Defaults.Exposed › Поправки › CDN / WAF & hosting
Как да поправите CDN / WAF & hosting
Две четения на водопровода зад уебсайта ви: дали стоите зад защитен щит (CDN с Web Application Firewall, като Cloudflare), филтриращ атаките и поглъщащ пиковете на трафика, и карта на кой всъщност управлява DNS-а, уебсайта и имейла ви. И двете са информационни по нашата методология — те не местят оценката ви — но описват колко е уязвим оригиналният ви сървър към атака и авария и колко объркани са доставчиците ви. Щит отпред и разумно разделен набор от доставчици е как изглеждат устойчивите бизнеси.
Заключение за вашия бизнес: Уебсайт без щит пред него получава всяка атака и всеки пик на трафик директно на оригиналния сървър — така наводнение от ботове, скок при стартиране или единична автоматизирана атака може да го свали за часове, а възстановяването е ваша отговорност. Поставянето на CDN/WAF отпред (наличен безплатен план) филтрира огромното мнозинство от автоматизирани атаки, поглъща скоковете и ускорява сайта в цял свят — обикновено работа на следобед за IT специалиста ви, без лицензна цена. Отделно, ако DNS-ът, уебсайтът и имейлът ви всички живеят при един доставчик, единствена авария или пробив там сваля цялото ви онлайн присъствие наведнъж; познаването на картата на доставчиците е първото нещо, от което се нуждаете при инцидент. Нито една от проверките не променя оценката ви — но и двете описват реалната уязвимост на престой, загубени продажби и бавно, болезнено възстановяване.
Какво може да ви струва това
- Взрив на бот трафик или малък DDoS удря незащитения ви сървър сутринта на голяма промоция — сайтът пълзи или пада, клиентите получават грешки при плащане и губите продажбите за деня, докато хостът ви се суети. CDN/WAF отпред щеше да го поглъща.
- DNS-ът, уебсайтът и имейлът ви всички работят чрез един доставчик; онзи доставчик прекъсва и сайтът ви, системата за резервации И имейлът ви тъмнеят в един момент — дори не можете да изпратите 'осъзнати сме за проблема', защото пощенската кутия е изключена.
- Автоматизирана атака сондира сайта ви цяла нощ — SQL инжекция и скриптове за познаване на пароли удрят оригинала ви директно, защото няма слой на защитна стена да ги филтрира — и разбирате само когато нещо се счупи. WAF блокира по-голямата част от онзи шум преди да достигне до кода ви.
- Инцидент настъпва и никой не може да отговори на основния въпрос 'кого изобщо да викаме?' — уебсайтът на ли е при същия хост като имейла? Кой управлява DNS-а? Часове текат само за картографиране на водопровода, докато сайтът е надолу.
- IT екипът на потенциален клиент ви сканира преди подписване и вижда чист оригинален сървър без CDN/WAF и изтичащ заглавен ред за версия на сървъра, рекламиращ точно какъв софтуер (и версия) използвате — малък сигнал 'тези хора не са укрепили основите' в най-лошия възможен момент.
Защо има значение. И двете проверки тук са информационни по нашата методология — регистрирани с нула точки и никога не променят оценката ви — защото описват инфраструктурата ви, вместо да тестват контрол за сигурност от типа успех/неуспех. Показваме ги, защото картографират реалната бизнес уязвимост. Сайт без CDN/WAF получава всяка атака и пик на трафик директно на оригинала, без филтриране и без поглъщане на скокове; добавянето на един (безплатният план на Cloudflare е обичайният маршрут) е едно от надграждащите устойчивостта подобрения с най-висока стойност и най-ниска цена, които малкият бизнес може да направи. А ясна карта на доставчиците — да знаете дали DNS-ът, уебсайтът и имейлът ви са разделени или стекирани при един доставчик — е първото нещо от което се нуждаете когато нещо се обърка и е разликата между изолиран инцидент и пълно затъмнение.
