Defaults.Exposed › Naprawy › CDN / WAF i hosting

Jak naprawić CDN / WAF i hosting

Dwa odczyty hydrauliki stojącej za Twoją witryną: czy siedzisz za tarczą ochronną (CDN z zaporą aplikacji webowej, jak Cloudflare), która filtruje ataki i pochłania skoki ruchu, oraz mapa tego, kto faktycznie prowadzi Twój DNS, witrynę i e-mail. Oba są informacyjne w naszej punktacji — nie ruszają oceny — ale opisują, jak bardzo Twój serwer origin jest narażony na atak i awarię i jak posplatani są Twoi dostawcy. Tarcza z przodu i rozsądnie rozdzielony zestaw dostawców to wygląd odpornych firm.

W skrócie dla Twojej firmy: Witryna bez tarczy z przodu przyjmuje każdy atak i każdy skok ruchu prosto na serwer origin — więc zalew botów, fala w dniu startu lub pojedynczy zautomatyzowany atak może wyłączyć Cię z sieci na godziny, a odzyskanie spoczywa na Tobie. Postawienie CDN/WAF z przodu (dostępna darmowa warstwa) filtruje zdecydowaną większość zautomatyzowanych ataków, pochłania fale i przyspiesza witrynę na świecie — zwykle popołudnie pracy Twojego informatyka, bez kosztu licencji. Osobno, jeśli Twój DNS, witryna i e-mail żyją wszystkie u jednego dostawcy, pojedyncza awaria lub naruszenie tam wyłącza całą Twoją obecność w sieci naraz; znajomość mapy dostawców to pierwsza rzecz potrzebna podczas incydentu. Żaden test nie zmienia oceny — ale oba opisują realne narażenie na przestoje, utracone sprzedaże i wolne, bolesne odzyskiwanie.

Ile może Cię to kosztować

• Wybuch ruchu botów lub mały DDoS trafia Twój nieosłonięty serwer rankiem dużej promocji — witryna pełza lub pada, klienci dostają błędy przy kasie, a Ty tracisz sprzedaż dnia, podczas gdy Twój host się miota. CDN/WAF z przodu by to pochłonął.
• Twój DNS, witryna i e-mail działają przez jednego dostawcę; ten dostawca ma awarię i Twoja witryna, system rezerwacji ORAZ e-mail gasną w tym samym momencie — nie możesz nawet wysłać „wiemy o problemie”, bo skrzynka też nie działa.
• Zautomatyzowany atak sonduje Twoją witrynę całą noc — skrypty SQL injection i zgadywania logowania młotkują Twój origin bezpośrednio, bo nie ma warstwy zapory, by je odfiltrować — a dowiadujesz się dopiero, gdy coś się psuje. WAF blokuje większość tego szumu, zanim w ogóle dotrze do Twojego kodu.
• Uderza incydent i nikt nie umie odpowiedzieć na podstawowe pytanie „do kogo w ogóle dzwonimy?” — czy witryna jest na tym samym hoście co poczta? Kto prowadzi DNS? Godziny uciekają na samo mapowanie hydrauliki, podczas gdy witryna stoi.
• Zespół IT potencjalnego klienta skanuje Cię przed podpisaniem i widzi goły serwer origin bez CDN/WAF oraz wyciekający nagłówek wersji serwera, ogłaszający dokładnie, jakie oprogramowanie (i wersję) prowadzisz — drobny sygnał „ci ludzie nie wzmocnili podstaw” w najgorszym możliwym momencie.

Dlaczego to ma znaczenie. Oba testy tutaj są informacyjne w naszej metodologii — zarejestrowane z zerową liczbą punktów i nigdy nie zmieniają oceny — bo opisują Twoją infrastrukturę, a nie testują mechanizm bezpieczeństwa typu zaliczono/niezaliczono. Wynosimy je na wierzch, bo mapują realne narażenie biznesowe. Witryna bez CDN/WAF przyjmuje każdy atak i skok ruchu na origin bezpośrednio, bez filtrowania i bez pochłaniania fal; dodanie go (darmowa warstwa Cloudflare to częsta droga) to jedno z najbardziej dźwigniowych, najtańszych ulepszeń odporności, jakie mała firma może wykonać. A jasna mapa dostawców — wiedza, czy Twój DNS, web i e-mail są rozdzielone, czy spiętrzone u jednego dostawcy — to pierwsza rzecz potrzebna, gdy coś idzie nie tak, i różnica między opanowanym incydentem a całkowitą ciemnością.

