Defaults.Exposed › Pembaikan › CDN / WAF & pengehosan
Cara memperbaiki CDN / WAF & pengehosan
Dua bacaan paip di belakang laman web anda: sama ada anda duduk di belakang perisai pelindung (CDN dengan Firewall Aplikasi Web, seperti Cloudflare) yang menapis serangan dan menyerap lonjakan lalu lintas, dan peta siapa yang sebenarnya menjalankan DNS, laman web dan e-mel anda. Kedua-duanya adalah maklumat dalam pemarkahan kami — mereka tidak menggerakkan gred anda — tetapi mereka menerangkan betapa terdedahnya pelayan asal anda kepada serangan dan gangguan, dan betapa kusutnya pembekal anda. Perisai di hadapan dan set pembekal yang dipecahkan dengan bijak adalah rupa perniagaan yang berdaya tahan.
Kesimpulan untuk perniagaan anda: Laman web tanpa perisai di hadapannya mengambil setiap serangan dan setiap lonjakan lalu lintas terus pada pelayan asal — jadi banjir bot, lonjakan hari pelancaran, atau satu serangan automatik boleh menjatuhkan anda ke luar talian selama berjam-jam, dan pemulihan adalah tanggungjawab anda. Meletakkan CDN/WAF di hadapan (tier percuma tersedia) menapis sebahagian besar serangan automatik, menyerap lonjakan, dan mempercepatkan laman di seluruh dunia — biasanya kerja petang untuk orang IT anda, tanpa kos lesen. Secara berasingan, jika DNS, laman web dan e-mel anda semuanya berada dengan satu pembekal, satu gangguan atau pelanggaran di sana membawa keseluruhan kehadiran dalam talian anda turun sekaligus; mengetahui peta pembekal anda adalah perkara pertama yang anda perlukan dalam insiden. Tiada satu pun semakan mengubah gred anda — tetapi kedua-duanya menerangkan pendedahan nyata kepada masa henti, jualan yang hilang dan pemulihan yang perlahan dan menyakitkan.
Apakah kos yang boleh timbul
- Ledakan lalu lintas bot atau DDoS kecil menghantam pelayan anda yang tidak dilindungi pada pagi promosi besar — laman merangkak atau jatuh, pelanggan mendapat ralat di checkout, dan anda kehilangan jualan hari itu sementara hos anda bergelut. CDN/WAF di hadapan akan menyerapnya.
- DNS, laman web dan e-mel anda semuanya berjalan melalui satu pembekal; pembekal itu mengalami gangguan dan laman anda, sistem tempahan anda DAN e-mel anda semuanya menjadi gelap pada masa yang sama — anda tidak boleh menghantar 'kami sedang menyelesaikannya' pun kerana peti surat juga turun.
- Serangan automatik menggeledah laman anda sepanjang malam — skrip suntikan SQL dan meneka-log masuk yang melanda asal anda terus kerana tiada lapisan firewall untuk menapis — dan anda hanya mendapatinya apabila sesuatu rosak. WAF menyekat sebahagian besar bunyi itu sebelum ia mencapai kod anda.
- Insiden berlaku dan tiada siapa yang boleh menjawab soalan asas 'siapa yang kita hubungi?' — adakah laman web pada hos yang sama dengan e-mel? Siapa yang menjalankan DNS? Jam berlalu sia-sia hanya memetakan paip sementara laman kekal turun.
- Pasukan IT prospek mengimbas anda sebelum menandatangani dan melihat pelayan asal yang terdedah tanpa CDN/WAF — dan pengepala versi-pelayan yang secara terbuka mengiklankan tepat perisian (dan versi) yang anda jalankan — isyarat kecil 'orang-orang ini tidak mengeraskan asas-asas' pada masa yang paling salah.