Какво представлява на прост език
Всеки уебсайт работи на сървър някъде. Въпросът, на който тази страница отговаря, е: какво стои между открития интернет и онзи сървър — и кой всъщност управлява частите на онлайн присъствието ви?
Има две части:
-
CDN / WAF — щитът отпред. CDN (Content Delivery Network) е глобална мрежа, стояща пред сайта ви, сервираща съдържанието ви бързо на посетителите навсякъде и поглъщаща пиковете на трафика. WAF (Web Application Firewall) е филтър, инспектиращ входящите заявки и блокиращ злонамерените преди да достигнат до сървъра ви. Популярните услуги (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri и други) ги комбинират. Разглеждаме отговорите на сайта ви и докладваме дали виждаме щит отпред — и отбелязваме на какъв уеб сървър работите.
-
Карта на хостинга/доставчиците — кой управлява водопровода ви. Четем публичните записи, указващи кой обработва DNS-а ви (директорията, превръщаща домейна ви в адрес), и кой обработва имейла ви. От това можем да кажем дали DNS-ът, уебсайтът и имейлът ви са разделени при доставчиците (устойчиво) или стекирани на едно (удобно, но единствена точка на провал).
Най-важното, което трябва да знаете предварително: по нашата методология и двете са информационни. Те не влияят на оценката ви. Показваме ги, защото описват колко е уязвим вашият бизнес на престой и атака — което е различен, и много практичен, въпрос от оценката.
Какво може да ви струва това
Това не са абстрактни рискове — те са ежедневните начини, по които незащитена, объркана настройка превръща малкия проблем в лош ден.
-
Свален при най-важния момент. Сайтът ви стои на оригиналния сървър без нищо пред него. В сутринта на стартиране или промоция, трафикът скача — или скромно наводнение от ботове удря — и сървърът не се справя. Страниците изтичат, плащането дава грешки и губите приходите за деня, докато хостът ви гаси пожари. CDN поглъща скоковете, а WAF филтрира боклука; заедно са разликата между „натоварен ден” и „надолу цяла сутринта.”
-
Всичко тъмнее наведнъж. DNS-ът, уебсайтът и имейлът ви всички работят чрез един доставчик. Онзи доставчик прекъсва (случва се на всички в края на краищата) и сайтът, системата за резервации и имейлът ви изчезват едновременно. Не можете да обработвате поръчки и дори не можете да изпращате имейл до клиенти, за да кажете, че сте наясно — защото пощенската кутия е изключена. Разделянето на доставчиците означава, че единствен провал е изолиран, а не тотален.
-
Кодът ви получава всяка атака директно. Без WAF, всяка автоматизирана сонда — инжекционни опити, познаване на пароли, сканери за известни уязвимости — удря кода на приложението ви без филтриране. Залагате на това, че sofтуерът ви е безупречен и напълно закърпен, завинаги. WAF блокира огромното мнозинство от онзи автоматизиран шум преди да ви достигне, превръщайки „постоянна фонова атака” в „предимно филтрирано.”
-
Бавен, паникьосан инцидент, защото никой няма картата. Нещо се счупва и първият час се хаби на „чакай, кой управлява DNS-а ни? Имейлът ли е при същия хост? Кого да викаме?” Когато картата на доставчиците е неясна, всеки инцидент започва от нулата. Познаването на картата предварително превръща суматохата в телефонно обаждане.
-
Лошо първо впечатление при внимателен купувач. IT екипът на потенциален клиент ви сканира преди подписване и вижда чист оригинал без CDN/WAF — и заглавен ред на сървъра, открито рекламиращ точния ви софтуер и версия. Малък сигнал е, но ви поставя в колоната „не са укрепили основите” в точно грешния момент.
Какво всъщност е
CDN / WAF — защитният слой
Когато посетител (или нападател) заявява сайта ви, заявката може да отиде директно до оригиналния ви сървър, или може да отиде първо чрез CDN/WAF. Ако има щит отпред, той може да:
- Филтрира злонамерени заявки (частта WAF): блокира инжекционни опити, ботове атаки и известни шаблони за експлоатация преди да достигнат до кода ви.