Co to jest, po ludzku

Każda witryna działa na jakimś serwerze. Pytanie, na które odpowiada ta strona, brzmi: co stoi między otwartym internetem a tym serwerem — i kto faktycznie prowadzi elementy Twojej obecności w sieci?

Są dwie części:

1. CDN / WAF — tarcza z przodu. CDN (Content Delivery Network) to globalna sieć, która siedzi przed Twoją witryną, serwuje Twoją treść szybko odwiedzającym wszędzie i pochłania fale ruchu. WAF (Web Application Firewall) to filtr, który bada przychodzące żądania i blokuje złośliwe, zanim dotrą do Twojego serwera. Popularne usługi (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri i inne) łączą je razem. Przyglądamy się odpowiedziom Twojej witryny i raportujemy, czy widzimy tarczę z przodu — i odnotowujemy też, jaki serwer WWW prowadzisz.

2. Mapa hostingu / dostawców — kto prowadzi Twoją hydraulikę. Czytamy publiczne rekordy mówiące, kto obsługuje Twój DNS (katalog, który zamienia Twoją domenę w adres) i kto obsługuje Twój e-mail. Z tego możemy stwierdzić, czy Twój DNS, witryna i e-mail są rozdzielone między dostawców (odporne), czy spiętrzone u jednego (wygodne, ale pojedynczy punkt awarii).

Najważniejsze, co trzeba wiedzieć na wstępie: w naszej punktacji oba są informacyjne. Nie wpływają na Twoją ocenę. Wynosimy je na wierzch, bo opisują, jak bardzo Twoja firma jest narażona na przestoje i atak — co jest innym, i bardzo praktycznym, pytaniem niż ocena.

Co to może Cię kosztować

To nie abstrakcyjne ryzyka — to codzienne sposoby, w jakie nieosłonięta, posplatana konfiguracja zamienia drobny problem w zły dzień.

• Wyłączony z sieci w dniu, który liczy się najbardziej. Twoja witryna siedzi na serwerze origin bez niczego z przodu. Rankiem startu lub promocji ruch skacze — albo trafia umiarkowany zalew botów — i serwer nie daje rady. Strony przekraczają czas, kasa zwraca błąd, a Ty tracisz przychód dnia, podczas gdy Twój host gasi pożary. CDN pochłania fale, a WAF filtruje śmieciowy ruch; razem są różnicą między „pracowitym dniem” a „leżeniem całe rano”.

• Wszystko gaśnie naraz. Twój DNS, witryna i e-mail działają wszystkie przez jednego dostawcę. Ten dostawca ma awarię (zdarza się każdemu z nich w końcu) i Twoja witryna, system rezerwacji i e-mail znikają jednocześnie. Nie możesz przetwarzać zamówień ani nawet wysłać klientom e-maila, że wiesz — bo skrzynka też nie działa. Rozdzielenie dostawców oznacza, że jedna awaria jest opanowana, nie totalna.

• Twój kod przyjmuje każdy atak bezpośrednio. Bez WAF każda zautomatyzowana sonda — próby wstrzyknięcia, zgadywanie logowania, skanery znanych exploitów — uderza w kod Twojej aplikacji bez filtrowania. Stawiasz na to, że Twoje oprogramowanie jest bezbłędne i w pełni załatane, na zawsze. WAF blokuje przytłaczającą większość tego zautomatyzowanego szumu, zanim do Ciebie dotrze, zamieniając „ciągły atak w tle” w „w większości odfiltrowane”.

• Wolny, spanikowany incydent, bo nikt nie ma mapy. Coś się psuje, a pierwsza godzina marnuje się na „chwila, kto prowadzi nasz DNS? Czy poczta jest na tym samym hoście? Do kogo dzwonimy?”. Gdy Twoja mapa dostawców jest niejasna, każdy incydent zaczyna się od zera. Znajomość mapy z góry zamienia panikę w telefon.

• Złe pierwsze wrażenie u uważnego kupującego. Zespół IT potencjalnego klienta skanuje Cię przed podpisaniem i widzi goły origin bez CDN/WAF — i nagłówek serwera otwarcie ogłaszający Twoje dokładne oprogramowanie i wersję. To drobny sygnał, ale ląduje Cię w kolumnie „nie wzmocnili podstaw” w dokładnie złym momencie.

