Defaults.Exposed › Korjaukset › CDN / WAF ja hosting

Kuinka korjata CDN / WAF ja hosting

Kaksi lukemaa verkkosivustosi taustalla olevasta putkistosta: istuuko edessäsi suojaava kilpi (CDN, jossa Web Application Firewall, kuten Cloudflare), joka suodattaa hyökkäykset ja absorboi liikennepiikit, ja kartta siitä, kuka todella pyörittää DNS:äsi, verkkosivustoasi ja sähköpostiasi. Molemmat ovat tiedoksi annettavia pisteytyksessämme – ne eivät muuta arvosanaasi – mutta ne kuvaavat, kuinka alttiina lähtöpalvelimesi on hyökkäykselle ja käyttökatkolle, ja kuinka kietoutuneita toimittajasi ovat. Suoja edessä ja järkevästi jaettu joukko toimittajia on se, miltä resilientit yritykset näyttävät.

Lyhyesti liiketoiminnallesi: Verkkosivusto, jolla ei ole suojaa edessään, ottaa jokaisen hyökkäyksen ja jokaisen liikennepiikin suoraan lähtöpalvelimelle – joten botti-tulva, lanseerauksen aikainen piikki tai yksittäinen automatisoitu hyökkäys voi ottaa sinut offline-tilaan tunneiksi, ja toipuminen on sinun vastuullasi. CDN/WAF:n asettaminen eteen (ilmainen taso saatavilla) suodattaa suurimman osan automatisoiduista hyökkäyksistä, imee piikkejä ja nopeuttaa sivustoa maailmanlaajuisesti – tyypillisesti iltapäivän työtä IT-henkilöllesi ilman lisenssimaksua. Erikseen, jos DNS:si, verkkosivustosi ja sähköpostisi asuvat kaikki yhdellä toimittajalla, yksi käyttökatko tai murtuminen siellä ottaa koko online-läsnäolosi yhtä aikaa alas; toimittajakarttasi tunteminen on ensimmäinen asia, jota tarvitset häiriötilanteessa.

Mitä tämä voi maksaa sinulle

• Botti-liikenne tai pieni DDoS osuu suojaamattomalle palvelimellesi suuren kampanjan aamuna – sivusto ryömii tai kaatuu, asiakkaat saavat virheitä kassalla, menetät päivän myynnit, kun hostisi palokunta sammuttaa. CDN/WAF edessä olisi absorboinut sen.
• DNS:si, verkkosivustosi ja sähköpostisi pyörivät kaikki yhden toimittajan kautta; tuolla toimittajalla on käyttökatko ja sivustosi, varausjärjestelmäsi JA sähköpostisi pimenevät yhtä aikaa – et pysty edes lähettämään 'olemme tietoisia ongelmasta' -sähköpostia, koska postilaatikko on alhaalla myös.
• Automatisoitu hyökkäys testaa sivustoasi koko yön – SQL-injektio- ja kirjautumisarvauskriptit hakkaavat lähtöosoitteesi suoraan, koska ei ole palomuurikerrosta suodattamaan niitä – saat tietää vain kun jotain rikkoutuu. WAF estää suurimman osan siitä melusta ennen kuin se koskaan saavuttaa koodisi.
• Häiriö osuu, eikä kukaan pysty vastaamaan peruskysymykseen 'ketä me edes soitamme?' – onko verkkosivusto samalla hostilla kuin sähköposti? Kuka pyörittää DNS:ää? Tunnit valuvat hukkaan vain putkiston kartoittamiseen, kun sivusto pysyy alhaalla.
• Prospektin IT-tiimi skannaa sinut ennen allekirjoittamista ja näkee paljan lähtöpalvelimen, jolla ei ole CDN/WAF:ia – ja palvelinotsikon, joka mainostaa avoimesti tarkalleen, mitä ohjelmistoa (ja versiota) pyörität – pieni 'nämä ihmiset eivät ole kovettaneet perusasioita' -signaali pahimpaan mahdolliseen hetkeen.

