Defaults.Exposed › Parandused › CDN / WAF ja hostimine

Kuidas parandada CDN / WAF ja hostimine

Kaks lugemist teie veebisaidi taga olevast torustikust: kas istute kaitsva kilbi taga (CDN koos veebirakenduste tulemüüriga, nagu Cloudflare), mis filtreerib rünnakuid ja neelaks liikluse tõuse, ning kaart sellest, kes tegelikult käitab teie DNS-i, veebisaiti ja meili. Mõlemad on meie hindamisel informatiivsed — need ei muuda teie hinnet — kuid need kirjeldavad, kui palju on teie päritoluserver rünnakutele ja katkestustele avatud, ning kui segi on teie pakkujad. Kilp ees ja mõistlikult jagatud pakkujate kogum on see, mis vastupidavad ettevõtted välja näevad.

Põhijareldus sinu ettevõttele: Veebisait, mille ees pole kilpi, võtab iga rünnaku ja iga liikluse tõusu otse päritoluserverile — seega bot-üleujutus, käivitamispäevane ülekoormus või üksainus automatiseeritud rünnak võib teid tundideks võrguühendusest eemaldada, ning taastumine on teie peal. Kilbi ette asetamine (tasuta taseme saadaval) filtreerib automatiseeritud rünnakutest valdava enamuse, neelab tõuse ja kiirendab saiti üle maailma — tavaliselt teie IT-inimese pärastlõunane töö, ilma litsentsitasuta. Eraldi, kui teie DNS, veebisait ja meil kõik elavad ühe pakkujaga, viib üks katkestus või rikkumine seal kogu teie veebis kohaloleku korraga maha; oma pakkujate kaardi teadmine on esimene asi, mida vajate intsidendis. Kumbki kontroll ei muuda teie hinnet — kuid mõlemad kirjeldavad reaalset kokkupuudet seisakute, kaotatud müügi ja aeglase, valulikule taastumisele.

Mida see sulle maksab

• Bot-liikluse purse või väike DDoS tabab teie kaitsmata serverit suure reklaami hommikul — sait roomab või kukub maha, kliendid saavad vigu kassas, ja kaotate päeva müügi, samal ajal kui teie host kustutab. CDN/WAF ees oleks selle neellanud.
• Teie DNS, veebisait ja meil kõik töötavad ühe pakkuja kaudu; sellel pakkujal on katkestus ning teie sait, teie broneerimissüsteem JA teie meil lähevad kõik pimedaks samal hetkel — te ei saa isegi saata 'oleme teadlikud probleemist', sest postkast on maas.
• Automatiseeritud rünnak otsib teie saiti kogu öö — SQL-süste ja sisselogimise-arvamise skriptid, mis löövad teie päritolu otse, kuna filtreerimisel pole tulemüüri kihti — ning saate seda teada alles siis, kui midagi puruneb. WAF blokeerib selle müra valdava enamiku enne, kui see teie koodini jõuab.
• Juhtum tabab ja keegi ei saa vastata põhiküsimusele 'keda me üldse helistame?' — kas veebisait on samal hostil kui meil? Kes käitab DNS-i? Tunnid valguvad lihtsalt torustiku kaardistamisest, samal ajal kui sait jääb maha.
• Potentsiaalse kliendi IT-meeskond skannib teid enne allkirjastamist ja näeb tühja päritoluserverit, millel pole CDN/WAF, ja lekkivat serveriversiooni päist, mis reklaamib täpselt, millist tarkvara (ja versiooni) käitate — väike 'need inimesed pole põhitõdesid kõvendanud' signaal halvimal võimalikul hetkel.

Miks see on oluline. Mõlemad siin kontrollid on informatiivsed meie metoodikas — need on registreeritud nullpunktidega ja ei muuda kunagi teie hinnet — kuna need kirjeldavad teie infrastruktuuri, mitte testi läbimine/ebaõnnestumise turvakontrolli. Toome neid esile, kuna need kaardistavad tegelikku ärikahju. Kaitsmata CDN/WAF-ta sait võtab iga rünnaku ja liikluse tõusu päritolul otse, ilma filtreerimise ja tõusu neelamata; ühe lisamine (Cloudflare'i tasuta tase on levinud tee) on üks suurima võimendusega, madalaima kuluga vastupidavuse täiustus, mida väikeettevõte teha saab. Ja selge pakkujate kaart — teades, kas teie DNS, veebi ja meil on jagatud või ühe pakkuja peal — on esimene asi, mida vajate, kui midagi läheb valesti, ning vahe piiratud intsidendi ja täieliku katkestuse vahel.

