Defaults.Exposed › Ispravci › CDN / WAF i hosting

Kako popraviti CDN / WAF i hosting

Dva uvida u instalaciju iza vaše web stranice: sjedite li iza zaštitnog štita (CDN s Web Application Firewallom, poput Cloudflarea) koji filtrira napade i apsorbira prometne skokove, i karta tko zapravo vodi vaš DNS, web stranicu i e-poštu. Oboje je informativno u našem bodovanju — ne pomiču vašu ocjenu — ali opisuju koliko je vaš origin server izložen napadu i ispadu i koliko su vaši pružatelji isprepleteni. Štit ispred i razumno podijeljen skup pružatelja je kako izgledaju otporna poduzeća.

Zaključak za vaše poslovanje: Web stranica bez štita ispred sebe prima svaki napad i svaki prometni skok izravno na origin serveru — pa poplava botova, skok na dan lansiranja ili jedan automatizirani napad može srušiti vas izvanmrežno za sate, a oporavak je na vama. Stavljanje CDN/WAF ispred (besplatna razina dostupna) filtrira veliku većinu automatiziranih napada, apsorbira skokove i ubrzava stranicu diljem svijeta — tipično popodnevni rad za vašu IT osobu, bez troška licence. Zasebno, ako vaš DNS, web stranica i e-pošta sve žive kod jednog pružatelja, jedan ispad ili kršenje tamo srušava cijelu vašu online prisutnost odjednom; znanje vaše karte pružatelja je prva stvar koja vam treba u incidentu. Nijedna provjera ne mijenja vašu ocjenu — ali obje opisuju pravu izloženost zastojima, izgubljenim prodajama i sporim, bolnim oporavkom.

Što vas ovo može koštati

• Val bot-prometa ili mali DDoS pogodi vaš nezaštićeni server ujutro velikog promotivnog dana — stranica se vuče ili pada, klijenti dobivaju greške na naplati i gubite dnevnu prodaju dok se vaš host muči. CDN/WAF ispred bi to apsorbirao.
• Vaš DNS, web stranica i e-pošta svi rade kroz jednog pružatelja; taj pružatelj doživi ispad i vaša stranica, vaš sustav rezervacija I vaša e-pošta potamne u istom trenutku — ne možete ni poslati 'svjesni smo problema' jer je sandučić dolje.
• Automatizirani napad sondira vašu stranicu cijelu noć — SQL injection i skripte pogađanja prijava koje udaraju vaše podrijetlo izravno jer nema sloja vatrozida za filtrirati — i saznate tek kad nešto pukne. WAF blokira veliku većinu tog šuma prije nego ikad dosegne vaš kod.
• Incident udari i nitko ne može odgovoriti na osnovno pitanje 'koga uopće zovemo?' — je li web stranica na istom hostu kao e-pošta? Tko vodi DNS? Sati protječu samo kartiranjem instalacije dok stranica ostaje dolje.
• Sigurnosni tim potencijalnog partnera skenira vas prije potpisa i vidi goli origin server bez CDN/WAF i propuštajuće zaglavlje server-verzije koje reklamira točno koji softver (i verziju) koristite — mali signal 'ove osobe nisu postrožile osnove' u najgorem mogućem trenutku.

Zašto je to važno. Obje provjere ovdje su informativne u našoj metodologiji — registrirane su s nula bodova i nikad ne mijenjaju vašu ocjenu — jer opisuju vašu infrastrukturu umjesto testiranja prolaz/neuspjeh sigurnosne kontrole. Prikazujemo ih jer prikazuju pravu poslovnu izloženost. Stranica bez CDN/WAF prima svaki napad i prometni skok na origin izravno, bez filtriranja i bez absorpcije skokova; dodavanje jednog (Cloudflareova besplatna razina je uobičajeni put) jedno je od otpornih nadogradnji s najvećim-polugom i najnižim-troškovima koje malo poduzeće može napraviti. I jasna karta pružatelja — znanje jesu li vaš DNS, web i e-pošta podijeljeni ili složeni na jednog pružatelja — je prva stvar koja vam treba kad nešto krene naopako i razlika između sadržanog incidenta i totalnog mraka.

Što je ovo, jednostavnim riječima

Svaka web stranica radi na serveru negdje. Pitanje na koje ova stranica odgovara je: što stoji između otvorenog interneta i tog servera — i tko zapravo vodi dijelove vaše online prisutnosti?

