Defaults.Exposed › Opravy › CDN / WAF a hosting

Ako opraviť CDN / WAF a hosting

Dve čítania inštalatérstva za vašim webom: či sedíte za ochranným štítom (CDN s Web Application Firewallom, ako Cloudflare), ktorý filtruje útoky a absorbuje nárazy prevádzky, a mapa toho, kto skutočne prevádzkuje váš DNS, web a e-mail. Obe sú informatívne v našom hodnotení — neposúvajú vaše hodnotenie — ale popisujú, ako je váš pôvodný server vystavený útoku a výpadku a ako zamotaní sú vaši poskytovatelia. Štít vpredu a rozumne rozdelená sada poskytovateľov je to, ako vyzerajú odolné firmy.

Podstata pre vaše podnikanie: Web bez štítu pred sebou berie každý útok a každý nárast prevádzky priamo na pôvodnom serveri — takže záplava botov, nárast pri spustení alebo jeden automatizovaný útok môže vyradiť vás offline na hodiny a záchrana je na vás. Dať CDN/WAF pred seba (dostupná bezplatná verzia) filtruje drvivú väčšinu automatizovaných útokov, absorbuje nárasty a celosvetovo zrýchľuje stránku — typicky poobedná práca pre vášho IT špecialistu bez nákladov na licenciu. Oddelene, ak váš DNS, web a e-mail žijú u jedného poskytovateľa, jeden výpadok alebo porušenie tam zoberie celú vašu online prítomnosť naraz; poznanie mapy vašich poskytovateľov je prvá vec, ktorú potrebujete pri incidente. Žiadna kontrola nemení vaše hodnotenie — ale obe popisujú skutočné vystavenie výpadku, strateným tržbám a pomalej, bolestivej záchrane.

Čo vás to môže stáť

• Záplava botov alebo malý DDoS zasiahne váš nechránený server ráno veľkej akcie — stránka sa plazí alebo padne, zákazníci dostávajú chyby pri pokladni a vy stratíte tržby dňa, kým sa váš host pobije. CDN/WAF pred sebou by to absorboval.
• Váš DNS, web a e-mail všetky bežia cez jedného poskytovateľa; ten poskytovateľ má výpadok a vaša stránka, váš rezervačný systém A váš e-mail zmiznú v rovnakom okamihu — nemôžete dokonca poslať 'sme si vedomí problému', pretože doručená pošta je tiež dole.
• Automatizovaný útok sonduje vašu stránku celú noc — SQL injection a skripty na hádanie prihlásenia búchajú priamo na váš pôvod bez filtrovacej vrstvy na ich blokovanie — a vy sa dozviete len keď sa niečo poruší. WAF zablokuje väčšinu tohto hluku skôr, než dosiahne váš kód.
• Incident zasiahne a nikto nevie odpovedať na základnú otázku 'koho vôbec zavoláme?' — Je web na rovnakom hoste ako e-mail? Kto prevádzkuje DNS? Hodiny ubúdajú len mapovaním inštalatérstva, kým stránka zostáva dole.
• IT tím potenciálneho zákazníka vás naskenuje pred podpisom a uvidí holý pôvodný server bez CDN/WAF a únikajúcu hlavičku verzie servera, inzerujúcu presne aký softvér (a verziu) prevádzkujete — malý signál 'títo ľudia nezabezpečili základy' v najhoršom možnom momente.

Prečo na tom záleží. Obe kontroly tu sú informatívne v našej metodike — sú zaregistrované s nulou bodov a nikdy nemenia vaše hodnotenie — pretože popisujú vašu infraštruktúru namiesto testovania pass/fail bezpečnostného ovládacieho prvku. Uvádzame ich, pretože mapujú skutočné podnikové vystavenie. Stránka bez CDN/WAF berie každý útok a nárast prevádzky priamo na pôvod bez filtrovania a bez absorpcie nárastu; pridanie jedného (bezplatná verzia Cloudflare je bežná cesta) je jedno z upgradov s najvyššou pákou a najnižšími nákladmi odolnosti, ktoré malá firma môže urobiť. A jasná mapa poskytovateľov — vedieť, či váš DNS, web a e-mail sú rozdelené alebo navrstvené u jedného poskytovateľa — je prvá vec, ktorú potrebujete, keď niečo zlyhá.