Mis see on lihtsas keeles

Iga veebisait töötab kusagil serveril. Küsimus, millele see leht vastab, on: mis asub avatud interneti ja selle serveri vahel — ning kes tegelikult käitab teie veebis kohaloleku tükke?

Siin on kaks osa:

1. CDN / WAF — kilp ees. CDN (sisuedastusvõrk) on ülemaailmne võrk, mis asub teie saidi ees, serveerib teie sisu kiiresti külastajatele kõikjal, ja neelab liikluse tõuse. WAF (veebirakenduste tulemüür) on filter, mis kontrollib sissetulevaid päringuid ja blokeerib pahatahtlikud enne, kui need teie serverini jõuavad. Populaarsed teenused (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri ja teised) ühendavad need kokku. Vaatame teie saidi vastuseid ja teatame, kas me näeme ees kilpi — ja märgime ka, millist veebiserveri te käitate.

2. Hostimise/pakkuja kaart — kes käitab teie torustikku. Loeme avalikke kirjeid, mis ütlevad, kes käsitleb teie DNS-i (kataloog, mis muudab teie domeeni aadressiks), ja kes käsitleb teie meili. Sellest näeme, kas teie DNS, veebisait ja meil on jagatud üle pakkujate (vastupidav) või koos ühe peal (mugav, kuid üks tõrkepunkt).

Kõige olulisem asi ettepoole teada: meie hindamisel on mõlemad informatiivsed. Need ei mõjuta teie hinnet. Toome neid esile, kuna need kirjeldavad, kui palju on teie ettevõte avatud seisakutele ja rünnakutele — mis on erinev, ja väga praktiline, küsimus hindest.

Mida see võib teile maksma minna

Need pole abstraktsed riskid — need on igapäevased viisid, kuidas kaitsmata, sassis seadistus muudab väikese probleemi halvaks päevaks.

• Maha võetud tähtsamal päeval. Teie sait asub päritoluserveril, mille ees pole midagi. Käivitamise või reklaami hommikul tõuseb liiklus — või tabab tagasihoidlik bot-üleujutus — ning server ei tule toime. Lehed aeguvad, kassas tekib vigu, ja kaotate päeva tulu, samal ajal kui teie host kustutab. CDN neelab tõuse ja WAF filtreerib prügiliikluse; koos on need vahe “kiire päev” ja “hommik maha” vahel.

• Kõik läheb pimedaks korraga. Teie DNS, veebisait ja meil kõik töötavad ühe pakkuja kaudu. Sellel pakkujal on katkestus (see juhtub kõigiga lõpuks) ning teie sait, teie broneerimissüsteem ja teie meil kaovad samaaegselt. Te ei saa tellimusi töödelda, ning te ei saa isegi klientidele meili saata öelda, et olete teadlik — kuna postkast on maas. Pakkujate jagamine tähendab, et üks tõrge on piiratud, mitte täielik.

• Teie kood võtab iga rünnaku otse. Ilma WAF-ita tabab iga automatiseeritud proov — süste katsed, sisselogimise-arvamine, tuntud ärakasutamise skannerid — teie rakenduse koodi ilma filtreerimiseta. Panete kihla, et teie tarkvara on laitmatu ja täielikult paigatud, igavesti. WAF blokeerib selle automatiseeritud müra valdava enamuse enne, kui see teile jõuab, muutes “pidev taustalahingud” “peamiselt filtreeritud”.

• Aeglane, paaniline intsidend, kuna kellelgi pole kaarti. Midagi puruneb ja esimene tund kulub “oota, kes käitab meie DNS-i? Kas meil on samal hostil kui e-kiri? Keda me helistame?” Kui teie pakkujate kaart on ebaselge, algab iga intsidenti nullist. Kaardi teadmine ettepoole muudab mölla telefonikõneks.

• Halb esmamulje hoolikale ostjale. Potentsiaalse kliendi IT-meeskond skannib teid enne allkirjastamist ja näeb tühja päritolu ilma CDN/WAF-ita — ning serveripäist, mis reklaamib avalikult teie täpset tarkvara ja versiooni. See on väike signaal, kuid see paigutab teid “pole põhitõdesid kõvendanud” veergu täpselt vääratel hetkel.

