode av denne serien går vi videre til Incapsula CDN & Optimizer og andre funksjoner som komprimering og bildeoptimalisering - det meste av dette er tilgjengelig gratis.
Incapsula er en så spennende og sofistikert tjeneste som jeg håper å overbevise de redaksjonelle gudene på Tuts + for å la meg skrive mer om det. Hvis du har noen forespørsler om fremtidige episoder i denne serien eller spørsmål og kommentarer på dagens, vennligst legg inn dem nedenfor. Du kan også nå meg på Twitter @reifman eller email meg direkte.
Som jeg nevnte i del 1, når du registrerer deg for Incapsula, blir trafikken på nettstedet ditt sømløst dirigert gjennom sitt globalt distribuerte nettverk av kraftige servere. Din innkommende trafikk er intelligent profilert i sanntid, blokkerer de nyeste webtruslene (for eksempel SQL-injeksjonsangrep, skraper, ondsinnede bots, kommentarspammere), og med planer på høyere nivå som motvirker DDoS-angrep. I mellomtiden blir din utgående trafikk spurt opp med CDN & Optimizer. Mange av disse funksjonene tilbys gratis, og du kan prøve alt uten kostnad i løpet av 14-dagers forsøk. Hvis du allerede har flere spørsmål, sjekk ut inkapsulas ofte stillede spørsmål.
Ifølge Imperva, viser en ny bransjestudie at rundt 75% av beslutningstakerne i IT har lidd minst en DDoS de siste 12 månedene, og 31% rapporterte serviceforstyrrelser som et resultat av disse angrepene.
Incapsula beskytter ditt nettsted mot alle tre typer DDoS-angrep:
Incapsula beskytter ditt nettsted mot alle tre typer DDoS-angrep:
Du kan måle den finansielle forpliktelsen til et DDoS-angrep på din bedrift med Incapsula DDoS nedetidskostnadsberegningslønn:
Her er utvalgsresultater vist til meg med mine innstillinger:
Med inkapselen Pro planlegger du en sofistikert Web Application Firewall (WAF) og bakdørbeskyttelse for å minimere ansvar og risiko.
For beskyttelse mot applikasjonslag DDoS-angrep, trenger du Virksomhet plan som begynner på $ 299 per nettsted per måned. De Bedriften planen gir beskyttelse mot nettverkslagangrep.
Incapsula DDoS-beskyttelse vil fungere hvis du er vert for nettstedet ditt på AWS eller en hvilken som helst webverten. Slik blir de levert og hva de gir:
Her er et kart over Incapsula-nettverkets globale datasentre:
Du kan se hvordan din faktiske besøkende og DDoS-trafikken styres av Incapsula før de når nettstedet ditt (ofte speilet av Incapsula for ytelse):
Det finnes også teppe DDoS-beskyttelse for alle typer tjenester (UDP / TCP, SMTP, FTP, SSH, VoIP, etc.) når du registrerer deg for infrastrukturbeskyttelse for en individuell IP-adresse.
Individuell IP-beskyttelse gjør det mulig for brukere å distribuere DDoS Protection for å forsvare alle typer miljøer, inkludert:
Når du blir med i denne tjenesten, vil Incapsula tildele deg en IP-adresse fra vårt eget IP-område for ruting av trafikk. Deretter etableres en tunnel mellom opprinnelses servere (eller rutere / lastbalansere) og inkapslingsnettverket. En gang på plass brukes denne tunnelen til å rute ren trafikk fra nettverket til opprinnelsen, og omvendt. Du sender deretter de tildelte IP-adressene til brukerne via DNS, noe som gjør disse til dine opprinnelige adresser.
Før vi forklarer mer om Incapsula-fordeler for AWS-kunder, la oss gå gjennom mer om DDoS-angrep og nettverksterminologi.
Bildet nedenfor (fra Wikipedia) viser hvordan en angriper utnytter et uoppdagelig nettverk av datamaskiner og kompromittert "zombier" for å få et webprogram på knærne:
Incapsula DDoS-beskyttelse fungerer på applikasjonen (lag 7) og nettverk (lag 3 og 4) av de syv lagene i OSI-modellen. Her er Wikipedias guide til disse lagene for mer detaljer:
Selv om det kan virke komplisert, er disse i hovedsak lagene som DDoS-angrepene bruker, da det er de som kobler nettstedet ditt til Internett-brukere og andre datamaskiner på Internett.