Mengapa ia penting. Kedua-dua semakan di sini adalah maklumat dalam metodologi kami — mereka didaftarkan dengan sifar mata dan tidak pernah mengubah gred anda — kerana mereka menerangkan infrastruktur anda dan bukannya menguji kawalan keselamatan lulus/gagal. Kami menampakkan mereka kerana mereka memetakan pendedahan perniagaan yang nyata. Laman tanpa CDN/WAF mengambil setiap serangan dan lonjakan lalu lintas pada asal terus, tanpa penapisan dan tanpa penyerapan lonjakan; menambah satu (tier percuma Cloudflare adalah laluan biasa) adalah salah satu naik taraf ketahanan bernilai-tertinggi dan berkos-terendah yang boleh dilakukan oleh perniagaan kecil. Dan peta pembekal yang jelas — mengetahui sama ada DNS, web dan e-mel anda dipecah atau ditimbun pada satu pembekal — adalah perkara pertama yang anda perlukan apabila sesuatu berlaku salah dan perbezaan antara insiden yang terkandung dan pemadaman total.
Apa ini, dalam bahasa mudah
Setiap laman web berjalan pada pelayan di suatu tempat. Soalan yang halaman ini jawab ialah: apa yang berdiri antara internet terbuka dan pelayan itu — dan siapa yang sebenarnya menjalankan bahagian-bahagian kehadiran dalam talian anda?
Terdapat dua bahagian:
-
CDN / WAF — perisai di hadapan. CDN (Content Delivery Network) adalah rangkaian global yang duduk di hadapan laman anda, menyajikan kandungan anda dengan cepat kepada pengunjung di mana-mana, dan menyerap lonjakan lalu lintas. WAF (Web Application Firewall) adalah penapis yang memeriksa permintaan masuk dan menyekat yang berniat jahat sebelum mereka mencapai pelayan anda. Perkhidmatan popular (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri, dan lain-lain) menggabungkan ini bersama-sama. Kami melihat respons laman anda dan melaporkan sama ada kami dapat melihat perisai di hadapan — dan kami mencatat pelayan web yang anda jalankan juga.
-
Pengehosan / peta pembekal — siapa yang menjalankan paip anda. Kami membaca rekod awam yang mengatakan siapa yang mengendalikan DNS anda (direktori yang menukar domain anda kepada alamat), dan siapa yang mengendalikan e-mel anda. Dari itu kami boleh memberitahu sama ada DNS, laman web dan e-mel anda dipecah merentasi pembekal (berdaya tahan) atau ditimbun pada satu (mudah, tetapi titik kegagalan tunggal).
Perkara paling penting yang perlu diketahui dari awal: dalam pemarkahan kami, kedua-duanya adalah maklumat. Mereka tidak mempengaruhi gred anda. Kami menampakkan mereka kerana mereka menerangkan betapa terdedah perniagaan anda kepada masa henti dan serangan — yang merupakan soalan yang berbeza, dan sangat praktikal, dari gred.
Apa yang ini boleh koskan anda
Ini bukan risiko abstrak — ia adalah cara harian persediaan yang tidak dilindungi dan kusut mengubah masalah kecil menjadi hari yang buruk.
-
Dijatuhkan ke luar talian pada hari yang paling penting. Laman anda duduk pada pelayan asal dengan tiada apa-apa di hadapannya. Pada pagi pelancaran atau promosi, lalu lintas melonjak — atau banjir bot yang sederhana menghantam — dan pelayan tidak boleh menampungnya. Halaman tamat masa, checkout ralat, dan anda kehilangan hasil hari itu sementara hos anda bergelut. CDN menyerap lonjakan dan WAF menapis sampah lalu lintas; bersama-sama mereka adalah perbezaan antara “hari yang sibuk” dan “turun sepanjang pagi.”
-
Segalanya menjadi gelap sekaligus. DNS, laman web dan e-mel anda semuanya berjalan melalui satu pembekal tunggal. Pembekal itu mengalami gangguan (ia berlaku kepada semua mereka akhirnya) dan laman anda, sistem tempahan anda dan e-mel anda hilang serentak. Anda tidak boleh memproses pesanan, dan anda tidak boleh menghantar e-mel kepada pelanggan untuk mengatakan anda sedar — kerana peti surat juga turun. Memecah pembekal bermaksud satu kegagalan terkandung, bukan total.