Miksi tällä on merkitystä. Molemmat tarkistukset ovat tiedoksi annettavia metodologiassamme – ne rekisteröidään nollalla pisteellä eivätkä koskaan muuta arvosanaasi – koska ne kuvaavat infrastruktuuriasi, ei testaa läpäisy/epäonnistuminen -tietoturvahallintaa. Tuomme ne esiin, koska ne kartoittavat todellisen liiketoiminta-altistumisen. Sivusto, jolla ei ole CDN/WAF:ia, ottaa jokaisen hyökkäyksen ja liikennepiikin suoraan lähtöosoitteelle, ilman suodatusta; yksi lisääminen (Cloudflareen ilmainen taso on yleinen reitti) on yksi korkeimman vipuvaikutuksen, alhaisimman kustannuksen resilienssipäivityksistä, joita pienyritys voi tehdä.

Mitä tämä on, selkokielellä

Jokainen verkkosivusto pyörii jossakin palvelimella. Kysymys, johon tämä sivu vastaa, on: mitä seisoo avoimen internetin ja tuon palvelimen välillä – ja kuka todella pyörittää online-läsnäolosi osia?

On kaksi osaa:

1. CDN / WAF – suoja edessä. CDN (Content Delivery Network) on globaali verkosto, joka istuu sivustosi edessä, tarjoilee sisältöäsi nopeasti kävijöille kaikkialle, ja imee liikennepiikit, jotta piikki ei murskaa lähtöosoitettasi. WAF (Web Application Firewall) on suodatin, joka tarkistaa saapuvat pyynnöt ja estää haitalliset ennen kuin ne saavuttavat palvelimesi. Suositut palvelut (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri ja muut) niputtavat nämä yhteen. Katsomme sivustosi vastauksia ja raportoimme, näemmekö suojan edessä – ja huomaamme myös, mitä verkkopalvelinta pyörität.

2. Hosting / toimittajakartta – kuka pyörittää putkistoasi. Luemme julkisia tietueita, jotka kertovat kuka hoitaa DNS:äsi (hakemistosi, joka kääntää verkkotunnuksesi osoitteeksi), ja kuka hoitaa sähköpostisi. Tästä näemme, ovatko DNS:si, verkkosivustosi ja sähköpostisi jakautuneena toimittajille (resilientti) vai pinottuina yhdelle (kätevää, mutta yksittäinen vikakohta).

Tärkein asia etukäteen tietää: pisteytyksessämme molemmat nämä ovat tiedoksi annettavia. Ne eivät vaikuta arvosanaasi. Tuomme ne esiin, koska ne kuvaavat, kuinka alttiina yrityksesi on käyttökatkolle ja hyökkäykselle – mikä on eri, ja hyvin käytännöllinen, kysymys arvosanasta.

Mitä tämä voi maksaa yrityksellesi

Nämä eivät ole abstrakteja riskejä – ne ovat arkipäiväisiä tapoja, joilla suojaamaton, kietoutunut asetus muuttaa pienen ongelman huonoksi päiväksi.

• Otetaan offline-tilaan sinä päivänä, jolloin se eniten merkitsee. Sivustosi istuu lähtöpalvelimella, ilman mitään edessä. Lanseerauksen tai kampanjan aamuna liikenne piikkaa – tai vaatimaton botti-tulva osuu – eikä palvelin selviä. Sivut aikakatkaistaan, kassapiste virheistää, menetät päivän tulot, kun hostisi palokunta sammuttaa. CDN absorboi piikit ja WAF suodattaa roskapostin; yhdessä ne ovat ero “kiireinen päivä” ja “alhaalla koko aamu” välillä.

• Kaikki pimenevät kerralla. DNS:si, verkkosivustosi ja sähköpostisi pyörivät kaikki yhden toimittajan kautta. Tuolla toimittajalla on käyttökatko (se tapahtuu kaikille ajoittain) ja sivustosi, varausjärjestelmäsi ja sähköpostisi katoavat yhtä aikaa. Et pysty käsittelemään tilauksia, et pysty edes lähettämään asiakkaille sähköpostia sanoaksesi olevasi tietoinen – koska postilaatikko on alhaalla myös. Toimittajien jakaminen tarkoittaa, että yksi vika on rajattu, ei kokonaisvaltainen.

