Defaults.Exposed

Defaults.ExposedПоправки › CDN / WAF & hosting

Как да поправите CDN / WAF & hosting

Две четения на водопровода зад уебсайта ви: дали стоите зад защитен щит (CDN с Web Application Firewall, като Cloudflare), филтриращ атаките и поглъщащ пиковете на трафика, и карта на кой всъщност управлява DNS-а, уебсайта и имейла ви. И двете са информационни по нашата методология — те не местят оценката ви — но описват колко е уязвим оригиналният ви сървър към атака и авария и колко объркани са доставчиците ви. Щит отпред и разумно разделен набор от доставчици е как изглеждат устойчивите бизнеси.

Заключение за вашия бизнес: Уебсайт без щит пред него получава всяка атака и всеки пик на трафик директно на оригиналния сървър — така наводнение от ботове, скок при стартиране или единична автоматизирана атака може да го свали за часове, а възстановяването е ваша отговорност. Поставянето на CDN/WAF отпред (наличен безплатен план) филтрира огромното мнозинство от автоматизирани атаки, поглъща скоковете и ускорява сайта в цял свят — обикновено работа на следобед за IT специалиста ви, без лицензна цена. Отделно, ако DNS-ът, уебсайтът и имейлът ви всички живеят при един доставчик, единствена авария или пробив там сваля цялото ви онлайн присъствие наведнъж; познаването на картата на доставчиците е първото нещо, от което се нуждаете при инцидент. Нито една от проверките не променя оценката ви — но и двете описват реалната уязвимост на престой, загубени продажби и бавно, болезнено възстановяване.

Какво може да ви струва това

Защо има значение. И двете проверки тук са информационни по нашата методология — регистрирани с нула точки и никога не променят оценката ви — защото описват инфраструктурата ви, вместо да тестват контрол за сигурност от типа успех/неуспех. Показваме ги, защото картографират реалната бизнес уязвимост. Сайт без CDN/WAF получава всяка атака и пик на трафик директно на оригинала, без филтриране и без поглъщане на скокове; добавянето на един (безплатният план на Cloudflare е обичайният маршрут) е едно от надграждащите устойчивостта подобрения с най-висока стойност и най-ниска цена, които малкият бизнес може да направи. А ясна карта на доставчиците — да знаете дали DNS-ът, уебсайтът и имейлът ви са разделени или стекирани при един доставчик — е първото нещо от което се нуждаете когато нещо се обърка и е разликата между изолиран инцидент и пълно затъмнение.

Какво представлява на прост език

Всеки уебсайт работи на сървър някъде. Въпросът, на който тази страница отговаря, е: какво стои между открития интернет и онзи сървър — и кой всъщност управлява частите на онлайн присъствието ви?

Има две части:

  1. CDN / WAF — щитът отпред. CDN (Content Delivery Network) е глобална мрежа, стояща пред сайта ви, сервираща съдържанието ви бързо на посетителите навсякъде и поглъщаща пиковете на трафика. WAF (Web Application Firewall) е филтър, инспектиращ входящите заявки и блокиращ злонамерените преди да достигнат до сървъра ви. Популярните услуги (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri и други) ги комбинират. Разглеждаме отговорите на сайта ви и докладваме дали виждаме щит отпред — и отбелязваме на какъв уеб сървър работите.

  2. Карта на хостинга/доставчиците — кой управлява водопровода ви. Четем публичните записи, указващи кой обработва DNS-а ви (директорията, превръщаща домейна ви в адрес), и кой обработва имейла ви. От това можем да кажем дали DNS-ът, уебсайтът и имейлът ви са разделени при доставчиците (устойчиво) или стекирани на едно (удобно, но единствена точка на провал).

Най-важното, което трябва да знаете предварително: по нашата методология и двете са информационни. Те не влияят на оценката ви. Показваме ги, защото описват колко е уязвим вашият бизнес на престой и атака — което е различен, и много практичен, въпрос от оценката.

Какво може да ви струва това

Това не са абстрактни рискове — те са ежедневните начини, по които незащитена, объркана настройка превръща малкия проблем в лош ден.