-
Kod anda mengambil setiap serangan terus. Tanpa WAF, setiap prob automatik — percubaan suntikan, meneka-log masuk, pengimbas eksploitasi yang diketahui — menghantam kod aplikasi anda tanpa penapisan. Anda bertaruh bahawa perisian anda adalah sempurna dan ditambal sepenuhnya, selama-lamanya. WAF menyekat majoriti yang luar biasa bunyi automatik itu sebelum ia mencapai anda, mengubah “serangan latar belakang yang berterusan” menjadi “kebanyakannya ditapis.”
-
Insiden yang perlahan dan panik kerana tiada siapa yang mempunyai peta. Sesuatu rosak dan jam pertama terbuang pada “tunggu, siapa yang menjalankan DNS kami? Adakah e-mel pada hos yang sama? Siapa yang kita hubungi?” Apabila peta pembekal anda tidak jelas, setiap insiden bermula dari sifar. Mengetahui peta lebih awal mengubah kelam-kabut menjadi satu panggilan telefon.
-
Tanggapan pertama yang buruk kepada pembeli yang teliti. Pasukan IT prospek mengimbas anda sebelum menandatangani dan melihat asal yang terdedah tanpa CDN/WAF — dan pengepala pelayan yang secara terbuka mengiklankan perisian dan versi tepat anda. Ia adalah isyarat kecil, tetapi ia meletakkan anda dalam lajur “tidak mengeraskan asas-asas” tepat pada masa yang salah.
Apa yang sebenarnya
CDN / WAF — lapisan pelindung
Apabila pengunjung (atau penyerang) meminta laman anda, permintaan boleh sama ada pergi terus ke pelayan asal anda, atau ia boleh pergi melalui CDN/WAF dahulu. Jika terdapat perisai di hadapan, perisai itu boleh:
- Menapis permintaan berniat jahat (bahagian WAF): menyekat percubaan suntikan, serangan bot, dan corak eksploitasi yang diketahui sebelum mereka pernah mencapai kod anda.
- Menyerap lalu lintas (bahagian CDN): menyajikan kandungan yang disimpan dari pelayan berhampiran setiap pengunjung dan menyerap lonjakan, supaya lonjakan — sah atau bermusuhan — tidak menghancurkan asal anda.
- Mempercepatkan laman: kandungan yang dihantar dari pelayan tepi berhampiran memuatkan lebih cepat untuk pengunjung di seluruh dunia.
Kami mengesan perisai dengan melihat cap jari yang perkhidmatan ini tinggalkan dalam pengepala respons laman anda — contohnya pengepala cf-ray (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai), atau x-sucuri-id (Sucuri). Kami juga membaca pengepala Server untuk mengenal pasti pelayan web asas anda (nginx, Apache, IIS, LiteSpeed, Caddy, dan sebagainya), dan menandakan sebarang pengepala X-Powered-By yang berkongsi berlebihan.
Apa yang “baik” kelihatan: CDN/WAF dikesan di hadapan asal anda, dan pengepala Server yang tidak mengiklankan nombor versi tertentu.
Pengehosan / peta pembekal — kebergantungan infrastruktur anda
Domain anda secara senyap menunjuk kepada beberapa perkhidmatan yang berbeza:
- DNS — direktori yang menukar
perniagaananda.comkepada alamat pelayan sebenar. Kami membaca rekod pelayan nama (NS) anda dan mengenal pasti pembekal biasa (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode, dan pendaftar serantau antaranya). - E-mel — di mana mel anda dikendalikan. Kami membaca rekod MX anda dan mengenal pasti pembekal biasa (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho, dan lain-lain).
Dari ini kami boleh melihat sama ada tanggungjawab ini dipecah merentasi pembekal (kegagalan dalam satu tidak menjatuhkan yang lain) atau ditimbun pada satu pembekal (mudah, tetapi satu gangguan atau pelanggaran membawa segalanya).
Apa yang “baik” kelihatan: sekurang-kurangnya, DNS dipegang oleh pembekal yang berdedikasi dan boleh dipercayai dan bukannya digabungkan ke dalam akaun yang sama dengan segalanya yang lain — supaya direktori domain anda tidak berkongsi nasib dengan laman web dan peti masuk anda.
