Defaults.Exposed › Opravy › CDN / WAF a hosting

Jak opravit CDN / WAF a hosting

Dvě čtení instalatérství za vaším webem: zda sedíte za ochranným štítem (CDN s Web Application Firewall, jako je Cloudflare), který filtruje útoky a absorbuje nápory provozu, a mapa toho, kdo skutečně provozuje váš DNS, web a e-mail. Obojí je informativní v našem hodnocení — neovlivňují vaše hodnocení — ale popisují, jak je váš původní server vystaven útoku a výpadku a jak jsou vaši poskytovatelé zamotaní. Štít vpředu a rozumně rozložená sada poskytovatelů — tak vypadají odolné firmy.

Výsledek pro vaše podnikání: Web bez štítu před sebou přijímá každý útok a každý nápor provozu přímo na původním serveru — takže bot flood, nápor v den spuštění nebo jediný automatizovaný útok vás může offline na hodiny a zotavení je na vás. Umístění CDN/WAF vpředu (dostupná bezplatná úroveň) filtruje naprostou většinu automatizovaných útoků, absorbuje nápory a web celosvětově urychluje — typicky odpoledne práce vašeho IT pracovníka, bez licenčních nákladů. Samostatně, pokud váš DNS, web a e-mail žijí u jednoho poskytovatele, jediný výpadek nebo narušení tam stáhne celou vaši online přítomnost najednou; znát mapu svých poskytovatelů je první věc, kterou potřebujete při incidentu. Ani jedna kontrola nemění vaše hodnocení — ale obojí popisuje skutečnou expozici vůči výpadku, ztrátě prodejů a pomalému, bolestivému zotavení.

Co vás to může stát

• Nápor bot provozu nebo malý DDoS zasáhne váš nechráněný server ráno velké akce — web se plazí nebo padá, zákazníci dostávají chyby u pokladny a vy ztrácíte denní tržby, zatímco váš hostitel hasičáří. CDN/WAF vpředu by ho absorbovalo.
• Váš DNS, web a e-mail vše běží přes jednoho poskytovatele; tento poskytovatel má výpadek a váš web, váš rezervační systém A váš e-mail zhasnou ve stejný moment — nemůžete ani poslat 'jsme si vědomi problému', protože poštovní schránka je také dole.
• Automatizovaný útok prohledává váš web celou noc — skripty SQL injection a hádání přihlášení bušící přímo na váš origin, protože neexistuje žádná vrstva firewallu k jejich filtrování — a dozvíte se o tom jen tehdy, když se něco rozbije. WAF blokuje velkou část tohoto hluku, než vůbec dosáhne vašeho kódu.
• Incident zasáhne a nikdo nemůže odpovědět na základní otázku 'kogo vlastně zavoláme?' — je web na stejném hostiteli jako e-mail? Kdo provozuje DNS? Hodiny se ztrácejí jen mapováním instalatérství, zatímco web zůstává dole.
• IT tým potenciálního zákazníka vás skenuje před podpisem a vidí holý origin server bez CDN/WAF a únikající hlavička verze serveru inzerující přesně jaký software (a verzi) provozujete — malý signál 'tito lidé nezpevnili základy' ve nejhorší možný moment.

Proč na tom záleží. Obě kontroly zde jsou informativní v naší metodologii — jsou zaregistrovány s nula body a nikdy nemění vaše hodnocení — protože popisují vaši infrastrukturu spíše než testují pass/fail bezpečnostní ovládací prvek. Zobrazujeme je, protože mapují skutečnou obchodní expozici. Web bez CDN/WAF přijímá každý útok a nápor provozu přímo na origin, bez filtrování a bez absorpce náporu; přidání (bezplatná úroveň Cloudflare je běžná cesta) je jeden z nejpřínosnějších, nejlevnějších upgradů odolnosti, které malá firma může udělat. A jasná mapa poskytovatelů — vědět, zda je váš DNS, web a e-mail rozdělen nebo naskladněn u jednoho poskytovatele — je první věc, kterou potřebujete, když se něco pokazí a rozdíl mezi obsahnutým incidentem a totálním výpadkem.

Co to je, prostými slovy

Každý web běží na serveru někde. Otázka, na kterou tato stránka odpovídá, je: co stojí mezi otevřeným internetem a tímto serverem — a kdo vlastně provozuje části vaší online přítomnosti?

