Defaults.Exposed › Popravki › CDN / WAF in gostovanje

Kako popraviti CDN / WAF in gostovanje

Dva branja inštalacij za vašo spletno stran: ali sedite za zaščitnim ščitom (CDN z Web Application Firewall-om, kot je Cloudflare), ki filtrira napade in absorbira skoke prometa, ter zemljevid tega, kdo dejansko izvaja vaš DNS, spletno mesto in e-pošto. Oba sta informativna pri našem točkovanju — ne menjata vaše ocene — a opisujeta, kako izpostavljen je vaš izvorni strežnik napadom in motnjam, in kako zapleteni so vaši ponudniki. Ščit pred vami in razumno razporejeni ponudniki je videz odpornih podjetij.

Bistvo za vaše podjetje: Spletno mesto brez ščita pred seboj vzame vsak napad in vsak skok prometa neposredno na izvorni strežnik — torej poplava botov, skok ob lansiranju ali eden sam samodejni napad vas sme vzeti s spleta za ure, in okrevanje je na vas. Postavljanje CDN/WAF pred vami (dostopno brezplačno) filtrira ogromno večino samodejnih napadov, absorbira skoke in pospeši stran po vsem svetu — tipično popoldansko delo za vašo IT osebo, brez licenčnih stroškov. Ločeno, če vaš DNS, spletno mesto in e-pošta živijo pri enem ponudniku, ena motnja ali kršitev tam vzame celotno vaše spletno prisotnost hkrati; poznavanje vašega zemljevida ponudnikov je prva stvar, ki jo potrebujete v incidentu. Nobeno preverjanje ne menja vaše ocene — a oba opisujeta pravo izpostavljenost izpadu, izgubljenemu prodaji in počasnemu, bolečemu okrevanju.

Kaj vas to lahko stane

• Blic botskega prometa ali mali DDoS udari vaš nezaščiteni strežnik na jutro velikega pospeška — stran plazi ali pade, stranke dobijo napake pri blagajni in izgubite dnevno prodajo, medtem ko se vaš gostitelj trudi. CDN/WAF pred vami bi ga absorbiral.
• Vaš DNS, spletno mesto in e-pošta tečejo prek enega ponudnika; ta ponudnik ima motnjo in vaša stran, vaš sistem za rezervacije IN vaša e-pošta hkrati potemnjejo — niti pošljite ne morete 'zavedamo se težave', ker je mapa prihoda dol.
• Avtomatizirani napad celo noč preizkuša vašo stran — skripte SQL injekcij in ugibanja prijavnih podatkov, ki vse noč tepejo vaše izvorno neposredno brez sloja požarnega zidu za filtriranje — in za to izveste šele, ko se kaj pokvari. WAF zaustavi večino tega hrupa, preden sploh doseže vašo kodo.
• Incident udari in nihče ne more odgovoriti na osnovno vprašanje 'koga sploh pokličemo?' — ali je spletno mesto pri istem gostitelju kot e-pošta? Kdo izvaja DNS? Ure odtečejo pri zgolj načrtovanju vodovodnih instalacij, medtem ko stran ostane dol.
• IT ekipa naročnika vas skenira pred podpisom in vidi goli izvorni strežnik brez CDN/WAF ter puščajočo glavo strežniške različice, ki oglaša natanko, katero programsko opremo (in različico) izvajate — majhen signal 'ti ljudje niso utrdi osnov' ob najslabšem možnem trenutku.

Zakaj je to pomembno. Obe preverjanji sta pri naši metodologiji informativni — registrirani z nič točkami in nikoli ne menjata vaše ocene — ker opisujeta vašo infrastrukturo namesto testiranja nadzornega elementa z vrednostjo za sprejem/zavrnitev. Jih izpostavljamo, ker kartografirajo pravo poslovno izpostavljenost. Stran brez CDN/WAF vzame vsak napad in skok prometa neposredno na izvorno, brez filtriranja in brez absorbiranja skoka; dodajanje enega (skupna pot je brezplačen nivo Cloudflare) je ena od nadgradenj odpornosti z največ vzvoda in najnižjimi stroški, ki jih majhno podjetje sme narediti. In jasni zemljevid ponudnikov — vedeti, ali sta vaš DNS, splet in e-pošta razporejeni ali skopičeni pri enem ponudniku — je prva stvar, ki jo potrebujete, ko gre kaj narobe, in razlika med vsebovanim incidentom in popolno izpado.