Postoje dva dijela:

1. CDN / WAF — štit ispred. CDN (Content Delivery Network) je globalna mreža koja sjedi ispred vaše stranice, servira vaš sadržaj brzo posjetiteljima bilo gdje i apsorbira prometne skokove. WAF (Web Application Firewall) je filter koji pregledava dolazne zahtjeve i blokira zlonamjerne prije nego dosegnu vaš server. Popularni servisi (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri i drugi) to spajaju zajedno. Gledamo odgovore vaše stranice i izvještavamo vidimo li štit ispred — i bilježimo koji web server koristite.

2. Hosting / karta pružatelja — tko vodi vašu instalaciju. Čitamo javne zapise koji govore tko rukuje vašim DNS-om (imenik koji pretvara vašu domenu u adresu), i tko rukuje vašom e-poštom. Iz toga možemo reći jesu li vaš DNS, web stranica i e-pošta raspoređeni po pružatelijma (otporno) ili složeni na jednom (pogodno, ali jedna točka kvara).

Najvažnija stvar za znati unaprijed: u našem bodovanju, oboje ove su informativne. Ne utječu na vašu ocjenu. Prikazujemo ih jer opisuju koliko je vaše poduzeće izloženo zastojima i napadu — što je različito i vrlo praktično pitanje od ocjene.

Što vas ovo može koštati

To nisu apstraktni rizici — to su svakodnevni načini na koje nezaštićena, isprepletena konfiguracija mali problem pretvara u loš dan.

• Rušeni izvanmrežno na dan koji je najvažniji. Vaša stranica sjedi na origin serveru bez ičega ispred nje. Ujutro lansiranja ili promocije, promet skoči — ili skromna poplava botova udari — i server ne može podnijeti. Stranice isteknu, naplata izbaci greške i izgubite dnevnu zaradu dok vaš host gasi požar. CDN apsorbira skokove a WAF filtrira smeće promet; zajedno su razlika između “zauzeti dan” i “dolje cijelo jutro.”

• Sve potamni odjednom. Vaš DNS, web stranica i e-pošta svi rade kroz jednog pružatelja. Taj pružatelj doživi ispad (dogodi se svima njima na kraju) i vaša stranica, vaš sustav rezervacija i vaša e-pošta nestanu simultano. Ne možete obrađivati narudžbe i ne možete čak ni klijentima e-poštom napisati da ste svjesni — jer je sandučić dolje. Dijeljenje pružatelja znači da je jedan kvar sadržan, ne totalan.

• Vaš kod prima svaki napad izravno. Bez WAF-a, svaka automatizirana sonda — injection pokušaji, pogađanje prijava, skeneri poznatih exploita — udara vaš aplikacijski kod bez filtriranja. Kladite se da je vaš softver besprijekoran i potpuno zakrpan, zauvijek. WAF blokira ogromnu većinu tog automatiziranog šuma prije nego dosegne vas, pretvarajući “stalni pozadinski napad” u “uglavnom filtriran.”

• Spori, panični incident jer nitko nema kartu. Nešto pukne i prvi sat je potrošen na “čekaj, tko vodi naš DNS? Je li e-pošta na istom hostu? Koga zovemo?” Kad je vaša karta pružatelja nejasna, svaki incident počinje od nule. Znanje karte unaprijed pretvara metež u telefonski poziv.

• Loš prvi dojam pažljivom kupcu. Sigurnosni tim potencijalnog partnera skenira vas prije potpisa i vidi goli origin bez CDN/WAF — i zaglavlje servera koje otvoreno reklamira vaš točni softver i verziju. Mali je signal, ali vas stavlja u stupac “nisu postrožili osnove” u točno pogrešnom trenutku.

Što je to zapravo

CDN / WAF — zaštitni sloj

Kad posjetitelja (ili napadač) zatraži vašu stranicu, zahtjev može ići izravno na vaš origin server, ili može ići kroz CDN/WAF prvo. Ako je štit ispred, taj štit može:

• Filtrirati zlonamjerne zahtjeve (WAF dio): blokirati injection pokušaje, bot napade i poznate exploit uzorke prije nego ikad dosegnu vaš kod.
• Apsorbirati promet (CDN dio): servirati keširani sadržaj s servera blizu svakog posjetitelja i apsorbirati skokove, da skok — legitiman ili neprijateljski — ne sruši vaše podrijetlo.
• Ubrzati stranicu: sadržaj isporučen s obližnjeg rubnog servera brže učitava za posjetitelje diljem svijeta.

