Defaults.Exposed › Taisymai › CDN / WAF ir priegloba

Kaip ištaisyti CDN / WAF ir priegloba

Du jūsų svetainės santechnikos skaitymai: ar sėdite už apsauginio skydo (CDN su žiniatinklio programos ugniasiene, kaip Cloudflare), kuris filtruoja atakas ir sugeria srauto staigius, ir jūsų DNS, svetainės ir el. pašto iš tikrųjų valdančio žemėlapis. Abu yra informaciniai mūsų vertinime – jie neperkelia jūsų vertinimo – bet jie aprašo, kaip atskleistas jūsų kilmės serveris yra atakoms ir gedimams, ir kaip susipainioję jūsų tiekėjai. Skydas priekyje ir protingai padalintas tiekėjų rinkinys yra tai, kaip atrodo atsparios įmonės.

Praktinė reikšmė jūsų verslui: Svetainė be skydo priekyje tiesiogiai ima kiekvieną ataką ir kiekvieną srauto staigų ant kilmės serverio – todėl robotų potvynis, paleidimo dienos staigus ar viena automatizuota ataka gali jus išjungti valandomis, ir atsigavimas priklauso nuo jūsų. CDN/WAF priekyje (nemokamas planas prieinamas) filtruoja didžiąją dalį automatizuotų atakų, sugeria staigius ir greitina svetainę visame pasaulyje – paprastai vienos popietės darbas jūsų IT asmeniui, be licencijos kašto. Atskirai, jei jūsų DNS, svetainė ir el. paštas visi gyvena su vienu tiekėju, vienas to tiekėjo gedimas ar pažeidimas iš karto išjungia visą jūsų internetinę buvimą; žinojimas jūsų tiekėjų žemėlapio yra pirmas dalykas, ko jums reikia incidente. Nė vienas tikrinimas nekeičia jūsų vertinimo – bet abu aprašo tikrą poveikį gedimams, prarastoms pardavimams ir lėtam, skausmingam atsigavimui.

Ką tai gali kainuoti

• Robotų srauto pliūpsnis ar mažas DDoS pataikė į jūsų neapsaugotą serverį didelės akcijos rytą – svetainė šliaužia ar grius, klientai gauna klaidas kasoje, ir jūs prarandate dienos pardavimus, kol jūsų priegloba kovoja su gaisru. CDN/WAF priekyje jį būtų suglaudęs.
• Jūsų DNS, svetainė ir el. paštas visi valdo vienas tiekėjas; tas tiekėjas turi gedimą ir jūsų svetainė, jūsų rezervavimo sistema IR jūsų el. paštas tuo pačiu metu patamsi – net negalite siųsti 'esame informuoti apie problemą', nes el. pašto dėžutė yra žemyn.
• Automatizuota ataka visą naktį tyrinėja jūsų svetainę – SQL injekcijos ir prisijungimo atspėjimo scenarijai, kaldami jūsų kilmę tiesiogiai, nes nėra ugniasienės sluoksnio juos filtruoti – ir sužinate tik tada, kai kažkas sugenda. WAF blokuoja didžiąją dalį to triukšmo prieš jam pasiekiant jūsų kodą.
• Incidentas pataiko ir niekas negali atsakyti į pagrindinį klausimą 'ką mes apskritai skambiname?' – ar svetainė yra toje pačioje priegloboje kaip el. paštas? Kas valdo DNS? Valandos nuteka žemėlapijant santechniką, kol svetainė lieka žemyn.
• Perspektyvos IT komanda jus nuskaito prieš pasirašydama ir mato tuščią kilmės serverį be CDN/WAF – ir nutekantį serverio versijos antraštę, skelbiančią tiksliai, kokią programinę įrangą (ir versiją) paleidžiate – mažas 'šie žmonės neaprūpino pagrindų' signalas blogiausiu metu.