- Поглъща трафика (частта CDN): сервира кеширано съдържание от сървъри близо до всеки посетител и поглъща скоковете, така че пикът — легитимен или враждебен — не срутва оригинала ви.
- Ускорява сайта: съдържанието, доставено от близък edge сървър, зарежда по-бързо за посетители по целия свят.
Засичаме щит, разглеждайки отпечатъците, оставени от тези услуги в заглавните редове на отговора на сайта ви — например заглавен ред cf-ray (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai) или x-sucuri-id (Sucuri). Четем и заглавния ред Server, за да идентифицираме основния уеб сървър (nginx, Apache, IIS, LiteSpeed, Caddy и т.н.), и маркираме всеки заглавен ред X-Powered-By, споделящ прекалено много.
Как изглежда „добро”: CDN/WAF, засечен пред оригинала ви, и заглавен ред Server, който не рекламира конкретен номер на версия.
Карта на хостинга/доставчиците — зависимостите на инфраструктурата
Домейнът ви тихо сочи към няколко различни услуги:
- DNS — директорията, превръщаща
yourbusiness.comв реалния адрес на сървъра. Четем NS записите ви и разпознаваме общи доставчици (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode и регионални регистратори сред тях). - Имейл — където се обработва пощата ви. Четем MX записите ви и разпознаваме общи доставчици (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho и други).
От това можем да видим дали тези отговорности са разделени при доставчиците (провал в едно не сваля останалите) или стекирани при единствен доставчик (удобно, но единствена авария или пробив сваля всичко).
Как изглежда „добро”: поне DNS, държан от специализиран, надежден доставчик, а не обединен в същия акаунт като всичко останало — така директорията на домейна ви да не споделя съдбата с уебсайта и пощенската кутия.
Как да го поправите (безплатно, ~1 следобед)
Предайте това на IT специалиста или уеб разработчика ви — поправката е безплатна. Поставянето на CDN/WAF пред сайта ви не струва нищо на общите безплатни нива и потискането на версията на сървъра е единична линия настройка. Няма лиценз за купуване. (Платените опции тук са само мониторинг, проследяване на портфолио и одити — никога самата поправка.) Единственото решение на собственика е: да, поставете щит пред сайта.
Тъй като и двете проверки са информационни, нищо от това не е оценено — но CDN/WAF е едно от надграждащите устойчивостта подобрения с най-висока стойност за малкия бизнес, така че си заслужава да се направи.
1. Поставете CDN/WAF пред сайта ви
Най-обичайният, безплатен маршрут е Cloudflare:
- Създайте безплатен акаунт в Cloudflare и добавете домейна си.
- Cloudflare чете съществуващите DNS записи; проверете дали са внесени правилно.
- Променете nameservers на домейна (при регистратора ви) към двата, дадени ви от Cloudflare. Това е превключвателят, насочващ трафика чрез Cloudflare.
- Задайте SSL/TLS режима на Full (strict), за да остане криптирането end-to-end между посетителя → Cloudflare → оригинала ви. (Избягвайте „Flexible”, което оставя последния отрязък некриптиран.)
- CDN-ът и базов WAF сега са активни. Можете да настройвате WAF правила по-късно, но по подразбиране вече филтрират много.
Други маршрути, в зависимост от стека:
- AWS CloudFront — създайте дистрибуция, сочеща към оригинала ви; комбинирайте с AWS WAF за филтриране. Най-добре ако вече сте в AWS.
- Sucuri WAF — базиран на DNS, не изисква промени на сървъра ви; добър ако не можете да пипате оригинала.
- Fastly / Akamai — CDN/WAF от корпоративен клас, обикновено за по-големи или по-натоварени сайтове.
След превключването, тествайте сайта, потвърдете, че HTTPS работи навсякъде и го наблюдавайте за ден. Не кеширайте агресивно страници, трябващи да са персонализирани или актуални (влезли зони, кошници, плащания).