Existují dvě části:

1. CDN / WAF — štít vpředu. CDN (Content Delivery Network) je globální síť, která sedí před vaším webem, rychle obsluhuje váš obsah návštěvníkům kdekoliv a absorbuje nápory provozu. WAF (Web Application Firewall) je filtr, který kontroluje příchozí požadavky a blokuje škodlivé, než dosáhnou vašeho serveru. Populární služby (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri a další) tyto sdružují. Díváme se na odpovědi vašeho webu a hlásíme, zda vidíme štít vpředu — a také poznameníme, jaký webový server provozujete.

2. Hosting / mapa poskytovatelů — kdo provozuje vaše instalatérství. Čteme veřejné záznamy, které říkají, kdo zpracovává váš DNS (adresář, který mění vaši doménu na adresu) a kdo zpracovává váš e-mail. Z toho vidíme, zda je váš DNS, web a e-mail rozložen přes poskytovatele (odolný) nebo naskladněn na jednom (pohodlný, ale jediný bod selhání).

Nejdůležitější věc, která se dozíte předem: v našem hodnocení jsou obojí informativní. Neovlivňují vaše hodnocení. Zobrazujeme je, protože popisují, jak je vaše firma vystavena výpadku a útoku — což je jiná, a velmi praktická, otázka než hodnocení.

Co vás to může stát

Nejsou to abstraktní rizika — jsou to každodenní způsoby, jak nechráněné, zamotané nastavení promění malý problém ve špatný den.

• Sraženi offline v den, kdy to nejvíce záleží. Váš web sedí na origin serveru s ničím před ním. Ráno spuštění nebo akce provoz naroste — nebo zasáhne skromný bot flood — a server se nezvládne. Stránky vyprší, pokladna hlásí chybu a ztratíte denní tržby, zatímco váš hostitel hasičáří. CDN absorbuje nápory a WAF filtruje odpadní provoz; společně jsou to rozdíl mezi “rušný den” a “dole celé dopoledne.”

• Vše naráz zhasne. Váš DNS, web a e-mail vše běží přes jediného poskytovatele. Tento poskytovatel má výpadek (stane se to všem nakonec) a váš web, váš rezervační systém a váš e-mail zmizí simultánně. Nemůžete zpracovávat objednávky a nemůžete ani e-mailem zákazníkům říci, že jste si vědomi — protože poštovní schránka je také dole. Rozdělení poskytovatelů znamená, že jedno selhání je obsahnuté, nikoli totální.

• Váš kód přijímá každý útok přímo. Bez WAF každá automatizovaná sonda — injekční pokusy, hádání přihlášení, known-exploit skenery — zasáhne váš aplikační kód bez filtrování. Sázíte, že váš software je bezchybný a plně záplatovaný, navždy. WAF blokuje naprostou většinu tohoto automatizovaného hluku, než vás dosáhne, proměňujíce “konstantní útok na pozadí” na “většinou filtrováno.”

• Pomalý, panikáři incident, protože nikdo nemá mapu. Něco se rozbije a první hodina je ztracena na “počkejte, kdo provozuje náš DNS? Je e-mail na stejném hostiteli? Koho zavoláme?” Když je mapa vašeho poskytovatele nejasná, každý incident začíná od nuly. Znát mapu předem promění zmatek v telefonní hovor.

• Špatný první dojem u opatrného kupujícího. IT tým potenciálního zákazníka vás skenuje před podpisem a vidí holý origin bez CDN/WAF — a hlavičku serveru otevřeně inzerující váš přesný software a verzi. Je to malý signál, ale přistane vás ve sloupci “nezpevnili základy” přesně ve nejhorší chvíli.

Co to skutečně je

CDN / WAF — ochranná vrstva

Když návštěvník (nebo útočník) požaduje váš web, požadavek může jít buď přímo na váš origin server nebo nejprve přes CDN/WAF. Pokud je vpředu štít, tento štít může:

• Filtrovat škodlivé požadavky (část WAF): blokovat injekční pokusy, bot útoky a known exploit vzory, než vůbec dosáhnou vašeho kódu.
• Absorbovat provoz (část CDN): obsluhovat obsah uložený v mezipaměti ze serverů blízkých každému návštěvníkovi a absorbovat nápory, takže spike — legitimní nebo nepřátelský — nezhroutí váš origin.
• Web urychlí: obsah doručovaný z blízkého edge serveru se načítá rychleji pro návštěvníky celosvětově.