Fra et konseptuelt synspunkt er Incapsula DDoS-beskyttelsen basert på et sett med konsentriske ringer rundt applikasjonen, som hver filtrerer en annen del av trafikken. Hver av disse ringene i seg selv kan lett omgåes; Men de arbeider i fellesskap, de stopper nesten all ondsinnet trafikk. Mens noen DDoS-angrep kan stoppes ved de ytre ringene, kan vedvarende multi-vektorangrep bare stoppes ved å bruke alle (eller de fleste) av dem.
Som sådan forsvarer Incapsula mot alle slags hackingforsøk og angrep, inkludert Open Web Application Security Project (OWASP), ti ti definerte trusler:
Slik fungerer inkapsula-løsningen med fem ringer:
Ring 5: Klient klassifisering vs volumetrisk lag 7 angrep. I noen tilfeller kan angripere bruke et volumetrisk applikasjonslagangrep (for eksempel HTTP-flom) som en distraksjon som skal maskere andre mer målrettede angrep. Incapsula bruker klientklassifisering for å identifisere og filtrere ut disse botsene ved å sammenligne signaturer og undersøke ulike attributter: IP- og ASN-info, HTTP-overskrifter, variasjoner i informasjonskapsler, JavaScript-fotavtrykk og andre signaler. Incapsula skiller mellom mennesker og bot trafikk mellom "gode" og "dårlige" bots, og identifiserer AJAX og APIer.
Ring 4: Visitor Whitelisting og Reputation. Etter flagging og blokkering av den ondsinnede volumetriske trafikken deler Incapsula resten av nettstedstrafikken til "grå" (mistenkelige) og "hvite" (legitime) besøkende. Denne oppgaven støttes av Incapsula-omdømmesystemet.
Ring 3: Webapplikasjonsbrannmur for direkte angrepvektorer. I tillegg til å tilby DDoS-beskyttelse, inneholder Incapsula-løsningen en web-applikasjonsbrannmur (WAF) for bedriftsklasse som beskytter nettsteder mot enhver applikasjonslagstrussel, for eksempel SQL-injeksjon, krypteringsskripting, ulovlig ressurstilgang og ekstern filoppføring. WAF benytter sofistikert trafikkinspeksjonsteknologi og crowdsourcing-teknikker, kombinert med omfattende kompetanse som gir slutt-til-ende applikasjonssikkerhet. Avanserte funksjoner inkluderer en tilpasset reglermotor (IncapRules, vurdert nedenfor), bakdørskallbeskyttelse og integrert tofaktorautentisering (gjennomgått i del ett.)
Ring 2: Progressive utfordringer. Incapsula gjelder et sett med progressive utfordringer som er utformet for å sikre den optimale balansen mellom sterk DDoS-beskyttelse og en uavbrutt brukeropplevelse. Tanken er å minimere falske positive ved å bruke et sett med gjennomsiktige utfordringer (for eksempel informasjonskapsler, JavaScript-utførelse, etc.) for å gi identifisering av klienten (menneske eller bot, "bra" eller "dårlig")..
Ring 1: Behavioral Anomaly Detection. Incapsula bruker anomaliedeteksjonsregler for å oppdage mulige forekomster av sofistikerte lag 7-angrep. Denne ringen fungerer som et automatisert sikkerhetsnett for å fange angrep som kan ha gått gjennom sprekkene.
Ring 0: Dedikert sikkerhetsgruppe. Til slutt støttes din erfaring med Incapsula av Impervas team av erfarne Security Operations Center-fagfolk og 24x7 supportpersonale. De analyserer proaktivt den interne oppførelsen av applikasjonen og oppdager uregelmessig bruk før et problem blir utbredt.
Nedenfor reduserer Incapsula et 250GBps DDoS-angrep, en av internettets største:
Videre er Incapsula Web Application Firewall PCI-sertifisert (PCI ble opprettet av globale kredittorganisasjoner som American Express, MasterCard og Visa):
PCI Security Standards Council er et åpent globalt forum, lansert i 2006, som er ansvarlig for utvikling, ledelse, utdanning og bevisstgjøring av PCIs sikkerhetsstandarder, inkludert datasikkerhetsstandard (PCI DSS), betalingsapplikationssikkerhetsstandard (Payment Application Data Security Standard PA-DSS) og PIN Transaction Security (PTS) krav.
Selvfølgelig er DDoS Protection implementert utenfor nettverket ditt. Dette betyr at bare filtrert trafikk når vertene dine - beskytter investeringen i maskinvare, programvare og nettverksinfrastruktur, samtidig som du sikrer kontinuiteten i bedriften din.
Enten du er vert for søknaden din med AWS eller ikke, spiller det ingen rolle, fordi DDoS-beskyttelsesfunksjonene til Incapsula-løsningen vil beskytte nettstedet ditt. Men hvis du er en AWS-kunde, la deg ikke lure til å tenke på at Amazon vil beskytte deg fullt. Inkapsula gir betydelige tilleggsbeskyttelse.