Kodėl tai svarbu. Abu tikrinimai čia yra informaciniai mūsų metodikoje – jie registruoti su nulio taškų ir niekada nekeičia jūsų vertinimo – nes jie aprašo jūsų infrastruktūrą, o ne bando praėjimo/nepavyko saugumo valdiklį. Mes juos pateikiame, nes jie žemėlapia realų verslo poveikį. Svetainė be CDN/WAF tiesiogiai ima kiekvieną ataką ir srauto staigų ant kilmės, be filtravimo ir be staigaus sugėrimo; vieno pridėjimas (Cloudflare nemokamas planas yra įprastas kelias) yra vienas didžiausio sverto, mažiausios kainos atsparumo atnaujinimų, kurį mažas verslas gali padaryti. Ir aiškus tiekėjų žemėlapis – žinojimas, ar jūsų DNS, žiniatinklis ir el. paštas yra padalinti ar suviršyti ant vieno tiekėjo – yra pirmas dalykas, ko reikia, kai kažkas negerai, ir skirtumas tarp valdomos incidento ir visiško sutrikimo.

Kas tai yra, paprastais žodžiais

Kiekviena svetainė veikia serveryje kažkur. Klausimas, į kurį šis puslapis atsako, yra: kas stovi tarp atviro interneto ir to serverio – ir kas iš tikrųjų valdo jūsų internetinės buvimo dalis?

Yra dvi dalys:

1. CDN / WAF – skydas priekyje. CDN (Turinio pristatymo tinklas) yra pasaulinis tinklas, stovinčias prieš jūsų svetainę, greitai tarnauja jūsų turiniui lankytojams bet kur ir sugeria srauto staigius. WAF (Žiniatinklio programos ugniasienė) yra filtras, kuris tikrina gaunamas užklausas ir blokuoja kenksmingus prieš jiems pasiekiant jūsų serverį. Populiarios paslaugos (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri ir kitos) juos abu paketina. Mes žiūrime į jūsų svetainės atsakymus ir pranešame, ar matome skydą priekyje – ir pastebime, kokį žiniatinklio serverį valdo, taip pat.

2. Priegloba / tiekėjų žemėlapis – kas valdo jūsų santechniką. Mes skaitome viešuosius įrašus, kurie sako, kas tvarko jūsų DNS (katalogą, kuris paverčia jūsų domeną adresu), ir kas tvarko jūsų el. paštą. Iš to galime pasakyti, ar jūsų DNS, svetainė ir el. paštas yra padalinti per tiekėjus (atsparu) ar suviršyti ant vieno (patogu, bet vienas gedimo taškas).

Svarbiausia iš anksto žinoti: mūsų vertinime abu yra informaciniai. Jie neveikia jūsų vertinimo. Mes juos pateikiame, nes jie aprašo, kaip atskleistas jūsų verslas yra gedimams ir atakoms – tai yra skirtingas, ir labai praktiškas, klausimas nuo vertinimo.

Kiek tai gali jus kainuoti

Tai nėra abstrakčios rizikos – tai yra kasdieniai būdai, kaip neapsaugota, susipainiousi sąranka paverčia mažą problemą bloga diena.

• Išjungtas dieną, kai tai labiausiai svarbu. Jūsų svetainė sėdi ant kilmės serverio be nieko priekyje. Paleidimo ar akcijos ryte srautas staigiai kyla – ar kuklus robotų potvynis pataiko – ir serveris negali susidoroti. Puslapiai baigiasi, kasa klaidingai veikia, ir jūs prarandate dienos pajamas, kol jūsų priegloba kovoja su gaisru. CDN sugeria staigius ir WAF filtruoja šiukšlių srautą; kartu jie yra skirtumas tarp „įtempta diena” ir „žemyn visą rytą.”

• Viskas patamsi vienu metu. Jūsų DNS, svetainė ir el. paštas visi valdomi per vieną tiekėją. Tas tiekėjas turi gedimą (tai atsitinka visiems jų galiausiai) ir jūsų svetainė, jūsų rezervavimo sistema ir jūsų el. paštas vienu metu išnyksta. Negalite apdoroti užsakymų, ir net negalite el. paštu klientams pasakyti, kad esate informuoti – nes el. pašto dėžutė taip pat yra žemyn. Tiekėjų padalijimas reiškia, kad vienas gedimas yra valdomas, ne visiškas.