• Koodisi ottaa jokaisen hyökkäyksen suoraan. Ilman WAF:ia jokainen automatisoitu testaus – injektioyritykset, kirjautumisarvaukset, tunnetut hyödyntämiskeinot – osuu sovelluskoodeesi ilman suodatusta. Veikkaat, että ohjelmistosi on virheettömästi täydellisesti paikkailtu, ikuisesti. WAF estää ylivoimaisen osan siitä automatisoidusta melusta ennen kuin se tavoittaa sinut.

• Hidas, panikoiva häiriö, koska kukaan ei ole kartalla. Jotain rikkoutuu ja ensimmäinen tunti menee hukkaan “odota, kuka pyörittää DNS:äämme? Onko sähköposti samalla hostilla? Ketä soitamme?” Kun toimittajakarttasi on epäselvä, jokainen häiriö alkaa nollasta. Kartan etukäteen tunteminen muuttaa häsellyksen puhelinsoitoksi.

• Huono ensivaikutelma huolelliselle ostajalle. Prospektin IT-tiimi skannaa sinut ennen allekirjoittamista ja näkee paljan lähtöosoitteen, jolla ei ole CDN/WAF:ia – ja palvelin-otsikko mainostaa avoimesti tarkkaa ohjelmistoasi ja versiotasi. Se on pieni signaali, mutta se laskeutuu “eivät ole kovettaneet perusasioita” -sarakkeeseen täsmälleen pahimpana hetkenä.

Mitä se oikeasti on

CDN / WAF – suojaava kerros

Kun kävijä (tai hyökkääjä) pyytää sivustoasi, pyyntö voi joko mennä suoraan lähtöpalvelimellesi, tai se voi mennä ensin CDN/WAF:in kautta. Jos edessä on kilpi, tuo kilpi voi:

• Suodattaa haitallisia pyyntöjä (WAF-osa): estää injektioyritykset, botti-hyökkäykset ja tunnetut hyödyntämiskaaviot ennen kuin ne koskaan tavoittavat koodisi.
• Absorboida liikennettä (CDN-osa): tarjoilla välimuistissa olevaa sisältöä lähipalvelimilta kävijöiden läheltä ja imee piikki, jotta piikki – laillinen tai vihamielinen – ei murskaa lähtöosoitettasi.
• Nopeuttaa sivustoa: läheiseltä reunapalvelimelta toimitettu sisältö latautuu nopeammin kävijöille maailmanlaajuisesti.

Havaitsemme kilven katsomalla sormenjälkiä, joita nämä palvelut jättävät sivustosi vastaustahihin – esimerkiksi cf-ray-otsikko (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai) tai x-sucuri-id (Sucuri). Luemme myös Server-otsikon tunnistaaksemme alla olevan verkkopalvelimesi (nginx, Apache, IIS, LiteSpeed, Caddy ja niin edelleen), ja merkitsemme minkä tahansa X-Powered-By-otsikon, joka on liikaa jakava.

Miltä “hyvä” näyttää: CDN/WAF havaittu lähtöosoitteesi edessä, ja Server-otsikko, joka ei mainosta tarkkaa versionumeroa.

Hosting / toimittajakartta – infrastruktuuririippuvuudet

Verkkotunnuksesi osoittaa hiljaa useisiin eri palveluihin:

• DNS – hakemisto, joka kääntää yrityksesi.fi:n todelliseksi palvelinosoitteeksi. Luemme nimipalvelin (NS) -tietueesi ja tunnistamme yleiset toimittajat (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode ja alueelliset rekisteröijät joukossaan).
• Sähköposti – missä sähköpostisi käsitellään. Luemme MX-tietueesi ja tunnistamme yleiset toimittajat (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho ja muut).

Tästä näemme, ovatko nämä vastuut jaettuna toimittajille (vikakohta ei ota muita alas) vai pinottuina yhdelle toimittajalle (kätevää, mutta yksi käyttökatko tai murtuminen ottaa kaiken).