Som de fleste hostingplattformer er AWS ikke en sikkerhetsplattform. Selv om det tilbyr grunnleggende DDoS-reduksjonsfunksjoner, for eksempel SYN-informasjonskapsler og begrensninger for tilkobling, er det ikke bygget for å forsvare vertsbaserte servere og applikasjoner. Hvis din webserver blir rammet av et program (lag 7) DDoS-angrep, vil AWS ikke beskytte deg. Verre ennå, hvis du lider av et massivt nettverk (lag 3 og 4) DDoS-angrep, vil du bli belastet for den ekstra båndbredden og motta en stor regning ved slutten av måneden. Enhver som har jobbet med Amazon kundeservice, vet at det ikke alltid er lett å få refundering.
Incapsula kompletterer AWS med sin skybaserte DDoS-beskyttelsestjeneste. Denne tjenesten forbedrer AWS grunnleggende sikkerhetsfunksjoner, slik at dine kritiske applikasjoner er fullt beskyttet mot alle typer DDoS-angrep.
Ved hjelp av avansert trafikkinspeksjonsteknologi oppdager Incapsula DDoS Protection for AWS automatisk og reduserer volumetrisk nettverk (OSI-lag 3) og sofistikert applikasjon (lag 7) DDoS-angrep - med nullforstyrrelse for brukere.
Den kontinuerlige servicen sikrer AWS-baserte nettsteder og applikasjoner mot alle typer DDoS-angrep - fra massive volumetriske nettverk (OSI-lag 3 og 4) sperrer til sofistikert applikasjon (lag 7) overfall. Automatisk gjenkjenning og gjennomsiktig reduksjon av DDoS-penetrasjon minimerer falske positiver, noe som sikrer en vanlig brukeropplevelse, selv når den er under angrep.
Hvis du vil eksperimentere med Incapsula og AWS med en prøve EC2-forekomst og enkel guide, følg min Tuts + installasjonsveiledning for WordPress i Amazon Cloud, og bruk deretter del en av denne serien til å registrere deg for Incapsula og gjøre de enkle DNS-endringene å integrere det med nettstedet ditt. Som jeg beskriver i den episoden, tar resultatene raskt og imponerende.
Selvfølgelig, hvis du bruker Amazons DNS-tjeneste Route53, er det like enkelt å konfigurere nettstedet ditt som beskrevet i del ett med min generiske DNS-tjeneste.
Bare logg deg inn i Management53-konsollen og velg deretter til domenepostsettene dine. Fra listen over poster velger du underdomenet du legger til Incapsula, og redigerer posten i Rediger opptakssett dialog.
Hvis du bruker et CNAME, ser det slik ut:
Hvis du bruker en www. eller nakent domene og en A-plate, ser det slik ut:
Hvis du foretrekker bare en visuell gjennomgang, sjekk ut Incapsula demonstrasjonsområdet og noen av disse gode ressursene om Incapsula DDoS-beskyttelse for AWS.
For det første er Incapsula DDoS Protection Overview (pdf) (skjermbilde nedenfor):
Det finnes også disse nyttige, detaljerte referansene:
Og det er også en DDoS destinasjonsside for generiske verter (ikke-AWS).
Incapsula servere utfører robust, dyp pakke inspeksjon for å identifisere og blokkere ondsinnede pakker basert på de mest detaljerte detaljene. Dette tillater dem å umiddelbart undersøke alle attributter av hver innkommende pakke, samtidig som de betjener hundrevis av gigabiter av trafikk med en inlinerate.
700 + Gbps Incapsula-nettverket av globale skrubbesentre reduserer de største DDoS-angrepene, inkludert SYN-flom og DNS-forsterkninger, som kan overstige 100 Gbps. Incapsula-nettverket skalerer etter behov for å motvirke massive volumetriske DDoS-angrep. Dette sikrer at avlastning blir brukt utenfor ditt eget nettverk, slik at bare filtrert trafikk kan nå vertene dine.
Snart vil Incapsula gi den individuelle IP-infrastrukturbeskyttelse jeg nevnte ovenfor for AWS-kunder. Når du er konfigurert, kan du bruke Amazons sikkerhetsgrupper for å sikre at all ekstern trafikk er begrenset til å stamme fra innsiden av Incapsula. Dette eliminerer utenfor angripere fra å ignorere dine tjenester med inkapsula og angripe deg direkte. I hovedsak konfigurerer du bare sikkerhetsgrupper for å begrense med Incapsula-nettverkets IP-adresser.