Kaj to je v preprostem jeziku

Vsako spletno mesto teče na strežniku nekje. Vprašanje, na katerega ta stran odgovori, je: kaj stoji med odprtim internetom in tem strežnikom — in kdo dejansko izvaja dele vašega spletnega prisotnosti?

Sta dva dela:

1. CDN / WAF — ščit pred vami. CDN (Content Delivery Network) je globalno omrežje, ki sedi pred vašo stranjo, vaši vsebini hitro streže obiskovalcem kjerkoli in absorbira skoke prometa. WAF (Web Application Firewall) je filter, ki pregleduje dohodne zahteve in blokira zlonamerne, preden dosežejo vaš strežnik. Priljubljene storitve (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri in drugi) vključijo oba skupaj. Pogledamo odgovore vaše strani in poročamo, ali vidimo ščit pred — in opomimo, kateri spletni strežnik izvajate, prav tako.

2. Gostovanje / zemljevid ponudnikov — kdo izvaja vaše inštalacije. Preberemo javne zapise, ki pravijo, kdo upravlja vaš DNS (imenik, ki vašo domeno pretvori v naslov), in kdo upravlja vašo e-pošto. Iz tega smo zmožni povedati, ali sta vaš DNS, spletno mesto in e-pošta razporejeni prek ponudnikov (odporni) ali skopičeni na enem (priročni, a enotna točka odpovedi).

Najpomembnejša stvar za vedeti na začetku: pri našem točkovanju sta oba informativna. Ne vplivata na vašo oceno. Jih izpostavljamo, ker opisujeta, kako izpostavljeni ste izpadu in napadu — kar je različno in zelo praktično vprašanje od ocene.

Kaj vas to lahko stane

To niso abstraktna tveganja — so vsakodnevni načini, na katere nezaščitena, zapletena nastavitev majhen problem spremeni v slab dan.

• Vzeti s spleta na dan, ko to najbolj šteje. Vaša stran sedi na izvornem strežniku brez ničesar pred njim. Na jutro lansiranja ali pospeška promet skoči — ali zadene skromen poplav botov — in strežnik ne zmore. Strani prekinejo, blagajna se zmoti in izgubite dnevne prihodke, medtem ko vaš gostitelj gasi požar. CDN absorbira skoke in WAF filtrira smeti promet; skupaj sta razlika med “prometnim dnem” in “cel dopoldne dol.”

• Vse skupaj potemni hkrati. Vaš DNS, spletno mesto in e-pošta tečejo prek enega ponudnika. Ta ponudnik ima motnjo (vsem se to sčasoma zgodi) in vaša stran, vaš sistem za rezervacije in vaša e-pošta hkrati izginejo. Naročil ne morete obdelati in strankam niti e-pošte ne morete poslati, da se zavedamo — ker je mapa prihoda dol. Razporeditev ponudnikov pomeni, da je ena odpoved vsebovana, ne totalna.

• Vaša koda vzame vsak napad neposredno. Brez WAF vsaka samodejni preizkus — poskusi injekcij, ugibanje prijavnih podatkov, znani-izkoriščalni skenerji — zadene vašo kodo aplikacije brez filtriranja. Stavljate, da je vaša programska oprema brezhibna in v celoti popravljana, za vedno. WAF zaustavi ogromno večino tega samodejnega hrupa, preden vas doseže, in “konstantni napad v ozadju” pretvori v “večinoma filtrirano.”