Какво всъщност е

CDN / WAF — защитният слой

Когато посетител (или нападател) заявява сайта ви, заявката може да отиде директно до оригиналния ви сървър, или може да отиде първо чрез CDN/WAF. Ако има щит отпред, той може да:

Засичаме щит, разглеждайки отпечатъците, оставени от тези услуги в заглавните редове на отговора на сайта ви — например заглавен ред cf-ray (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai) или x-sucuri-id (Sucuri). Четем и заглавния ред Server, за да идентифицираме основния уеб сървър (nginx, Apache, IIS, LiteSpeed, Caddy и т.н.), и маркираме всеки заглавен ред X-Powered-By, споделящ прекалено много.

Как изглежда „добро”: CDN/WAF, засечен пред оригинала ви, и заглавен ред Server, който не рекламира конкретен номер на версия.

Карта на хостинга/доставчиците — зависимостите на инфраструктурата

Домейнът ви тихо сочи към няколко различни услуги:

От това можем да видим дали тези отговорности са разделени при доставчиците (провал в едно не сваля останалите) или стекирани при единствен доставчик (удобно, но единствена авария или пробив сваля всичко).

Как изглежда „добро”: поне DNS, държан от специализиран, надежден доставчик, а не обединен в същия акаунт като всичко останало — така директорията на домейна ви да не споделя съдбата с уебсайта и пощенската кутия.

Как да го поправите (безплатно, ~1 следобед)

Предайте това на IT специалиста или уеб разработчика ви — поправката е безплатна. Поставянето на CDN/WAF пред сайта ви не струва нищо на общите безплатни нива и потискането на версията на сървъра е единична линия настройка. Няма лиценз за купуване. (Платените опции тук са само мониторинг, проследяване на портфолио и одити — никога самата поправка.) Единственото решение на собственика е: да, поставете щит пред сайта.

Тъй като и двете проверки са информационни, нищо от това не е оценено — но CDN/WAF е едно от надграждащите устойчивостта подобрения с най-висока стойност за малкия бизнес, така че си заслужава да се направи.

1. Поставете CDN/WAF пред сайта ви

Най-обичайният, безплатен маршрут е Cloudflare:

  1. Създайте безплатен акаунт в Cloudflare и добавете домейна си.
  2. Cloudflare чете съществуващите DNS записи; проверете дали са внесени правилно.
  3. Променете nameservers на домейна (при регистратора ви) към двата, дадени ви от Cloudflare. Това е превключвателят, насочващ трафика чрез Cloudflare.
  4. Задайте SSL/TLS режима на Full (strict), за да остане криптирането end-to-end между посетителя → Cloudflare → оригинала ви. (Избягвайте „Flexible”, което оставя последния отрязък некриптиран.)
  5. CDN-ът и базов WAF сега са активни. Можете да настройвате WAF правила по-късно, но по подразбиране вече филтрират много.

Други маршрути, в зависимост от стека:

След превключването, тествайте сайта, потвърдете, че HTTPS работи навсякъде и го наблюдавайте за ден. Не кеширайте агресивно страници, трябващи да са персонализирани или актуални (влезли зони, кошници, плащания).

2. Спрете да рекламирате версията на сървъра

Независимо дали добавяте CDN, потиснете версията, обявявана от сървъра ви — тя е безплатна информация, давана на нападателите.

Nginx:

server_tokens off;

Apache (в основната конфигурация):

ServerTokens Prod
ServerSignature Off

Премахнете прекалено споделящ заглавен ред X-Powered-By (например от PHP или рамка на приложение) на ниво сървър или CDN — в Cloudflare можете да го премахнете с правило за трансформация на заглавния ред на отговора.

3. Проверете картата на доставчиците (незадължително, ~10 минути)

Вижте где всъщност живеят DNS-ът, уебсайтът и имейлът ви:

Бележки за платформата

Чести грешки

Бележка за оценката

За да бъда напълно ясен: нито една от тези проверки не влияе на оценката ви. Те са регистрирани в нашата методология като информационни, с нула точки, и никога не ви санкционираме за незащитен оригинал или настройка с единствен доставчик. Докладваме ги, защото описват реалната уязвимост на престой, атака и бавно възстановяване при инцидент — и защото добавянето на безплатен CDN/WAF е едно от надграждащите с най-добра стойност подобрения за малкия бизнес. Ако не направите нищо тук, оценката ви е непроменена. Ако поставите щит пред сайта и разделите DNS, сте направили бизнеса значително по-устойчив безплатно. Така трябва да се чете тази страница: не число за защита, а надграждане на устойчивостта, заслужаващо вземане.