Cara membetulkannya (percuma, ~1 petang)
Serahkan ini kepada orang IT atau pembangun web anda — pembetulan adalah percuma. Meletakkan CDN/WAF di hadapan laman anda tidak memerlukan kos pada tier percuma biasa, dan menindas versi pelayan anda adalah tetapan satu baris. Tiada lesen untuk dibeli. (Pilihan berbayar di sini hanya pemantauan, penjejakan portfolio dan audit — tidak pernah pembetulan itu sendiri.) Satu-satunya keputusan pemilik ialah: ya, letakkan perisai di hadapan laman.
Kerana kedua-dua semakan adalah maklumat, tiada satu pun daripada ini dinilai — tetapi CDN/WAF adalah salah satu naik taraf ketahanan bernilai-tertinggi yang boleh dilakukan oleh perniagaan kecil, jadi ia berbaloi dilakukan.
1. Letakkan CDN/WAF di hadapan laman anda
Laluan percuma yang paling biasa ialah Cloudflare:
- Cipta akaun Cloudflare percuma dan tambah domain anda.
- Cloudflare membaca rekod DNS sedia ada anda; semak ia diimport dengan betul.
- Tukar pelayan nama domain anda (di pendaftar anda) kepada dua yang Cloudflare berikan anda. Ini adalah suis yang menghalakan lalu lintas melalui Cloudflare.
- Tetapkan mod SSL/TLS kepada Full (strict) supaya penyulitan kekal hujung ke hujung antara pengunjung → Cloudflare → asal anda. (Elakkan “Flexible,” yang meninggalkan bahagian terakhir tidak disulitkan.)
- CDN dan WAF garis dasar kini aktif. Anda boleh menyetel peraturan WAF kemudian, tetapi lalai sudah menapis banyak.
Laluan lain, bergantung pada tindanan anda:
- AWS CloudFront — cipta pengedaran yang menunjuk ke asal anda; gandingkan dengan AWS WAF untuk penapisan. Terbaik jika anda sudah pada AWS.
- Sucuri WAF — berasaskan DNS, tidak memerlukan perubahan pada pelayan anda; baik jika anda tidak boleh menyentuh asal.
- Fastly / Akamai — CDN/WAF gred perusahaan, biasanya untuk laman yang lebih besar atau lebih tinggi lalu lintas.
Selepas bertukar, uji laman, sahkan HTTPS berfungsi di mana-mana, dan tonton selama sehari. Jangan simpan dengan agresif halaman yang mesti kekal peribadi atau langsung (kawasan yang log masuk, bakul, checkout).
2. Hentikan pengiklanan versi pelayan anda
Sama ada anda menambah CDN atau tidak, tindas versi yang diumumkan pelayan anda — ia adalah maklumat percuma yang anda serahkan kepada penyerang.
Nginx:
server_tokens off;
Apache (dalam konfigurasi utama):
ServerTokens Prod
ServerSignature Off
Alih pengepala X-Powered-By yang berkongsi berlebihan (mis. dari PHP atau rangka kerja app) pada peringkat pelayan atau CDN — pada Cloudflare anda boleh mengelaskannya dengan peraturan transformasi pengepala respons.
3. Semak kewarasan peta pembekal anda (pilihan, ~10 minit)
Lihat di mana DNS, laman web dan e-mel anda sebenarnya berada:
- Jika ketiga-tiga duduk dalam satu akaun pembekal, pertimbangkan sekurang-kurangnya memindahkan DNS kepada pembekal yang berdedikasi (DNS Cloudflare adalah percuma dan pantas). Pemecahan tunggal itu bermaksud direktori domain anda bertahan dalam gangguan pengehosan.
- Tulis peta — pembekal DNS, hos web, pembekal e-mel, pendaftar, dan kenalan log masuk/sokongan untuk setiap satu. Satu halaman ini adalah perkara paling berguna yang boleh anda ada di hadapan anda semasa insiden.
Nota platform
- Google Workspace / Microsoft 365: ini adalah pembekal e-mel anda, bukan laman web anda. Meletakkan CDN/WAF di hadapan laman web tidak menyentuh e-mel, dan sebaliknya — mereka adalah keputusan berasingan. (Mempunyai e-mel pada Google/Microsoft dan laman web di belakang Cloudflare adalah persediaan yang dipecah dengan baik dan dengan sengaja.)