Detekujeme štít pohledem na otisky, které tyto služby zanechávají v hlavičkách odpovědí vašeho webu — například hlavička cf-ray (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai) nebo x-sucuri-id (Sucuri). Také čteme hlavičku Server k identifikaci vašeho základního webového serveru (nginx, Apache, IIS, LiteSpeed, Caddy atd.) a označíme jakoukoliv hlavičku X-Powered-By, která přehnaně sdílí.

Jak vypadá ‘dobré’: CDN/WAF detekován před vaším originem a hlavička Server, která neinzeruje konkrétní číslo verze.

Hosting / mapa poskytovatelů — závislosti infrastruktury

Vaše doména tiše ukazuje na několik různých služeb:

• DNS — adresář, který mění vasafirma.com na skutečnou adresu serveru. Čteme záznamy vašeho nameserveru (NS) a rozpoznáváme běžné poskytovatele (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode a regionální registrátoři mezi nimi).
• E-mail — kde je zpracovávána vaše pošta. Čteme vaše MX záznamy a rozpoznáváme běžné poskytovatele (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho a jiné).

Z toho vidíme, zda jsou tyto odpovědnosti rozloženy přes poskytovatele (selhání v jednom nestáhne ostatní) nebo naskladněny u jediného poskytovatele (pohodlné, ale jeden výpadek nebo narušení stáhne vše).

Jak vypadá ‘dobré’: alespoň DNS držený dedikovaným, spolehlivým poskytovatelem spíše než sdružený do stejného účtu jako vše ostatní — takže adresář vaší domény nesdílí osud s vaším webem a schránkou.

Jak to opravit (zdarma, ~1 odpoledne)

Předejte toto vašemu IT pracovníkovi nebo webovému vývojáři — oprava je zdarma. Umístění CDN/WAF před váš web nestojí nic na běžných bezplatných úrovních a potlačení verze vašeho serveru je jednořádkové nastavení. Není žádná licence k nákupu. (Placené možnosti zde jsou pouze monitorování, sledování portfolia a audity — nikdy samotná oprava.) Jediné rozhodnutí majitele je: ano, umístit štít před web.

Protože obě kontroly jsou informativní, nic z toho není hodnoceno — ale CDN/WAF je jeden z nejhodnotnějších upgradů odolnosti, které malá firma může udělat, takže stojí za to.

1. Umístěte CDN/WAF před váš web

Nejběžnější, bezplatná cesta je Cloudflare:

1. Vytvořte bezplatný účet Cloudflare a přidejte svou doménu.
2. Cloudflare přečte vaše stávající DNS záznamy; zkontrolujte, zda importovaly správně.
3. Změňte nameservery vaší domény (u vašeho registrátora) na ty dva, které vám Cloudflare dá. Toto je přepínač, který směruje provoz přes Cloudflare.
4. Nastavte režim SSL/TLS na Full (strict), takže šifrování zůstane end-to-end mezi návštěvníkem → Cloudflare → vaším originem. (Vyhněte se “Flexible”, které ponechává poslední úsek nešifrovaný.)
5. CDN a základní WAF jsou nyní aktivní. Pravidla WAF můžete ladit později, ale výchozí hodnoty již hodně filtrují.

Jiné cesty, v závislosti na vašem stacku:

• AWS CloudFront — vytvořte distribuci odkazující na váš origin; spárujte s AWS WAF pro filtrování. Nejlepší pokud jste již na AWS.
• Sucuri WAF — DNS-based, nevyžaduje žádné změny na vašem serveru; dobrý pokud nemůžete se dotknout originu.
• Fastly / Akamai — podnikové CDN/WAF, typicky pro větší nebo vyšší provoz weby.

Po přepnutí web otestujte, potvrďte, že HTTPS funguje všude a sledujte ho den. Agresivně do mezipaměti neukládejte stránky, které musí zůstat osobní nebo živé (přihlášené oblasti, košíky, pokladny).

2. Přestaňte inzerovat verzi svého serveru

Ať CDN přidáte nebo ne, potlačte verzi, kterou váš server oznamuje — jsou to bezplatné informace, které předáváte útočníkům.