Czym to właściwie jest

CDN / WAF — warstwa ochronna

Gdy odwiedzający (lub atakujący) żąda Twojej witryny, żądanie może albo iść prosto na Twój serwer origin, albo przejść najpierw przez CDN/WAF. Jeśli z przodu jest tarcza, ta tarcza może:

• Filtrować złośliwe żądania (część WAF): blokować próby wstrzyknięcia, ataki botów i znane wzorce exploitów, zanim w ogóle dotrą do Twojego kodu.
• Pochłaniać ruch (część CDN): serwować cache’owaną treść z serwerów blisko każdego odwiedzającego i pochłaniać fale, by skok — legalny lub wrogi — nie zmiażdżył origin.
• Przyspieszać witrynę: treść dostarczona z pobliskiego serwera brzegowego ładuje się szybciej dla odwiedzających na świecie.

Wykrywamy tarczę, przyglądając się odciskom palców, które te usługi zostawiają w nagłówkach odpowiedzi Twojej witryny — na przykład nagłówek cf-ray (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai) lub x-sucuri-id (Sucuri). Czytamy też nagłówek Server, by zidentyfikować Twój podstawowy serwer WWW (nginx, Apache, IIS, LiteSpeed, Caddy i tak dalej), i oznaczamy każdy nagłówek X-Powered-By, który dzieli się za dużo.

Jak wygląda dobry stan: CDN/WAF wykryty przed Twoim origin oraz nagłówek Server, który nie ogłasza konkretnego numeru wersji.

Mapa hostingu / dostawców — Twoje zależności infrastrukturalne

Twoja domena po cichu wskazuje na kilka różnych usług:

• DNS — katalog, który zamienia twojafirma.pl w faktyczny adres serwera. Czytamy Twoje rekordy serwerów nazw (NS) i rozpoznajemy częstych dostawców (m.in. Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode i regionalni rejestratorzy).
• E-mail — gdzie obsługiwana jest Twoja poczta. Czytamy Twoje rekordy MX i rozpoznajemy częstych dostawców (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho i inni).

Z tego możemy zobaczyć, czy te odpowiedzialności są rozdzielone między dostawców (awaria jednego nie wyłącza pozostałych), czy spiętrzone u jednego dostawcy (wygodne, ale jedna awaria wyłącza wszystko).

Jak wygląda dobry stan: co najmniej DNS trzymany u dedykowanego, niezawodnego dostawcy, a nie wpleciony w to samo konto co wszystko inne — by katalog Twojej domeny nie dzielił losu z witryną i skrzynką.

Jak to naprawić (darmowo, ~1 popołudnie)

Przekaż to swojemu informatykowi lub programiście WWW — poprawka jest darmowa. Postawienie CDN/WAF przed witryną nic nie kosztuje na częstych darmowych warstwach, a stłumienie wersji serwera to jednolinijkowe ustawienie. Nie ma licencji do kupienia. (Płatne opcje tutaj to tylko monitorowanie, śledzenie portfela i audyty — nigdy sama poprawka.) Jedyna decyzja właściciela to: tak, postaw tarczę przed witryną.

Ponieważ oba testy są informacyjne, nic z tego nie jest punktowane — ale CDN/WAF to jedno z najbardziej wartościowych ulepszeń odporności, jakie mała firma może wykonać, więc warto to zrobić.

1. Postaw CDN/WAF przed witryną

Najczęstsza, darmowa droga to Cloudflare:

1. Załóż darmowe konto Cloudflare i dodaj swoją domenę.
2. Cloudflare czyta Twoje istniejące rekordy DNS; sprawdź, czy zaimportowały się poprawnie.
3. Zmień serwery nazw swojej domeny (u rejestratora) na dwa, które daje Cloudflare. To przełącznik, który kieruje ruch przez Cloudflare.
4. Ustaw tryb SSL/TLS na Full (strict), by szyfrowanie pozostało end-to-end między odwiedzający → Cloudflare → Twój origin. (Unikaj „Flexible”, który zostawia ostatni odcinek nieszyfrowany.)
5. CDN i bazowy WAF są teraz aktywne. Możesz później dostroić reguły WAF, ale ustawienia domyślne już sporo filtrują.

Inne drogi, zależnie od Twojego stosu:

• AWS CloudFront — utwórz dystrybucję wskazującą na Twój origin; sparuj z AWS WAF do filtrowania. Najlepsze, jeśli już jesteś na AWS.
• Sucuri WAF — oparty na DNS, nie wymaga zmian na Twoim serwerze; dobry, jeśli nie możesz tknąć origin.
• Fastly / Akamai — CDN/WAF klasy enterprise, zwykle dla większych lub bardziej ruchliwych witryn.

Po przełączeniu przetestuj witrynę, potwierdź, że HTTPS działa wszędzie, i obserwuj przez dzień. Nie cache’uj agresywnie stron, które muszą pozostać osobiste lub na żywo (obszary zalogowane, koszyki, kasy).