• Jūsų kodas tiesiogiai ima kiekvieną ataką. Be WAF, kiekvienas automatizuotas zondas – injekcijų bandymai, prisijungimo atspėjimas, žinomų išnaudojimų nuskaitytuvai – pataikė į jūsų programos kodą be filtravimo. Jūs statote, kad jūsų programinė įranga yra tobula ir visada pilnai pataisyta, amžinai. WAF blokuoja didžiąją dalį to automatizuoto triukšmo prieš jam pasiekiant jus, paverdamas „nuolatinis fono ataka” į „didžioji dalis filtruojama.”

• Lėtas, paniškas incidentas, nes niekas neturi žemėlapio. Kažkas sugenda ir pirmoji valanda yra švaistoma „palaukite, kas valdo mūsų DNS? Ar el. paštas yra toje pačioje priegloboje? Ką skambiname?” Kai jūsų tiekėjų žemėlapis yra neaiškus, kiekvienas incidentas prasideda nuo nulio. Iš anksto žinojimas žemėlapio paverčia skubėjimą telefono skambučiu.

• Blogas pirmas įspūdis atidžiam pirkėjui. Perspektyvos IT komanda jus nuskaito prieš pasirašydama ir mato tuščią kilmę be CDN/WAF – ir serverio antraštę, atvirai skelbiant jūsų tikslią programinę įrangą ir versiją. Tai yra mažas signalas, bet jis patenka į ‘neaprūpino pagrindų’ stulpelį tiksliai netinkamu momentu.

Kas tai iš tikrųjų yra

CDN / WAF – apsauginis sluoksnis

Kai lankytojas (ar užpuolikas) prašo jūsų svetainės, prašymas gali eiti tiesiai į jūsų kilmės serverį, arba jis gali eiti per CDN/WAF pirmiau. Jei priekyje yra skydas, tas skydas gali:

• Filtruoti kenksmingus prašymus (WAF dalis): blokuoti injekcijų bandymus, robotų atakas ir žinomų išnaudojimų šablonus prieš jiems kada nors pasiekiant jūsų kodą.
• Sugerti srautą (CDN dalis): tiekia kešuotą turinį iš serverių arti kiekvieno lankytojo ir sugeria staigius, kad pliūpsnis – teisėtas ar priešiškas – nesugniuždytų jūsų kilmės.
• Greitina svetainę: turinys, pristatytas iš artimo krašto serverio, greičiau įsikelia lankytojams visame pasaulyje.

Mes aptinkame skydą žiūrėdami į piršto atspaudus, kuriuos šios paslaugos palieka jūsų svetainės atsakymo antraštėse – pavyzdžiui cf-ray antraštė (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai) ar x-sucuri-id (Sucuri). Mes taip pat skaitome Serverio antraštę, kad identifikuotume jūsų pagrindinį žiniatinklio serverį (nginx, Apache, IIS, LiteSpeed, Caddy ir panašiai), ir pažymime bet kurią X-Powered-By antraštę, kuri per daug dalijasi.

Kaip atrodo „gerai”: CDN/WAF aptiktas prieš jūsų kilmę ir Serverio antraštė, kuri neskelbia konkretaus versijos numerio.

Priegloba / tiekėjų žemėlapis – jūsų infrastruktūros priklausomybės

Jūsų domenas tyliai nurodo į keletą skirtingų paslaugų:

• DNS – katalogas, paverčiantis jusuverslas.com į tikrąjį serverio adresą. Mes skaitome jūsų vardų serverio (NS) įrašus ir atpažįstame įprastus tiekėjus (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode ir regioninius registratorius tarp jų).
• El. paštas – kur tvarkomas jūsų paštas. Mes skaitome jūsų MX įrašus ir atpažįstame įprastus tiekėjus (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho ir kitus).