Miltä “hyvä” näyttää: vähintään DNS:n pitäminen omistetulla, luotettavalla toimittajalla sen sijaan, että se niputtaisi kaiken muun kanssa samaan tiliin – jotta verkkotunnuksesi hakemisto ei jaa kohtaloa verkkosivustosi ja postilaatikkosi kanssa.

Korjausohje (ilmainen, n. 1 iltapäivä)

Anna tämä IT-henkilöllesi tai webkehittäjällesi – korjaus on ilmainen. CDN/WAF:n asettaminen sivustosi eteen ei maksa mitään yleisillä ilmaisilla tasoilla, ja palvelinohjelmiston version tukahduttaminen on yksirivinen asetus. Ei lisenssiä ostettavaksi. (Maksulliset vaihtoehdot täällä ovat vain seuranta, portfoliodatan seuranta ja tarkastukset – ei itse korjaus.) Omistajan ainoa päätös on: kyllä, aseta kilpi sivuston eteen.

Koska molemmat tarkistukset ovat tiedoksi annettavia, mitään tästä ei pisteytetä – mutta CDN/WAF on yksi korkeimmista arvoisimmista resilienssipäivityksistä, joita pienyritys voi tehdä, joten se kannattaa tehdä.

1. Aseta CDN/WAF sivustosi eteen

Yleisin, ilmainen reitti on Cloudflare:

1. Luo ilmainen Cloudflare-tili ja lisää verkkotunnuksesi.
2. Cloudflare lukee olemassa olevat DNS-tietueesi; tarkista, että ne tuotiin oikein.
3. Muuta verkkotunnuksesi nimipalvelimet (rekisteröijälläsi) kahteen, jotka Cloudflare antaa sinulle. Tämä on kytkin, joka ohjaa liikenteen Cloudflareen.
4. Aseta SSL/TLS-tila Full (strict) -tilaan, jotta salaus pysyy päästä päähän kävijän → Cloudflare → lähtöosoitteesi välillä. (Vältä “Flexible”, joka jättää viimeisen jalan salaamattomaksi.)
5. CDN ja perustason WAF ovat nyt aktiivisia. Voit säätää WAF-sääntöjä myöhemmin, mutta oletukset suodattavat jo paljon.

Muut reitit, riippuen teknologiapinosta:

• AWS CloudFront – luo distribuutio osoittamaan lähtöosoitteesi; yhdistä AWS WAF:in kanssa suodattamista varten. Parhaiten sopii, jos olet jo AWS:ssä.
• Sucuri WAF – DNS-pohjainen, ei vaadi muutoksia palvelimellesi; hyvä, jos et pysty koskettamaan lähtöosoitetta.
• Fastly / Akamai – yritystason CDN:t/WAF:t, tyypillisesti suuremmille tai suuremman liikenteen sivustoille.

Vaihdon jälkeen, testaa sivusto, vahvista, että HTTPS toimii kaikkialla, ja tarkkaile sitä päivän. Älä aggressiivisesti välimuistita sivuja, joiden täytyy pysyä henkilökohtaisina tai live-tilassa (kirjautuneet alueet, korit, kassapisteet).

2. Lopeta palvelinversion mainostaminen

CDN:n lisäämisestä riippumatta, tukahduta versio, jonka palvelimesi ilmoittaa – se on ilmainen tieto, jota annat hyökkääjille.

Nginx:

server_tokens off;

Apache (pääkonfiguraatiossa):

ServerTokens Prod
ServerSignature Off

Poista liikaa jakava X-Powered-By-otsikko (esim. PHP:ltä tai sovelluskehykseltä) palvelimen tai CDN:n tasolla – Cloudflare:ssa voit poistaa sen vastaustaho-muuntosäännöllä.

3. Tarkista toimittajakarttasi (valinnainen, n. 10 minuuttia)

Katso, missä DNS:si, verkkosivustosi ja sähköpostisi todella asuvat:

• Jos kaikki kolme istuvat yhdessä toimittajatilissä, harkitse ainakin DNS:n siirtämistä omistetulle toimittajalle (Cloudflareen DNS on ilmainen ja nopea). Tuo yksi jako tarkoittaa, että verkkotunnuksesi hakemisto selviytyy hosting-käyttökatkosta.
• Kirjoita kartta ylös – DNS-toimittaja, webhosti, sähköpostitoimittaja, rekisteröijä ja kirjautumis/tukiyhteystieto kullekin. Tämä yksi sivu on hyödyllisin asia, joka sinulla voi olla edessäsi häiriön aikana.