• Počasen, paničen incident, ker nihče nima zemljevida. Kaj se pokvari in prva ura je izgubljena z “počakajte, kdo izvaja naš DNS? Ali je e-pošta pri istem gostitelju? Koga pokličemo?” Ko je vaš zemljevid ponudnikov nejasn, vsak incident začne iz nič. Vnaprejšnje poznavanje zemljevida paniko pretvori v telefonski klic.

• Slab prvi vtis pri skrbnem kupcu. Naročnik pred podpisom vas skenira in vidi goli izvor brez CDN/WAF — in glavo strežnika, ki odkrito oglaša točno vašo programsko opremo in različico. Je majhen signal, a vas postavi v stolpec “niso utrdi osnov” ob natanko napačnem trenutku.

Kaj dejansko je

CDN / WAF — zaščitni sloj

Ko obiskovalec (ali napadalec) zahteva vašo stran, sme zahteva iti neposredno na vaš izvorni strežnik, ali pa sme iti najprej prek CDN/WAF. Če je pred njim ščit, ta ščit sme:

• Filtrirati zlonamerne zahteve (del WAF): blokirati poskuse injekcij, napade botov in znane vzorce izkoriščanja, preden kdaj dosežejo vašo kodo.
• Absorbirati promet (del CDN): streže predpomnjena vsebino iz strežnikov blizu vsakega obiskovalca in absorbira skoke, tako da skok — legitimen ali sovražen — ne zdrobi vašega izvora.
• Pospešiti stran: vsebina, dostavljena z bližnjega robnega strežnika, se obiskovalcem po vsem svetu naloži hitreje.

Ščit zaznamo z iskanjem prstnih odtisov, ki te storitve puščajo v glavah odziva vaše strani — na primer glava cf-ray (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai) ali x-sucuri-id (Sucuri). Prav tako preberemo glavo Server, da identificiramo vaš osnoven spletni strežnik (nginx, Apache, IIS, LiteSpeed, Caddy in podobni), in označimo katero koli glavo X-Powered-By, ki preveč deli.

Kako izgleda “dobro”: CDN/WAF zaznan pred vašim izvorom in glava Server, ki ne oglašuje specifičnega številke različice.

Gostovanje / zemljevid ponudnikov — odvisnosti infrastrukture vaše

Vaša domena tiho kaže na številne različne storitve:

• DNS — imenik, ki pretvori vasopodjetje.com v dejanski naslov strežnika. Preberemo vaše zapise imenskega strežnika (NS) in prepoznamo skupne ponudnike (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode in regionalni registrarji med njimi).
• E-pošta — kjer je vaša pošta obravnavana. Preberemo vaše MX zapise in prepoznamo skupne ponudnike (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho in drugi).

Iz tega sme videti, ali so te odgovornosti razporejene prek ponudnikov (odpoved pri enem ne vzame ostalih) ali skopičene pri enem ponudniku (priročni, a ena motnja ali kršitev vzame vse).

Kako izgleda “dobro”: vsaj DNS, ki ga drži namenjeni, zanesljivi ponudnik, namesto da je skupaj v istem računu z vsem ostalim — tako imenik vaše domene ne deli usode z vašim spletnim mestom in mapo prihoda.

Kako to popraviti (brezplačno, ~1 popoldne)

Posredujte to vaši IT osebi ali spletnemu razvijalcu — popravek je brezplačen. Postavljanje CDN/WAF pred vašo stran ne stane nič pri skupnih brezplačnih nivojih in zatiranje vaše strežniške različice je enovrstična nastavitev. Licence ni za kupiti. (Plačljive možnosti tukaj so le opazovanje, sledenje portfolia in revizije — nikoli sam popravek.) Edina odločitev lastnika je: da, postavite ščit pred stranjo.

Ker sta obe preverjanji informativni, nič od tega ni ocenjevano — a CDN/WAF je ena od nadgradenj odpornosti z največ vzvoda za majhno podjetje, zato je vredno narediti.