Iš to galime pamatyti, ar šios atsakomybės yra padalintos per tiekėjus (gedimas viename nenugriūva kitų) ar suviršytos ant vieno tiekėjo (patogu, bet vienas gedimas ar pažeidimas viską nugriauna).

Kaip atrodo „gerai”: bent jau DNS laikomas pas paskirtą, patikimą tiekėją, o ne supaketintas į tą pačią paskyrą kaip viskas kita – todėl jūsų domeno katalogas nesidalija likimu su jūsų svetaine ir gaunamuoju.

Kaip tai ištaisyti (nemokama, ~1 popietė)

Perduokite tai savo IT asmeniui ar žiniatinklio kūrėjui – pataisymas yra nemokamas. CDN/WAF padėjimas prieš jūsų svetainę nieko nekainuoja įprastuose nemokamos pakopos, ir serverio versijos slopinimas yra viena eilutė. Nėra licencijos pirkti. (Apmokestinamos parinktys čia yra tik stebėsena, portfelio sekimas ir auditai – niekada pats pataisymas.) Savininko vienintelis sprendimas yra: taip, padėkite skydą prieš svetainę.

Kadangi abu tikrinimai yra informaciniai, nė vienas iš jų nėra vertinamas – bet CDN/WAF yra vienas didžiausios vertės atsparumo atnaujinimų, kurį mažas verslas gali padaryti, todėl verta tai padaryti.

1. Padėkite CDN/WAF prieš savo svetainę

Labiausiai įprastas, nemokamas kelias yra Cloudflare:

1. Sukurkite nemokamą Cloudflare paskyrą ir pridėkite savo domeną.
2. Cloudflare nuskaito jūsų esamus DNS įrašus; patikrinkite, ar jie teisingai importuoti.
3. Pakeiskite savo domeno vardų serverius (jūsų registratoriuje) į tuos du, kuriuos suteikia Cloudflare. Tai yra perjungimas, nukreipiantis srautą per Cloudflare.
4. Nustatykite SSL/TLS režimą į Pilnas (griežtas), kad šifravimas išliktų nuo galo iki galo tarp lankytojo → Cloudflare → jūsų kilmės. (Venkite „Lankstus”, kuris palieka paskutinę atkarpą nešifruotą.)
5. CDN ir bazinis WAF dabar yra aktyvūs. Galite vėliau derinti WAF taisykles, bet numatyti nustatymai jau daug filtruoja.

Kiti keliai, priklausomai nuo jūsų steko:

• AWS CloudFront – sukurkite platinimą, nurodantį į jūsų kilmę; susiekite su AWS WAF filtravimui. Geriausia, jei jau esate AWS.
• Sucuri WAF – DNS pagrindu, nereikia jokių serverio pakeitimų; tinka, jei negalite paliesti kilmės.
• Fastly / Akamai – įmonės lygio CDN/WAF, paprastai didesnėms ar didelių srautų svetainėms.

Po perjungimo, išbandykite svetainę, patvirtinkite, kad HTTPS veikia visur, ir stebėkite ją dieną. Agresyviai nekešuokite puslapių, kurie turi būti asmeniniai ar gyvi (prisijungusios sritys, krepšiai, kasos).

2. Nustokite skelbdami savo serverio versiją

Nesvarbu, ar pridedate CDN, slopinkite versijos skelbimą jūsų serveriui – tai nemokama informacija, kurią perduodate užpuolikams.

Nginx:

server_tokens off;

Apache (pagrindinėje konfigūracijoje):

ServerTokens Prod
ServerSignature Off

Šalinkite per daug dalinančią X-Powered-By antraštę (pvz., iš PHP ar programų karkaso) serverio ar CDN lygiu – Cloudflare galite ją nuimti su atsakymo antraštės transformavimo taisykle.