2. Przestań ogłaszać wersję serwera

Niezależnie od tego, czy dodajesz CDN, stłum wersję, którą ogłasza Twój serwer — to darmowa informacja, którą wręczasz atakującym.

Nginx:

server_tokens off;

Apache (w głównej konfiguracji):

ServerTokens Prod
ServerSignature Off

Usuń dzielący się za dużo nagłówek X-Powered-By (np. z PHP lub frameworka aplikacji) na poziomie serwera lub CDN — na Cloudflare możesz go usunąć regułą transformacji nagłówka odpowiedzi.

3. Sprawdź swoją mapę dostawców (opcjonalnie, ~10 minut)

Spójrz, gdzie faktycznie żyją Twój DNS, witryna i e-mail:

• Jeśli wszystkie trzy siedzą w jednym koncie dostawcy, rozważ przynajmniej przeniesienie DNS do dedykowanego dostawcy (DNS Cloudflare jest darmowy i szybki). To pojedyncze rozdzielenie oznacza, że katalog Twojej domeny przetrwa awarię hostingu.
• Zapisz mapę — dostawca DNS, host WWW, dostawca poczty, rejestrator oraz kontakt logowania/wsparcia dla każdego. Ta jedna strona to najużyteczniejsza rzecz, jaką możesz mieć przed sobą podczas incydentu.

Uwagi do platform

• Google Workspace / Microsoft 365: to Twoi dostawcy poczty, nie witryny. Postawienie CDN/WAF przed witryną nie dotyka poczty i odwrotnie — to osobne decyzje. (Posiadanie poczty na Google/Microsoft i witryny za Cloudflare to całkowicie dobra, celowo rozdzielona konfiguracja.)
• Zarządzane kreatory witryn (Wix, Squarespace, Shopify): te zawierają własny CDN i pewien poziom ochrony WAF jako część platformy, więc możesz już być osłonięty, nawet jeśli nasz test nagłówków nie nazywa dostawcy. Zwykle nie możesz dodać własnego Cloudflare z przodu; to w porządku — platforma to obsługuje.
• WordPress na własnym hostingu: idealny kandydat na darmową warstwę Cloudflare z przodu. Połącz ją z zaporą wtyczki bezpieczeństwa dla reguł na poziomie aplikacji.

Częste błędy

• Prowadzenie gołego origin „bo witryna jest mała”. Małe witryny dostają te same zautomatyzowane ataki i zalewy botów co duże — boty nie sprawdzają najpierw Twojego przychodu. Darmowa warstwa CDN/WAF istnieje właśnie dla małych witryn; nieużywanie jej to pozostawienie łatwej wygranej na stole.
• Używanie Cloudflare „Flexible” SSL. Pokazuje kłódkę, lecz zostawia połączenie między Cloudflare a Twoim origin nieszyfrowane. Zawsze używaj Full (strict), by było szyfrowane end-to-end.
• Cache’owanie niewłaściwych rzeczy. Agresywne cache’owanie stron zalogowanych, koszyków czy kas może pokazać jednemu klientowi treść innego lub nieaktualne ceny. Cache’uj treść statyczną; strony spersonalizowane i transakcyjne zostaw bez cache’u.
• Spiętrzanie wszystkiego u jednego dostawcy bez świadomości. Wygoda jest w porządku, jeśli to świadomy wybór — ale wiele firm odkrywa, że DNS, web i e-mail dzielą jedno konto, dopiero podczas awarii, która wyłącza całą trójkę. Uczyń to decyzją, nie odkryciem.
• Pozostawienie wersji serwera na widoku. To darmowy, jednolinijkowy krok wzmacniający, który łatwo zapomnieć. Wyłącz go.

Uwaga o ocenie

Zupełnie jasno: żaden z tych testów nie wpływa na Twoją ocenę. Są zarejestrowane w naszej metodologii jako informacyjne, z zerową liczbą punktów, a nigdy nie karzemy Cię za nieosłonięty origin ani konfigurację z jednym dostawcą. Raportujemy je, bo opisują realne narażenie na przestoje, atak i wolne odzyskiwanie po incydencie — i bo dodanie darmowego CDN/WAF to jedno z najbardziej wartościowych ulepszeń, jakie mała firma może wykonać. Jeśli nic tu nie zrobisz, Twoja ocena jest niezmieniona. Jeśli postawisz tarczę przed witryną i odłączysz swój DNS, uczyniłeś firmę znacząco bardziej odporną za darmo. To właściwy sposób czytania tej strony: nie liczba do obrony, lecz ulepszenie odporności warte wzięcia.

Najczęstsze pytania