Otkrivamo štit gledajući otiske prstiju koje ove usluge ostavljaju u zaglavljima odgovora vaše stranice — na primjer cf-ray zaglavlje (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai) ili x-sucuri-id (Sucuri). Također čitamo Server zaglavlje da identificiramo vaš temeljni web server (nginx, Apache, IIS, LiteSpeed, Caddy i tako dalje) i označavamo svako X-Powered-By zaglavlje koje dijeli previše.

Kako izgleda ‘dobro’: CDN/WAF detektiran ispred vašeg origin-a i Server zaglavlje koje ne reklamira specifičan broj verzije.

Hosting / karta pružatelja — vaše infrastrukturne ovisnosti

Vaša domena tiho pokazuje na nekoliko različitih usluga:

• DNS — imenik koji vasposao.com pretvara u stvarnu adresu servera. Čitamo vaše nameserver (NS) zapise i prepoznajemo uobičajene pružatelje (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode i regionalne registrare između njih).
• E-pošta — gdje se vaša pošta rukuje. Čitamo vaše MX zapise i prepoznajemo uobičajene pružatelje (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho i drugi).

Iz ovoga možemo vidjeti jesu li ove odgovornosti podijeljene po pružatelijma (kvar u jednom ne ruši ostale) ili složene na jednog pružatelja (pogodno, ali jedan ispad ili kršenje ruši sve).

Kako izgleda ‘dobro’: barem DNS u rukama namjenskog, pouzdanog pružatelja umjesto skupljenog u isti račun kao sve ostalo — da imenik vaše domene ne dijeli sudbinu s vašom web stranicom i sandučićem.

Kako to popraviti (besplatno, ~1 poslijepodne)

Proslijedite ovo vašoj IT osobi ili web programeru — popravak je besplatan. Stavljanje CDN/WAF ispred vaše stranice ne košta ništa na uobičajenim besplatnim razinama i potiskivanje vaše verzije servera je jednolinirajska postavka. Nema licence za kupiti. (Plaćene opcije ovdje su samo praćenje, portfelj praćenje i revizije — nikad sam popravak.) Jedina odluka vlasnika je: da, stavi štit ispred stranice.

Jer su obje provjere informativne, ništa od ovoga nije bodovano — ali CDN/WAF je jedna od nadogradnji otpornosti s najvećom vrijednošću koje malo poduzeće može napraviti, pa ga vrijedi napraviti.

1. Stavite CDN/WAF ispred vaše stranice

Najčešći, besplatni put je Cloudflare:

1. Stvorite besplatan Cloudflare račun i dodajte svoju domenu.
2. Cloudflare čita vaše postojeće DNS zapise; provjerite jesu li ispravno uvezeni.
3. Promijenite nameservere vaše domene (kod vašeg registrara) na ona dva koja vam Cloudflare daje. Ovo je prekidač koji usmjerava promet kroz Cloudflare.
4. Postavite SSL/TLS mod na Full (strict) da enkripcija ostaje end-to-end između posjetitelja → Cloudflare → vaše podrijetlo. (Izbjegavajte “Flexible”, koje ostavlja zadnju dionicu nešifriranom.)
5. CDN i osnovan WAF sada su aktivni. Možete ugoditi WAF pravila poslije, ali zadane vrijednosti već filtriraju mnogo.

Drugi putevi, ovisno o vašem stacku:

• AWS CloudFront — stvorite distribuciju pokazujući na vaše podrijetlo; uparite s AWS WAF za filtriranje. Najbolje ako ste već na AWS.
• Sucuri WAF — temeljen na DNS-u, ne zahtijeva promjene na vašem serveru; dobar ako ne možete dotaknuti podrijetlo.
• Fastly / Akamai — enterprise-razred CDN-ovi/WAF-ovi, tipično za veće ili promet-intenzivnije stranice.

Nakon prebacivanja, testirajte stranicu, potvrdite da HTTPS radi svugdje i pratite je dan. Ne keširajte agresivno stranice koje moraju ostati osobne ili žive (prijavnjena područja, košarice, naplate).

2. Prestanite reklamirati verziju vašeg servera

Bilo da dodajete CDN ili ne, potisnite verziju koju vaš server objavljuje — to su besplatne informacije koje predajete napadačima.