Čo to je, v jednoduchých slovách

Každý web beží na serveri niekde. Otázka, na ktorú táto stránka odpovedá, je: čo stojí medzi otvoreným internetom a týmto serverom — a kto skutočne prevádzkuje kúsky vašej online prítomnosti?

Sú tu dve časti:

1. CDN / WAF — štít vpredu. CDN (Content Delivery Network) je globálna sieť, ktorá sedí pred vašou stránkou, podáva váš obsah rýchlo návštevníkom kdekoľvek a absorbuje nárasty prevádzky. WAF (Web Application Firewall) je filter, ktorý inšpektuje prichádzajúce požiadavky a blokuje škodlivé skôr, než dosiahnú váš server. Populárne služby (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri a iné) to zviažu spolu. Skúmame odpovede vašej stránky a reportujeme, či vidíme štít vpredu — a tiež zaznamenáme, aký webový server prevádzkujete.

2. Mapa hostingu / poskytovateľa — kto prevádzkuje vaše inštalatérstvo. Čítame verejné záznamy, ktoré hovoria, kto spravuje váš DNS (adresár, ktorý premieňa vašu doménu na adresu) a kto spravuje váš e-mail. Z toho môžeme povedať, či sú váš DNS, web a e-mail rozdelené naprieč poskytovateľmi (odolné) alebo navrstvené na jednom (pohodlné, ale single point of failure).

Najdôležitejšia vec, ktorú treba vedieť vopred: v našom hodnotení sú obe informatívne. Neovplyvňujú vaše hodnotenie. Uvádzame ich, pretože popisujú, ako je vaše podnikanie vystavené výpadku a útoku — čo je odlišná a veľmi praktická otázka od hodnotenia.

Čo vás to môže stáť

Tieto nie sú abstraktné riziká — sú to každodenné spôsoby, akými nechránené, zamotané nastavenie premení malý problém na zlý deň.

• Vyradený offline na deň, keď to záleží najviac. Vaša stránka sedí na pôvodnom serveri bez ničoho pred ňou. Ráno spustenia alebo akcie, prevádzka narastie — alebo zasiahne skromná záplava botov — a server to nezvládne. Stránky sa časujú, pokladňa dáva chyby a stratíte tržby dňa, kým váš host hasí požiare. CDN absorbuje nárasty a WAF filtruje odpadkovú prevádzku; spolu sú rozdielom medzi “rušný deň” a “celé ráno dole.”

• Všetko stmavne naraz. Váš DNS, web a e-mail všetky bežia cez jedného poskytovateľa. Ten poskytovateľ má výpadok (stáva sa to všetkým nakoniec) a vaša stránka, váš rezervačný systém a váš e-mail zmiznú súčasne. Nemôžete spracovávať objednávky a nemôžete dokonca emailovať zákazníkom, že ste si vedomí — pretože doručená pošta je tiež dole. Rozdelenie poskytovateľov znamená, že jeden zlyhanie je obsiahnuté, nie totálne.

• Váš kód berie každý útok priamo. Bez WAF každá automatizovaná sonda — pokusy o injection, hádanie prihlásenia, skenery známych exploitov — zasiahne váš aplikačný kód bez filtrovania. Stávkujete, že váš softvér je bezchybný a plne opravený navždy. WAF zablokuje drvivú väčšinu tohto automatizovaného hluku skôr, než dosiahne vás.

• Pomalý, panikársky incident, pretože nikto nemá mapu. Niečo sa poruší a prvá hodina sa mrhá na “počkajte, kto prevádzkuje náš DNS? Je e-mail na rovnakom hoste? Koho zavoláme?” Keď je mapa vašich poskytovateľov nejasná, každý incident začína od nuly.

• Zlý prvý dojem pre opatrného kupujúceho. Potenciálny zákazník vás naskenuje pred podpisom a uvidí holý pôvod bez CDN/WAF — a hlavičku servera otvorene inzerujúcu váš presný softvér a verziu.