2. Спрете да рекламирате версията на сървъра
Независимо дали добавяте CDN, потиснете версията, обявявана от сървъра ви — тя е безплатна информация, давана на нападателите.
Nginx:
server_tokens off;
Apache (в основната конфигурация):
ServerTokens Prod
ServerSignature Off
Премахнете прекалено споделящ заглавен ред X-Powered-By (например от PHP или рамка на приложение) на ниво сървър или CDN — в Cloudflare можете да го премахнете с правило за трансформация на заглавния ред на отговора.
3. Проверете картата на доставчиците (незадължително, ~10 минути)
Вижте где всъщност живеят DNS-ът, уебсайтът и имейлът ви:
- Ако и трите са в акаунт на един доставчик, помислете поне за преместването на DNS към специализиран доставчик (DNS-ът на Cloudflare е безплатен и бърз). Онова единствено разделяне означава, че директорията на домейна ви оцелява при авария на хостинга.
- Запишете картата — DNS доставчик, уеб хост, доставчик на имейл, регистратор и контакт за влизане/поддръжка за всеки. Онази единствена страница е най-полезното нещо, което можете да имате пред вас при инцидент.
Бележки за платформата
- Google Workspace / Microsoft 365: Това са имейл доставчиците ви, а не уебсайтът ви. Поставянето на CDN/WAF пред уебсайта не пипа имейла и обратното — те са отделни решения. (Имейл при Google/Microsoft и уебсайт зад Cloudflare е перфектно добра, умишлено разделена настройка.)
- Управлявани конструктори на сайтове (Wix, Squarespace, Shopify): Те включват свой CDN и ниво на WAF защита като част от платформата, така че вероятно вече сте защитени, дори ако проверката на заглавния ред не назовава доставчик. Обикновено не можете да добавите свой собствен Cloudflare отпред; това е наред — платформата го обработва.
- WordPress на собствен хостинг: Идеален кандидат за безплатен слой Cloudflare отпред. Комбинирайте с вградената от плъгин за сигурност защитна стена за правила на ниво приложение.
Чести грешки
- Работа на чист оригинал „защото сайтът е малък.” Малките сайтове получават същите автоматизирани атаки и наводнения от ботове като големите — ботовете не проверяват приходите ви първо. Безплатният CDN/WAF план съществува именно за малки сайтове; неизползването му означава оставяне на лесна победа на масата.
- Използване на Cloudflare „Flexible” SSL. Показва катинар, но оставя връзката между Cloudflare и оригинала ви некриптирана. Винаги използвайте Full (strict), за да е криптирано end-to-end.
- Кеширане на грешни неща. Агресивното кеширане на влезли страници, кошници или плащания може да покаже на един клиент съдържанието на друг или остарели цени. Кеширайте статично съдържание; оставете персонализираните и транзакционни страници некеширани.
- Стекиране на всичко при един доставчик без да осъзнавате. Удобството е наред, ако е съзнателен избор — но много бизнеси разбират, че DNS, уеб и имейл споделят един акаунт, само по времето на аварията, свалила и трите. Направете го решение, а не откритие.
- Оставяне на версията на сървъра на показ. Безплатна, еднолинейна стъпка за укрепване, лесна за забравяне. Изключете я.
Бележка за оценката
За да бъда напълно ясен: нито една от тези проверки не влияе на оценката ви. Те са регистрирани в нашата методология като информационни, с нула точки, и никога не ви санкционираме за незащитен оригинал или настройка с единствен доставчик. Докладваме ги, защото описват реалната уязвимост на престой, атака и бавно възстановяване при инцидент — и защото добавянето на безплатен CDN/WAF е едно от надграждащите с най-добра стойност подобрения за малкия бизнес. Ако не направите нищо тук, оценката ви е непроменена. Ако поставите щит пред сайта и разделите DNS, сте направили бизнеса значително по-устойчив безплатно. Така трябва да се чете тази страница: не число за защита, а надграждане на устойчивостта, заслужаващо вземане.