Alustamuistiot

• Google Workspace / Microsoft 365: nämä ovat sähköpostitoimittajiasi, ei verkkosivustosi. CDN/WAF:n asettaminen verkkosivuston eteen ei koske sähköpostia, eikä päinvastoin – ne ovat erillisiä päätöksiä. (Sähköpostin pitäminen Googlella/Microsoftilla ja verkkosivusto Cloudflareen takainen on täysin hyvä, tarkoituksellisesti jaettu asetus.)
• Hallinnoidut sivustonrakentajat (Wix, Squarespace, Shopify): nämä sisältävät oman CDN:nsä ja WAF-suojan tason osana alustaa, joten saatat jo olla suojattu, vaikka otsikkotarkistuksemme ei nimeä toimittajaa. Yleensä et pysty lisäämään omaa Cloudflaretasi eteen; se on ok – alusta hoitaa sen.
• WordPress omalla hostingillasi: ihanteellinen ehdokas ilmaiselle Cloudflare-kerrokselle eteen. Yhdistä se tietoturvalisäosan palomuurin kanssa sovellustason sääntöjä varten.

Yleisimmät virheet

• Paljas lähtöosoite “koska sivusto on pieni”. Pienet sivustot osuvat samalla automatisoiduilla hyökkäyksillä ja botti-tulvilla kuin suuret – botit eivät tarkista ensin tulojasi. Ilmainen CDN/WAF-taso on täsmälleen pienille sivustoille; sen käyttämättä jättäminen on ilmaisen voiton pöydälle jättämistä.
• Cloudflareen “Flexible” SSL:n käyttäminen. Se näyttää lukon, mutta jättää Cloudflareen ja lähtöosoitteesi välisen yhteyden salaamattomaksi. Käytä aina Full (strict) jotta se on salattu päästä päähän.
• Väärien asioiden välimuistittaminen. Kirjautuneiden sivujen, korien tai kassapisteiden aggressiivinen välimuistittaminen voi näyttää yhdelle asiakkaalle toisen sisällön tai vanhentuneet hinnat. Välimuistita staattinen sisältö; jätä henkilökohtaiset ja transaktionaaliset sivut välimuistittamatta.
• Kaiken pinottaminen yhdelle toimittajalle ilman huomaamista. Mukavuus on ok, jos se on tietoinen valinta – mutta monet yritykset löytävät vasta DNS:n, webin ja sähköpostin jakavan yhden tilin siinä käyttökatkossa, joka ottaa kaikki kolme alas. Tee siitä päätös, ei löydös.
• Palvelinversion jättäminen näkyviin. Se on ilmainen, yksirivinen kovennusaskel, joka on helppo unohtaa. Kytke se pois päältä.

Huomio arvosanasta

Ollakseni täysin selkeä: kumpikaan näistä tarkistuksista ei vaikuta arvosanaasi. Ne rekisteröidään metodologiassamme tiedoksi annettavina, nollalla pisteellä, emmekä koskaan rangaise sinua suojaamattomasta lähtöosoitteesta tai yksittäistoimittaja-asetuksesta. Raportoimme niistä, koska ne kuvaavat todellista altistumista käyttökatkolle, hyökkäykselle ja hitaalle häiriönselvitykselle – ja koska ilmaisen CDN/WAF:in lisääminen on yksi parhaimmista päivityksistä, joita pienyritys voi tehdä. Jos et tee mitään täällä, arvosanasi on muuttumaton. Jos asetat kilven sivustosi eteen ja jaat DNS:n pois, olet tehnyt yrityksestä merkittävästi resilientimmän ilmaiseksi. Se on oikea tapa lukea tämä sivu: ei numero puolustettavaksi, vaan resilienssipäivitys ottamisen arvoinen.

UKK