ЧЗВ

Тези не влияят на оценката ми — защо трябва да ме е грижа?

Защото оценката измерва конкретни контроли за сигурност (криптиране, защита срещу спуфинг на имейл, хедъри за сигурност), докато тези две проверки описват устойчивостта ви — колко сте уязвими на престой и атака. Чист сървър без щит може все пак да получи добра оценка на оценените проверки и все пак да бъде сринат от наводнение от ботове в деня на стартирането. Оценката и устойчивостта са различни въпроси; тази страница е за втория. Добавянето на CDN/WAF е едно от надграждащите с най-добра стойност подобрения, независимо от оценката.

Не съм технически — какво всъщност трябва да направя?

Едно решение и едно предаване. Решението: искате ли защитен щит (CDN/WAF) пред сайта ви? За почти всеки бизнес отговорът е да и обичайният маршрут — безплатният план на Cloudflare — не струва нищо. Предаването: дайте раздела 'Как да го поправите' на когото управлява уебсайта или домейна ви. Настройването на безплатен CDN/WAF е обикновено работа на следобед и няма лицензна такса. Поправката е безплатна; само незадължителният мониторинг и инструментите за портфолио са платени.

Каква е разликата между CDN и WAF — трябват ли ми и двата?

CDN (Content Delivery Network) е глобална мрежа от сървъри, стояща пред сайта ви, кешираща съдържанието ви близо до посетителите за по-бързо зареждане и поглъщаща пиковете на трафика, за да не претоварват оригинала ви. WAF (Web Application Firewall) е слой на филтриране, инспектиращ входящите заявки и блокиращ злонамерените — инжекционни опити, ботове атаки, известни шаблони за експлоатация — преди да достигнат до сървъра ви. Добрата новина е, че популярните услуги ги комбинират: включете Cloudflare (или подобен) и получавате CDN и базов WAF заедно. Практически е едно настройване, два ползи.

Лошо ли е, че всички услуги ми са при един доставчик?

Това е риск от концентрация, а не грях. Удобството е реално — една сметка, едно влизане, един ред за поддръжка. Но компромисът е, че единствена авария или единствен компрометиран акаунт могат да сринат DNS-а, уебсайта и имейла ви заедно и да ви оставят неспособни дори да комуникирате за това. Много малки бизнеси приемат това съзнателно. Целта на проверката е просто да направи зависимостта видима, за да е решение, а не изненада. Общо, нискотрудово подобрение е преместването на DNS към специализиран доставчик (DNS-ът на Cloudflare е безплатен), така че поне директорията на домейна ви да не споделя съдбата с хостинга.

Открихме версията на вашия сървърен софтуер — защо има значение?

Когато сървърът ви рекламира точно какъв софтуер използва и коя версия (в заглавния ред 'Server' или 'X-Powered-By'), той дава на нападателите пряк път: могат да потърсят известни уязвимости за точно тази версия и да се прицелят директно към тях. Само по себе си не ви прави несигурни, но е ненужно разкриване на информация — като оставянето на марката и модела на заключалките на входната врата. Потискането на версията (единична линия настройка на сървъра, безплатна) е малка, разумна стъпка за укрепване. Покрита е в стъпките за поправка по-долу.

Поставянето на CDN пред сайта ще счупи ли нещо или ще го забави?

При правилно изпълнение, ускорява сайта — това е целият смисъл на CDN. Основните неща, правилни при настройката, са: уверете се, че HTTPS остава end-to-end (използвайте режим 'Full (strict)' в Cloudflare, а не 'Flexible'), и не кеширайте агресивно страници, трябващи да са персонализирани или актуални (влезли потребители, плащания). Реномираните доставчици са по подразбиране с разумни настройки. Тествайте сайта след превключването на nameservers, наблюдавайте го за ден и ще имате по-бърз, защитен сайт без никакви недостатъци.