Čo to v skutočnosti je

CDN / WAF — ochranná vrstva

Keď návštevník (alebo útočník) požiada vašu stránku, požiadavka môže buď ísť priamo na váš pôvodný server, alebo môže ísť najprv cez CDN/WAF. Ak je štít vpredu, ten štít môže:

• Filtrovať škodlivé požiadavky (časť WAF): blokovať pokusy o injection, útoky botov a známe vzory exploitov skôr, než vôbec dosiahnú váš kód.
• Absorbovať prevádzku (časť CDN): podávať cache-ovaný obsah zo serverov blízko každého návštevníka a absorbovať nárasty, takže špička — legitímna alebo nepriateľská — nezdrtí váš pôvod.
• Zrýchliť stránku: obsah doručovaný z blízkeho edge servera sa načítava rýchlejšie pre návštevníkov celosvetovo.

Štít detekujeme pohľadom na odtlačky prstov, ktoré tieto služby zanechávajú v odpovedi hlavičkách vašej stránky — napríklad hlavičku cf-ray (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai) alebo x-sucuri-id (Sucuri). Tiež čítame hlavičku Server pre identifikáciu vášho podkladového webového servera a označujeme akúkoľvek hlavičku X-Powered-By, ktorá príliš zdieľa.

Ako vyzerá ‘dobré’: CDN/WAF detekovaný pred vaším pôvodom a hlavička Server, ktorá neinzeruje konkrétne číslo verzie.

Mapa hostingu / poskytovateľa — vaše infraštruktúrne závislosti

Vaša doména ticho ukazuje na niekoľko rôznych služieb:

• DNS — adresár, ktorý premieňa vasafirma.com na skutočnú serverovú adresu. Čítame vaše nameserver (NS) záznamy a rozpoznávame bežných poskytovateľov.
• E-mail — kde je spravovaná vaša pošta. Čítame vaše MX záznamy a rozpoznávame bežných poskytovateľov (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho a iných).

Z toho môžeme vidieť, či sú tieto zodpovednosti rozdelené naprieč poskytovateľmi (zlyhanie v jednom nezoberie ostatných) alebo navrstvené na jedinom poskytovateľovi (pohodlné, ale jeden výpadok alebo porušenie zoberie všetko).

Ako vyzerá ‘dobré’: minimálne DNS drží dedikovaný, spoľahlivý poskytovateľ namiesto zviazania do rovnakého účtu ako všetko ostatné — takže adresár vašej domény nezdieľa osud s vaším hostingom a doručenou poštou.

Ako to opraviť (zadarmo, ~1 popoludnie)

Odovzdajte to vášmu IT pracovníkovi alebo webovému vývojárovi — oprava je zadarmo. Dať CDN/WAF pred vašu stránku nestojí nič na bežných bezplatných verziách a potlačenie verzie vášho servera je jednoriadkové nastavenie. Nie je žiadna licencia na kúpenie. Jedine rozhodnutie vlastníka je: áno, dajte štít pred stránku.

1. Dajte CDN/WAF pred vašu stránku

Najbežnejšia, bezplatná cesta je Cloudflare:

1. Vytvorte bezplatný Cloudflare účet a pridajte vašu doménu.
2. Cloudflare prečíta vaše existujúce DNS záznamy; skontrolujte, či sa správne importovali.
3. Zmeňte nameservery vašej domény (u vášho registrátora) na tie dve, ktoré vám Cloudflare dáva. Toto je prepínač, ktorý smeruje prevádzku cez Cloudflare.
4. Nastavte SSL/TLS režim na Plný (striktný), takže šifrovanie zostáva end-to-end medzi návštevníkom → Cloudflare → váš pôvod. (Vyhnite sa “Flexibilnému”, ktorý ponecháva posledný úsek nešifrovaný.)
5. CDN a základný WAF sú teraz aktívne.

Iné cesty, v závislosti od vášho stacku:

• AWS CloudFront — vytvorte distribúciu ukazujúcu na váš pôvod; spárujtate s AWS WAF pre filtrovanie.
• Sucuri WAF — DNS-based, nevyžaduje žiadne zmeny na vašom serveri.
• Fastly / Akamai — enterprise-grade CDN/WAF, typicky pre väčšie alebo vysoce-prevázkové stránky.

2. Prestaňte inzerovať verziu vášho servera

Či pridáte CDN alebo nie, potlačte verziu, ktorú váš server oznamuje — sú to bezplatné informácie, ktoré dávate útočníkom.