Nginx:

server_tokens off;

Apache (v hlavní konfiguraci):

ServerTokens Prod
ServerSignature Off

Odstraňte přehnaně sdílející hlavičku X-Powered-By (např. z PHP nebo frameworku aplikace) na úrovni serveru nebo CDN — na Cloudflare ji můžete odstranit pravidlem transformace hlavičky odpovědi.

3. Pohlédněte na mapu svých poskytovatelů (volitelné, ~10 minut)

Podívejte se, kde váš DNS, web a e-mail skutečně žijí:

• Pokud všechny tři sedí v jednom účtu poskytovatele, zvažte přesun alespoň DNS k dedikovanému poskytovateli (Cloudflare DNS je zdarma a rychlý). Toto jediné rozdělení znamená, že adresář vaší domény přežije výpadek hostingu.
• Zapište si mapu — DNS poskytovatel, webhostitel, poskytovatel e-mailu, registrátor a kontakt přihlášení/podpory pro každý. Tato jedna stránka je nejužitečnější věc, kterou můžete mít před sebou během incidentu.

Poznámky k platformám

• Google Workspace / Microsoft 365: toto jsou vaši poskytovatelé e-mailu, nikoli váš web. Umístění CDN/WAF před web se nedotýká e-mailu a naopak — jsou to samostatná rozhodnutí. (Mít e-mail u Google/Microsoft a web za Cloudflare je dokonale dobrá, záměrně rozdělená konfigurace.)
• Spravovaní tvůrci webů (Wix, Squarespace, Shopify): tito zahrnují vlastní CDN a úroveň WAF ochrany jako součást platformy, takže možná jste již chráněni, i když naše kontrola hlaviček nejmenuje poskytovatele. Obvykle nemůžete před ně přidat vlastní Cloudflare; to je v pořádku — platforma to zpracovává.
• WordPress na vlastním hostingu: ideální kandidát pro bezplatnou vrstvu Cloudflare vpředu. Kombinujte s firewallem bezpečnostního pluginu pro pravidla na úrovni aplikace.

Běžné chyby

• Provozování holého originu ‘protože web je malý’. Malé weby jsou zasaženy stejnými automatizovanými útoky a bot floody jako velké — boti nejprve nekontrolují vaše tržby. Bezplatná CDN/WAF úroveň existuje přesně pro malé weby; nepoužívat ji je nechat snadnou výhru na stole.
• Použití Cloudflare ‘Flexible’ SSL. Zobrazuje zámek, ale ponechává spojení mezi Cloudflare a vaším originem nešifrované. Vždy použijte Full (strict), aby bylo šifrováno end-to-end.
• Ukládání do mezipaměti špatných věcí. Agresivní ukládání přihlášených stránek, košíků nebo pokla den do mezipaměti může zobrazovat obsah jednoho zákazníka jinému nebo zastaralé ceny. Ukládejte statický obsah do mezipaměti; personalizované a transakční stránky nechejte bez mezipaměti.
• Naskladnění všeho u jednoho poskytovatele bez uvědomění. Pohodlí je v pořádku, pokud jde o vědomé rozhodnutí — ale mnoho firem objeví, že DNS, web a e-mail sdílejí jeden účet, až během výpadku, který stáhne všechny tři. Udělejte z toho rozhodnutí, nikoli objev.
• Ponechání verze serveru na zobrazení. Je to bezplatný, jednořádkový krok zpevnění, který je snadné zapomenout. Vypněte to.

Poznámka k hodnocení

Zcela otevřeně: ani jedna z těchto kontrol neovlivňuje vaše hodnocení. Jsou zaregistrovány v naší metodologii jako informativní, s nula body a nikdy vás nepotrestáme za nechráněný origin nebo nastavení jednoho poskytovatele. Hlásíme je, protože popisují skutečnou expozici vůči výpadku, útoku a pomalému zotavení při incidentu — a protože přidání bezplatného CDN/WAF je jeden z nejhodnotnějších upgradů, které malá firma může udělat. Pokud zde nic neuděláte, vaše hodnocení je nezměněno. Pokud umístíte štít před svůj web a oddělíte DNS, firmu jste zdarma smysluplně odolnější. Takto je správné tuto stránku číst: ne číslo k obraně, ale upgrade odolnosti stojící za přijetím.

Časté dotazy