3. Patikrinkite savo tiekėjų žemėlapį (neprivaloma, ~10 minučių)

Pažiūrėkite, kur iš tikrųjų gyvena jūsų DNS, svetainė ir el. paštas:

• Jei visi trys sėdi vienoje tiekėjų paskyroje, apsvarstykite bent DNS perkėlimą pas paskirtą tiekėją (Cloudflare DNS yra nemokamas ir greitas). Tas vienas padalijimas reiškia, kad jūsų domeno katalogas išgyvena prieglobos gedimą.
• Užrašykite žemėlapį – DNS tiekėjas, žiniatinklio priegloba, el. pašto tiekėjas, registratorius ir prisijungimo/palaikymo kontaktas kiekvienam. Šis vienas puslapis yra naudingiausias dalykas, kurį galite turėti prieš save per incidentą.

Platformų pastabos

• Google Workspace / Microsoft 365: tai yra jūsų el. pašto tiekėjai, ne jūsų svetainė. CDN/WAF padėjimas prieš svetainę neliečia el. pašto, ir atvirkščiai – tai yra atskiri sprendimai. (El. pašto turėjimas ant Google/Microsoft ir svetainė už Cloudflare yra puikiai gera, tyčia padalinta sąranka.)
• Valdomos svetainių kūrėjai (Wix, Squarespace, Shopify): jos apima savo CDN ir WAF apsaugos lygį kaip platformos dalį, todėl galite jau būti apsaugoti, net jei mūsų antraštės tikrinimas neįvardija tiekėjo. Paprastai negalite pridėti savo Cloudflare priekyje; tai yra gerai – platforma tai tvarko.
• WordPress ant savo prieglobos: idealus kandidatas nemokamam Cloudflare sluoksniui priekyje. Sujunkite jį su saugumo priedo ugniasiene programos lygio taisyklėms.

Dažnos klaidos

• Tuščios kilmės valdymas „nes svetainė yra maža.” Mažos svetainės yra pataikomos tomis pačiomis automatizuotomis atakomis ir robotų potvyniais kaip didelės – robotai pirma neklausia jūsų pajamų. Nemokama CDN/WAF pakopa egzistuoja tiksliai mažoms svetainėms; jos nenaudojimas yra lengvo laimėjimo palikimas ant stalo.
• Cloudflare „Lankstus” SSL naudojimas. Rodo spyną, bet palieka ryšį tarp Cloudflare ir jūsų kilmės nešifruotą. Visada naudokite Pilnas (griežtas), kad jis būtų šifruotas nuo galo iki galo.
• Netinkamų dalykų kešavimas. Agresyviai kešuojant prisijungusius puslapius, krepšelius ar kasas gali rodyti vieno kliento turinį kitam ar pasenusias kainas. Kešuokite statinį turinį; palikite asmenalinius ir transakcijų puslapius nekešuotus.
• Viso suviršijimas ant vieno tiekėjo nesuvokiant. Patogumas yra gerai, jei tai yra sąmoningas pasirinkimas – bet daugelis verslų atranda, kad DNS, žiniatinklis ir el. paštas dalijasi viena paskyra tik per gedimą, kuris nugriauna visus tris. Padarykite tai sprendimu, ne atradinu.
• Serverio versijos palikimas ekrane. Tai yra nemokami, vienos eilutės kietinimo žingsniai, kuriuos lengva pamiršti. Išjunkite juos.

Pastaba apie vertinimą

Kad būtų visiškai aišku: nė vienas iš šių tikrinimų neveikia jūsų vertinimo. Jie registruoti mūsų metodikoje kaip informaciniai, su nulio taškų, ir mes niekada jūsų nebaudžiame dėl neapsaugotos kilmės ar vieno tiekėjo sąrankos. Mes juos pranešame, nes jie aprašo tikrą poveikį gedimams, atakoms ir lėtam incidento atsigavimui – ir todėl, kad nemokamo CDN/WAF pridėjimas yra vienas geriausios vertės atnaujinimų, kurį mažas verslas gali padaryti. Jei nieko čia nedarote, jūsų vertinimas yra nepakitęs. Jei padedote skydą prieš savo svetainę ir atskiriate DNS, padarysite verslą prasmingai atsparesniu nemokamai. Tai yra tinkamas būdas skaityti šį puslapį: ne skaičius ginti, bet atsparumo atnaujinimas, kurį verta atlikti.

DUK