- Pembina laman yang diuruskan (Wix, Squarespace, Shopify): ini termasuk CDN mereka sendiri dan tahap perlindungan WAF sebagai sebahagian dari platform, jadi anda mungkin sudah dilindungi walaupun semakan pengepala kami tidak menamakan pembekal. Anda biasanya tidak boleh menambah Cloudflare anda sendiri di hadapan; tidak mengapa — platform mengendalikannya.
- WordPress pada pengehosan anda sendiri: calon yang ideal untuk lapisan Cloudflare percuma di hadapan. Gabungkan dengan firewall plugin keselamatan untuk peraturan peringkat aplikasi.
Kesilapan biasa
- Menjalankan asal yang terdedah “kerana laman adalah kecil.” Laman kecil mendapat serangan automatik dan banjir bot yang sama seperti yang besar — bot tidak menyemak hasil anda dahulu. Tier CDN/WAF percuma wujud tepat untuk laman kecil; tidak menggunakannya adalah meninggalkan kemenangan mudah di atas meja.
- Menggunakan Cloudflare “Flexible” SSL. Ia menunjukkan kunci tetapi meninggalkan sambungan antara Cloudflare dan asal anda tidak disulitkan. Sentiasa gunakan Full (strict) supaya ia disulitkan dari hujung ke hujung.
- Menyimpan perkara yang salah. Menyimpan dengan agresif halaman yang log masuk, bakul atau checkout boleh menunjukkan kandungan satu pelanggan kepada yang lain atau harga yang lapuk. Simpan kandungan statik; biarkan halaman yang diperibadikan dan transaksi tidak disimpan.
- Menimbun segalanya pada satu pembekal tanpa menyedarinya. Kemudahan adalah baik-baik sahaja jika ia adalah pilihan yang sedar — tetapi banyak perniagaan hanya mendapati DNS, web dan e-mel berkongsi satu akaun semasa gangguan yang membawa ketiga-tiga turun. Jadikannya keputusan, bukan penemuan.
- Meninggalkan versi pelayan pada paparan. Ia adalah langkah pengerasan percuma dan satu baris yang mudah dilupa. Matikannya.
Nota tentang gred
Untuk jelas sepenuhnya: tiada satu pun daripada semakan ini mempengaruhi gred anda. Mereka didaftarkan dalam metodologi kami sebagai maklumat, dengan sifar mata, dan kami tidak pernah menghukum anda kerana asal yang tidak dilindungi atau persediaan satu pembekal. Kami melaporkannya kerana mereka menerangkan pendedahan nyata kepada masa henti, serangan dan pemulihan insiden yang perlahan — dan kerana menambah CDN/WAF percuma adalah salah satu naik taraf bernilai-terbaik yang boleh dilakukan oleh perniagaan kecil. Jika anda tidak melakukan apa-apa di sini, gred anda tidak berubah. Jika anda meletakkan perisai di hadapan laman anda dan memecah DNS anda, anda telah menjadikan perniagaan lebih berdaya tahan secara bermakna secara percuma. Itulah cara yang betul untuk membaca halaman ini: bukan nombor untuk dipertahankan, tetapi naik taraf ketahanan yang berbaloi diambil.
Soalan Lazim
Ini tidak mempengaruhi gred saya — jadi mengapa saya perlu peduli?
Kerana gred mengukur kawalan keselamatan khusus (penyulitan, anti-penipuan e-mel, pengepala keselamatan), sementara dua semakan ini menerangkan ketahanan anda — betapa terdedah anda kepada masa henti dan serangan. Pelayan terdedah tanpa perisai masih boleh mendapat markah baik pada semakan yang dinilai dan masih boleh dijatuhkan ke luar talian oleh banjir bot pada hari pelancaran. Gred dan ketahanan adalah soalan yang berbeza; halaman ini adalah tentang yang kedua. Menambah CDN/WAF adalah salah satu naik taraf bernilai-terbaik yang boleh anda buat, gred atau tiada gred.