Nginx:

server_tokens off;

Apache (u glavnoj konfiguraciji):

ServerTokens Prod
ServerSignature Off

Uklonite previše-dijeleće X-Powered-By zaglavlje (npr. od PHP-a ili aplikacijskog okvira) na razini servera ili CDN-a — na Cloudflare-u ga možete ukloniti pravilom transformacije zaglavlja odgovora.

3. Provjera zdrave pameti vaše karte pružatelja (neobavezno, ~10 minuta)

Pogledajte gdje zapravo žive vaš DNS, web stranica i e-pošta:

• Ako svo troje sjedi u jednom računu pružatelja, razmotrite barem premještanje DNS-a na namjenskog pružatelja (Cloudflare DNS je besplatan i brz). Ta jedna podjela znači da imenik vaše domene preživi hosting ispad.
• Zapišite kartu — DNS pružatelj, web host, pružatelj e-pošte, registrar i prijava/kontakt podrške za svakoga. Ova jedna stranica je najkorisnija stvar koju možete imati pred sobom tijekom incidenta.

Napomene o platformama

• Google Workspace / Microsoft 365: ovo su vaši e-pošta pružatelji, ne vaša web stranica. Stavljanje CDN/WAF ispred web stranice ne dira e-poštu, i obratno — to su odvojene odluke. (Imati e-poštu na Googleu/Microsoftu i web stranicu iza Cloudflare-a je savršeno dobra, namjerno-podijeljena konfiguracija.)
• Upravljani graditelji stranica (Wix, Squarespace, Shopify): ove uključuju vlastiti CDN i razinu WAF zaštite kao dio platforme, pa biste već mogli biti zaštićeni čak i ako naša provjera zaglavlja ne imenuje pružatelja. Obično ne možete dodati vlastiti Cloudflare ispred; to je u redu — platforma to rukuje.
• WordPress na vlastitom hostingu: idealni kandidat za besplatni Cloudflare sloj ispred. Kombinirajte s firewall-om sigurnosnog dodatka za pravila razine aplikacije.

Česte greške

• Pokretanje golog origin-a ‘jer je stranica mala’. Male stranice pogađaju isti automatizirani napadi i poplave botova kao i velike — botovi ne provjeravaju vaš prihod prvom. Besplatna CDN/WAF razina postoji upravo za male stranice; ne koristiti je je ostavljanje lake pobjede na stolu.
• Korištenje Cloudflare ‘Flexible’ SSL. Prikazuje lokot ali ostavlja vezu između Cloudflarea i vašeg podrijetla nešifriranom. Uvijek koristite Full (strict) da bude šifrirano end-to-end.
• Keširanje pogrešnih stvari. Agresivno keširanje prijavnjenih stranica, košarica ili naplata može prikazati sadržaj jednog klijenta drugom ili zastarjele cijene. Keširajte statički sadržaj; ostavite personalizirane i transakcijske stranice nekeširane.
• Slaganje svega na jednog pružatelja bez shvaćanja. Pogodnost je u redu ako je svjesna odluka — ali mnoga poduzeća otkriju tek da DNS, web i e-pošta dijele jedan račun durante ispada koji sruši sve troje. Neka to bude odluka, ne otkriće.
• Ostavljanje verzije servera na prikazu. Besplatni je, jednolinirajski korak ojačavanja koji je lako zaboraviti. Isključite ga.

Napomena o ocjeni

Da budemo potpuno jasni: nijedna od ovih provjera ne utječe na vašu ocjenu. Registrirane su u našoj metodologiji kao informativne, s nula bodova i nikad vas ne kaznimo za nezaštićeno podrijetlo ili konfiguraciju jednog pružatelja. Izvještavamo ih jer opisuju pravu izloženost zastojima, napadu i sporom oporavku od incidenta — i jer je dodavanje besplatnog CDN/WAF jedna od nadogradnji s najboljom vrijednošću koje malo poduzeće može napraviti. Ako ništa ne napravite ovdje, vaša ocjena je nepromijenjena. Ako stavite štit ispred vaše stranice i odvojite vaš DNS, učinili ste poduzeće smisleno otpornijim besplatno. To je pravi način čitanja ove stranice: ne broj za braniti, već nadogradnja otpornosti vrijedna uzimanja.

Česta pitanja