Nginx:

server_tokens off;

Apache (v hlavnej konfigurácii):

ServerTokens Prod
ServerSignature Off

Odstráňte príliš zdieľajúcu hlavičku X-Powered-By (napr. z PHP alebo aplikačného frameworku) na úrovni servera alebo CDN — na Cloudflare ju môžete odstrániť s pravidlom transformácie hlavičky odpovede.

3. Overte-skontrolujte svoju mapu poskytovateľov (voliteľné, ~10 minút)

Pozrite sa, kde skutočne žijú váš DNS, web a e-mail:

• Ak všetky tri sídlia v jednom účte poskytovateľa, zvážte aspoň presun DNS na dedikovaného poskytovateľa (Cloudflare DNS je zadarmo a rýchly). Toto jediné rozdelenie znamená, že adresár vašej domény prežije hostingový výpadok.
• Napíšte mapu — DNS poskytovateľ, webový host, poskytovateľ e-mailu, registrátor a prihlasovací/podporný kontakt pre každý. Táto jedna stránka je najužitočnejšia vec, ktorú môžete mať pred sebou počas incidentu.

Poznámky k platforme

• Google Workspace / Microsoft 365: toto sú vaši e-mailoví poskytovatelia, nie váš web. Danie CDN/WAF pred web sa nedotýka e-mailu a naopak — sú to samostatné rozhodnutia.
• Spravovaní stavitelia stránok (Wix, Squarespace, Shopify): tieto obsahujú vlastný CDN a úroveň WAF ochrany ako súčasť platformy, preto ste možno už chránení, aj keď naša kontrola hlavičiek nepomenuje poskytovateľa. Zvyčajne nemôžete pridať vlastný Cloudflare pred sebou; to je v poriadku — platforma to spracúva.
• WordPress na vlastnom hostingu: ideálny kandidát pre bezplatnú vrstvu Cloudflare vpredu.

Bežné chyby

• Prevádzkovanie holého pôvodu ‘pretože stránka je malá.’ Malé stránky sú zasiahnuté rovnakými automatizovanými útokmi a záplavy botov ako veľké — boti nekontrolujú váš príjem najprv. Bezplatná verzia CDN/WAF existuje presne pre malé stránky; jej nepoužívanie je nechávanie ľahkej výhry na stole.
• Používanie Cloudflare “Flexibilný” SSL. Zobrazuje zámok, ale ponecháva pripojenie medzi Cloudflare a vaším pôvodom nešifrované. Vždy použite Plný (striktný), aby bolo end-to-end šifrované.
• Cache-ovanie nesprávnych vecí. Agresívne cache-ovanie prihlásených stránok, košíkov alebo pokladní môže ukázať jednému zákazníkovi obsah druhého. Cache-ujte statický obsah; nechajte personalizované a transakčné stránky nezcache-ované.
• Navrstvenie všetkého u jedného poskytovateľa bez toho, aby ste si to uvedomili. Pohodlnosť je v poriadku, ak je to vedomá voľba — ale mnoho firiem zistí, že DNS, web a e-mail zdieľajú jeden účet počas výpadku, ktorý zhasne všetky tri. Urobte to rozhodnutím, nie objavom.
• Ponechanie verzie servera na zobrazenie. Je to bezplatný, jednoriadkový krok posilnenia, ktorý je ľahký na zabudnutie.

Poznámka k hodnoteniu

Aby sme boli úplne otvorení: žiadna z týchto dvoch kontrol neovplyvňuje vaše hodnotenie. Sú zaregistrované v našej metodike ako informatívne, s nulou bodov, a nikdy vás netrestáme za nechránený pôvod alebo nastavenie s jedným poskytovateľom. Reportujeme ich, pretože popisujú skutočné vystavenie výpadku, útoku a pomalej záchrane incidentu — a pretože pridanie bezplatného CDN/WAF je jedno z upgradov s najvyššou hodnotou, ktoré môže malá firma urobiť. Ak tu nič neurobíte, vaše hodnotenie je nezmenené. Ak dáte štít pred vašu stránku a rozdelíte DNS, urobili ste firmu zmysluplne odolnejšou zadarmo.

FAQ