Og ja, du kan fortsatt bruke CloudFront-domenet ditt til å betjene statiske filer mens du bruker Incapsula for DDoS-reduksjon og AWSs Rute 53 DNS.
Jeg gjennomgikk de første elementene av dette i episode 1; Når nettstedet ditt er konfigurert, ser du det som er oppført på oversikten:
Inkapsula-innstillingene gir deg full kontroll over sitt brede utvalg av kraftige funksjoner. Du kan se DDoS konfigurasjonene fra Web Application Firewall (WAF) undermenyen:
Derfra kan du konfigurere oppførselen til DDoS. Under Avanserte innstillinger du kan instruere inkapsula når og hvordan du skal utfordre mistenkte angripere:
Du kan også hviteliste IP-adresser, nettadresser, enkelte land og mer:
Dashboardets arrangementer Området hjelper deg med å filtrere, identifisere og begynne å svare på angrep av alle slags, inkludert DDoS:
Med hjelp herfra eller fra dine egne spesifikasjoner, kan du konfigurere regler for å filtrere, varsle deg og svare automatisk på slike angrep. De kalles IncapRules. De IncapRules undermenyen gir fullstendige beskrivelser av hvordan du definerer mer detaljerte regler.
Legge til og administrere Liste over regler er ganske enkelt:
IncapRules gir deg muligheten til å utnytte Incapsula-nettverkets hele spekter av kraftige trafikkinspeksjonsevner. Med dem kan du opprette tilpassede retningslinjer basert på HTTP-headerinnhold, geolokalisering og mye mer.
IncapRules syntaks er avhengig av beskrivende navn 'Filters' og et sett med logikkoperatører. Kombinert disse brukes til å danne en sikkerhetsregel (a.k.a. 'Trigger') som fører til en av de forhåndsdefinerte 'Handlingene'. Her er noen eksempler:
I dette bildet konfigurerer vi en regel for å kreve informasjonskapsler hvis mer enn 50 økter er aktive samtidig som høyere aktivitet fra bestemte IP-adresser eller Google Search-bots.
For å motvirke brute force-angrep, kan du distribuere en relativt enkel regel, for å begrense antall påfølgende POST-forespørsler til innloggingssiden. For eksempel blir dette enkle filteret utløst av mer enn 50 påfølgende POST-forespørsler laget av umenneskelige besøkende (ikke-nettlesere) i løpet av et minutt:
Rate> post-ip; 50 & ClientType! = Nettleser [blokksesjon]
Når en gang utløses, kan en slik regel svare med et hvilket som helst antall handlinger. I dette tilfellet er regelen satt til [Block Session] det vil øyeblikkelig avslutte økten. Alternativt kan du sette handlingen til [Varsling], som vil informere deg om hendelsen med e-post og GUI-meldinger.
Selvfølgelig kan generiske hastighetsterskler forstyrre brukeropplevelsen feilaktig. For eksempel vil du kanskje begrense dette til API-en og høyere enn normale forespørselspriser. En ting du kan gjøre er å finjustere regelsyntaxen med [URL] filter, for å lage en regel som ikke vil bli utløst av POST-forespørsler til API-nettadresser:
Rate> post-ip; 50 & URL! = / Api & ClientType! = Nettleser [Block IP]
Når du bruker flere filtre med ulike logiske operatører (for eksempel og / eller, større / mindre enn, og osv.) For å koble mellom dem, tilbyr IncapRules filtersettet grenseløse kombinasjoner, slik at du kan lage tilpasset sikkerhetspolicy for alle typer scenarier.
Du kan lære mer om IncapRules og beskyttelse mot brute force attacks her, eller vær så snill å prøve!
Jeg håper du nyter å lære om Incapsula DDoS Protection. Da jeg ga Incapsula-løsningen en prøve, ble jeg grundig imponert over den enkle integrasjonen og det brede spekteret av kraftige beskyttelsesfunksjoner. Hvis nettstedet ditt kan være utsatt for store angrep, vil DDoS-beskyttelsen vise seg å være utrolig verdifullt og kostnadseffektivt.
Deretter vil jeg dykke dypt inn i Incapsula CDN & Optimizer, som starter med gratisplanen, som inkluderer et innholdsleveringsnettverk, minimering, bildekomprimering, TCP-optimalisering, Forbinding for forhåndsforbindelse og mange flere funksjoner.
Ta gjerne inn dine spørsmål og kommentarer nedenfor. Du kan også nå meg på Twitter @ reifman eller email meg direkte. Du kan også bla gjennom min Tuts + instruktørside for å lese andre opplæringsprogrammer jeg har skrevet.
Accentsconagua