Saya bukan orang teknikal — apa yang sebenarnya perlu saya lakukan?
Satu keputusan dan satu penyerahan. Keputusan: adakah anda mahukan perisai pelindung (CDN/WAF) di hadapan laman anda? Untuk hampir setiap perniagaan jawapannya adalah ya, dan laluan biasa — tier percuma Cloudflare — tidak memerlukan kos. Penyerahan: berikan bahagian 'Cara membetulkannya' kepada sesiapa yang menguruskan laman web atau domain anda. Menyediakan CDN/WAF percuma biasanya adalah kerja petang dan tiada bayaran lesen. Pembetulan adalah percuma; hanya pemantauan dan alat portfolio pilihan yang berbayar.
Apa perbezaan antara CDN dan WAF — adakah saya memerlukan kedua-duanya?
CDN (Content Delivery Network) adalah rangkaian global pelayan yang duduk di hadapan laman anda, menyimpan kandungan anda berhampiran pengunjung supaya halaman memuatkan lebih cepat, dan menyerap lonjakan lalu lintas supaya lonjakan tidak menghancurkan asal anda. WAF (Web Application Firewall) adalah lapisan penapisan yang memeriksa permintaan masuk dan menyekat yang berniat jahat — percubaan suntikan, serangan bot, corak eksploitasi yang diketahui — sebelum mereka mencapai pelayan anda. Berita baiknya ialah perkhidmatan popular menggabungkan kedua-duanya: hidupkan Cloudflare (atau yang serupa) dan anda mendapat CDN dan WAF garis dasar bersama-sama. Jadi secara praktikal, ia adalah satu persediaan, dua manfaat.
Adakah buruk bahawa semua perkhidmatan saya berada dengan satu pembekal?
Ia adalah risiko kepekatan, bukan dosa. Kemudahan adalah nyata — satu bil, satu log masuk, satu talian sokongan. Tetapi trade-offnya ialah satu gangguan atau satu kompromi akaun boleh membawa DNS, laman web dan e-mel anda turun bersama-sama, dan meninggalkan anda tidak dapat berkomunikasi tentangnya. Banyak perniagaan kecil menerima ini dengan sedar. Tujuan semakan adalah semata-mata untuk menjadikan kebergantungan kelihatan supaya ia adalah keputusan, bukan kejutan. Peningkatan biasa dan rendah-usaha adalah untuk memindahkan DNS kepada pembekal yang berdedikasi (DNS Cloudflare adalah percuma), supaya sekurang-kurangnya direktori domain anda tidak berkongsi nasib dengan pengehosan anda.
Anda mengesan perisian pelayan dan versi kami — mengapa itu penting?
Apabila pelayan anda mengiklankan tepat perisian yang ia jalankan dan versi mana (dalam pengepala 'Server' atau 'X-Powered-By'), ia memberikan penyerang pintasan: mereka boleh mencari kelemahan yang diketahui untuk versi tepat itu dan menghala terus ke sana. Ia tidak menjadikan anda tidak selamat dengan sendirinya, tetapi ia adalah pendedahan maklumat yang tidak perlu — seperti meninggalkan jenama dan model kunci anda di pintu hadapan. Menindas versi (tetapan pelayan satu baris, percuma) adalah langkah pengerasan kecil yang waras. Ia diliputi dalam langkah pembetulan di bawah.
Adakah meletakkan CDN di hadapan laman saya akan memutuskan apa-apa atau melambatkannya?
Dilakukan dengan betul, ia mempercepatkan laman — itulah keseluruhan tujuan CDN. Perkara utama untuk diperbetulkan semasa persediaan ialah: pastikan HTTPS kekal hujung ke hujung (gunakan mod 'Full (strict)' pada Cloudflare, bukan 'Flexible'), dan jangan simpan dengan agresif halaman yang perlu menjadi peribadi atau langsung (papan pemuka yang log masuk, checkout). Pembekal yang bereputasi lalai kepada tetapan yang waras. Uji laman selepas menukar pelayan nama, tonton selama sehari, dan anda akan mempunyai laman yang lebih cepat dan dilindungi tanpa kelemahan.