ЧЗВ
Тези не влияят на оценката ми — защо трябва да ме е грижа?
Защото оценката измерва конкретни контроли за сигурност (криптиране, защита срещу спуфинг на имейл, хедъри за сигурност), докато тези две проверки описват устойчивостта ви — колко сте уязвими на престой и атака. Чист сървър без щит може все пак да получи добра оценка на оценените проверки и все пак да бъде сринат от наводнение от ботове в деня на стартирането. Оценката и устойчивостта са различни въпроси; тази страница е за втория. Добавянето на CDN/WAF е едно от надграждащите с най-добра стойност подобрения, независимо от оценката.
Не съм технически — какво всъщност трябва да направя?
Едно решение и едно предаване. Решението: искате ли защитен щит (CDN/WAF) пред сайта ви? За почти всеки бизнес отговорът е да и обичайният маршрут — безплатният план на Cloudflare — не струва нищо. Предаването: дайте раздела 'Как да го поправите' на когото управлява уебсайта или домейна ви. Настройването на безплатен CDN/WAF е обикновено работа на следобед и няма лицензна такса. Поправката е безплатна; само незадължителният мониторинг и инструментите за портфолио са платени.
Каква е разликата между CDN и WAF — трябват ли ми и двата?
CDN (Content Delivery Network) е глобална мрежа от сървъри, стояща пред сайта ви, кешираща съдържанието ви близо до посетителите за по-бързо зареждане и поглъщаща пиковете на трафика, за да не претоварват оригинала ви. WAF (Web Application Firewall) е слой на филтриране, инспектиращ входящите заявки и блокиращ злонамерените — инжекционни опити, ботове атаки, известни шаблони за експлоатация — преди да достигнат до сървъра ви. Добрата новина е, че популярните услуги ги комбинират: включете Cloudflare (или подобен) и получавате CDN и базов WAF заедно. Практически е едно настройване, два ползи.
Лошо ли е, че всички услуги ми са при един доставчик?
Това е риск от концентрация, а не грях. Удобството е реално — една сметка, едно влизане, един ред за поддръжка. Но компромисът е, че единствена авария или единствен компрометиран акаунт могат да сринат DNS-а, уебсайта и имейла ви заедно и да ви оставят неспособни дори да комуникирате за това. Много малки бизнеси приемат това съзнателно. Целта на проверката е просто да направи зависимостта видима, за да е решение, а не изненада. Общо, нискотрудово подобрение е преместването на DNS към специализиран доставчик (DNS-ът на Cloudflare е безплатен), така че поне директорията на домейна ви да не споделя съдбата с хостинга.
Открихме версията на вашия сървърен софтуер — защо има значение?
Когато сървърът ви рекламира точно какъв софтуер използва и коя версия (в заглавния ред 'Server' или 'X-Powered-By'), той дава на нападателите пряк път: могат да потърсят известни уязвимости за точно тази версия и да се прицелят директно към тях. Само по себе си не ви прави несигурни, но е ненужно разкриване на информация — като оставянето на марката и модела на заключалките на входната врата. Потискането на версията (единична линия настройка на сървъра, безплатна) е малка, разумна стъпка за укрепване. Покрита е в стъпките за поправка по-долу.
Поставянето на CDN пред сайта ще счупи ли нещо или ще го забави?
При правилно изпълнение, ускорява сайта — това е целият смисъл на CDN. Основните неща, правилни при настройката, са: уверете се, че HTTPS остава end-to-end (използвайте режим 'Full (strict)' в Cloudflare, а не 'Flexible'), и не кеширайте агресивно страници, трябващи да са персонализирани или актуални (влезли потребители, плащания). Реномираните доставчици са по подразбиране с разумни настройки. Тествайте сайта след превключването на nameservers, наблюдавайте го за ден и ще имате по-бърз, защитен сайт без никакви недостатъци.