Mis see tegelikult on

CDN / WAF — kaitsev kiht

Kui külastaja (või ründaja) küsib teie saiti, saab päring minna kas otse teie päritoluserverile, või see saab minna läbi CDN/WAF esmalt. Kui on kilp ees, võib see kilp:

• Filtreerida pahatahtlikke päringuid (WAF osa): blokeerida süste katsed, bot-rünnakud ja tuntud ärakasutamismustrid enne, kui need kunagi teie koodini jõuavad.
• Neelata liiklust (CDN osa): serveerida vahemälus sisu kõikjal lähedalt serveritelt ja neelata tõuse, et tipp — legitiimne või vaenulik — ei purustaks teie päritolu.
• Kiirendada saiti: lähimast servaserverist tarnitud sisu laadib kiiremini külastajatele üle maailma.

Tuvastame kilpi teie saidi vastuspäistes jäetud sõrmejälgede järgi — näiteks cf-ray päis (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai) või x-sucuri-id (Sucuri). Loeme ka Server päist, et tuvastada teie aluseks olev veebiserver (nginx, Apache, IIS, LiteSpeed, Caddy jne), ja märgime mis tahes X-Powered-By päist, mis liiga palju jagab.

Mis näeb välja “hea”: CDN/WAF tuvastatud teie päritolu ees, ning Server päis, mis ei reklaami konkreetset versiooninumbrit.

Hostimise/pakkuja kaart — teie infrastruktuuri sõltuvused

Teie domeen osutab vaikselt mitmele erinevale teenusele:

• DNS — kataloog, mis muudab teieettevõte.com tegelikuks serveri aadressiks. Loeme teie nimeserveri (NS) kirjeid ja tunneme ära levinud pakkujad (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner jne).
• Meil — kus teie posti käsitletakse. Loeme teie MX-kirjeid ja tunneme ära levinud pakkujad (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho jne).

Sellest näeme, kas need vastutused on jagatud üle pakkujate (tõrge ühes ei võta teisi maha) või koondatud ühe pakkuja juurde (mugav, kuid üks katkestus või rikkumine võtab kõik).

Mis näeb välja “hea”: vähemalt DNS, mida hoitakse pühendunud, usaldusväärse pakkujaga, mitte samal kontol kõige muu juurde koondatuna — nii et teie domeeni kataloog ei jaga saatust teie veebisaidi ja postkastiga.

Kuidas seda parandada (tasuta, ~1 pärastlõuna)

Andke see oma IT-inimesele või veebiarendajale — parandus on tasuta. CDN/WAF asetamine oma saidi ette ei maksa midagi levinud tasuta tasemete kohta, ning serveri versiooni allasurumine on üherealine seadistus. Pole litsentsi osta. (Siin tasulised valikud on ainult jälgimine, portfellide jälgimine ja auditid — mitte parandus ise.) Omaniku ainuke otsus on: jah, pane kilp saidi ette.

Kuna mõlemad kontrollid on informatiivsed, pole midagi neist hinnatud — kuid CDN/WAF on üks suurima väärtusega vastupidavuse täiustusi, mida väikeettevõte teha saab, nii et seda tasub teha.

1. Asetage CDN/WAF oma saidi ette

Kõige levinum, tasuta tee on Cloudflare:

1. Looge tasuta Cloudflare konto ja lisage oma domeen.
2. Cloudflare loeb teie olemasolevaid DNS-kirjeid; kontrollige, et need imporditasid korrektselt.
3. Muutke oma domeeni nimeservereid (oma registraatoris) nendeks, mida Cloudflare teile annab. See on lüliti, mis suunab liikluse läbi Cloudflare.
4. Seadistage SSL/TLS režiimiks Täis (range), et krüpteerimine jääb otsast otsani külastaja → Cloudflare → teie päritolu vahel. (Vältige “Paindlik”, mis jätab viimase jala krüpteerimata.)
5. CDN ja aluse WAF on nüüd aktiivsed. Saate WAF-i reegleid hiljem häälestada, kuid vaikimisi filtreerivad need juba palju.

Muud teed, sõltuvalt teie virnast:

• AWS CloudFront — loo distributsioon, mis osutab teie päritolule; paaritage AWS WAF-iga filtreerimiseks. Parim, kui olete juba AWS-il.
• Sucuri WAF — DNS-põhine, ei nõua muudatusi teie serveris; hea, kui te ei saa päritoluga puutuda.
• Fastly / Akamai — ettevõttetaseme CDN/WAF, tavaliselt suurematele või suurema liiklusega saitidele.

Pärast lülitamist testige saiti, kinnitage, et HTTPS töötab kõikjal, ja vaadake seda üks päev. Ärge agressiivselt vahemällu panetage lehti, mis peavad jääma isiklikuks või reaalajas (sisse logitud alad, korvid, kassad).

2. Lõpetage serveri versiooni reklaamimine

Olenemata sellest, kas lisate CDN-i, allasurumine versiooni, mida server kuulutab — see on tasuta teave, mida annate ründajatele.

Nginx:

server_tokens off;

Apache (peakonfiguratsioonis):

ServerTokens Prod
ServerSignature Off

Eemaldage liiga jagav X-Powered-By päis (nt PHP-st või rakenduse raamistikust) serveri või CDN-i tasemel — Cloudflare’il saate selle maha stripida vastuse päise muutmise reegli abil.

3. Kontrollige oma pakkujate kaarti (valikuline, ~10 minutit)

Vaadake, kus teie DNS, veebisait ja meil tegelikult elavad:

• Kui kõik kolm asuvad ühe pakkuja kontol, kaaluge vähemalt DNS liigutamist pühendunud pakkujale (Cloudflare DNS on tasuta ja kiire). See üksik jagamine tähendab, et teie domeeni kataloog elab hostimise katkestusest üle.
• Kirjutage kaart üles — DNS-i pakkuja, veebihost, meilipakkuja, registraator, ja sisselogimise/toe kontakt igaühele. See üks leht on kõige kasulikum asi, mis intsidendi ajal teie ees on.

Platvormihoiatused

• Google Workspace / Microsoft 365: need on teie meili pakkujad, mitte teie veebisait. CDN/WAF asetamine veebisaidi ette ei puutu meili, ja vastupidi — need on eraldiseisvad otsused. (Meili omamine Google/Microsoftil ja veebisait Cloudflare’i taga on täiesti hea, tahtlikult jagatud seadistus.)
• Hallatud saidiehitajad (Wix, Squarespace, Shopify): need sisaldavad oma CDN-i ja WAF-kaitset osana platvormist, nii et võite juba olla kaitstud, isegi kui meie päise kontroll ei nimeta pakkujat. Tavaliselt ei saa lisada oma Cloudflare’i ette; see on fine — platvorm käsitleb seda.
• WordPress oma hostimises: ideaalne kandidaat tasuta Cloudflare kihi lisamiseks ette. Ühendage turbeplatikprogrammi tulemüüriga rakenduse taseme reeglite jaoks.

Levinud vead

• Tühja päritolu käitamine “kuna sait on väike”. Väikesed saidid saavad samu automatiseeritud rünnakuid ja bot-üleujutusi nagu suured — botid ei kontrolli esmalt teie tulu. Tasuta CDN/WAF tase eksisteerib täpselt väikeste saitide jaoks; selle mitte kasutamine jätab lihtsa võidu lauale.
• Cloudflare “Paindlik” SSL-i kasutamine. See näitab tabalukku, kuid jätab Cloudflare’i ja teie päritolu vahel oleva ühenduse krüpteerimata. Kasutage alati Täis (range), et see on otsast otsani krüpteeritud.
• Valede asjade vahemällu panemine. Sisse logitud lehtede, korvide või kassade agressiivne vahemällu panemine võib näidata ühele kliendile teise sisu või vananenud hindu. Vahemällu panetage staatiline sisu; jätke isikupärastatud ja tehingulised lehed vahemälu panekuta.
• Kõige ühe pakkuja juurde koondamine ilma seda mõistmata. Mugavus on fine, kui see on teadlik valik — kuid paljud ettevõtted avastavad, et DNS, veebi ja meil jagavad üht kontot alles katkestuse ajal, mis viib kõik kolm maha. Tehke sellest otsus, mitte avastus.
• Serveri versiooni jätmine kuvamisele. See on tasuta, üherealine kõvendamise samm, mida on kerge unustada. Lülitage see välja.

Hindemärkus

Täiesti selgelt öeldes: kumbki neist kontrollidest ei mõjuta teie hinnet. Need on registreeritud meie metoodikas informatiivsena, nullpunktidega, ning me ei karista teid kunagi kaitsmata päritolu või ühe pakkuja seadistuse eest. Aruandlame neist, kuna need kirjeldavad reaalset kokkupuudet seisakute, rünnakute ja aeglase intsidendi taastumisega — ning kuna tasuta CDN/WAF lisamine on üks parimaid väärtuse täiustusi, mida väikeettevõte teha saab. Kui te siin midagi ei tee, on teie hinde muutumatu. Kui panete kilbi oma saidi ette ja jagate DNS-i välja, on teinud ettevõtte oluliselt vastupidavamaks tasuta. See on õige viis sellele lehele mõelda: mitte number kaitsta, vaid vastupidavuse täiustus, mida tasub võtta.

KKK