1. Postavite CDN/WAF pred vašo stran

Najpogostejša, brezplačna pot je Cloudflare:

1. Ustvarite brezplačni račun Cloudflare in dodajte vašo domeno.
2. Cloudflare prebere vaše obstoječe DNS zapise; preverite, da so bili pravilno uvoženi.
3. Spremenite imenske strežnike vaše domene (pri vašem registrarju) na tista dva, ki vam jih da Cloudflare. To je stikalo, ki promet usmerja prek Cloudflare.
4. Nastavite način SSL/TLS na Full (strict), tako da šifriranje ostane od konca do konca med obiskovalcem → Cloudflare → vaším izvorom. (Izogibajte se “Flexible,” ki zadnji krak pusti nešifriran.)
5. CDN in osnoven WAF sta zdaj aktivna. Pravila WAF nastavljate pozneje, a privzete nastavitve že filtrirajo veliko.

Druge poti, odvisno od vašega kupu:

• AWS CloudFront — ustvarite distribucijo, ki kaže na vaš izvor; pari z AWS WAF za filtriranje. Najboljše, če ste že pri AWS.
• Sucuri WAF — na osnovi DNS, brez zahtev za spremembe na vašem strežniku; dobro, če se ne morete dotakniti izvora.
• Fastly / Akamai — CDN/WAF poslovne kakovosti, tipično za večje ali bolj prometne strani.

Po preklopu testirajte stran, potrdite, da HTTPS deluje povsod, in ga en dan opazujte. Ne predpomnite agresivno strani, ki morajo ostati osebne ali žive (prijavljeni predeli, košarice, blagajne).

2. Prenehajte oglaševati vašo strežniško različico

Ne glede na to, ali dodate CDN, zatreti različico, ki jo vaš strežnik najavlja — so brezplačne informacije, ki jih predajate napadalcem.

Nginx:

server_tokens off;

Apache (v glavni konfiguraciji):

ServerTokens Prod
ServerSignature Off

Odstranite preveč deljajočo glavo X-Powered-By (npr. od PHP ali okvira aplikacije) na ravni strežnika ali CDN — pri Cloudflare jo sme odstraiti s pravilom preoblikovanja glave odziva.

3. Preverite zdravo pamet vašega zemljevida ponudnikov (neobvezno, ~10 minut)

Poglejte, kje dejansko živita vaš DNS, spletno mesto in e-pošta:

• Če vse tri sedijo v enem ponudniškem računu, razmislite o vsaj premiku DNS-a k namenjenemu ponudniku (Cloudflareov DNS je brezplačen in hiter). Ta ena delitev pomeni, da imenik vaše domene preživi motnjo gostovanja.
• Zapišite zemljevid — ponudnik DNS, spletni gostitelj, ponudnik e-pošte, registrar in kontakt za prijavo/podporo za vsakega. Ta ena stran je najbolj koristna stvar, ki jo imate pred seboj med incidentom.

Opombe za platforme

• Google Workspace / Microsoft 365: ti sta vaša e-poštna ponudnika, ne vaše spletno mesto. Postavljanje CDN/WAF pred spletno mesto se ne dotakne e-pošte in obratno — sta ločeni odločitvi. (Imeti e-pošto pri Googlu/Microsoftu in spletno mesto za Cloudflare je popolnoma dobra, namerno razdeljena nastavitev.)
• Upravljani gradniki strani (Wix, Squarespace, Shopify): ti vključujejo lasten CDN in nivo zaščite WAF kot del platforme, torej ste sme biti že zaščiteni, čeprav naše preverjanje glave ne imenuje ponudnika. Navadno lastnega Cloudflare ne morete dodati pred njim; to je v redu — platforma to ureja.
• WordPress na lastnem gostovanju: idealen kandidat za brezplačni sloj Cloudflare pred njim. Kombinirajte z varnostnim vtičnikom za pravila na ravni aplikacije.

Pogoste napake

• Izvajanje golega izvora “ker je stran majhna.” Majhne strani so zadete z enakimi samodejnimi napadi in poplavami botov kot velike — boti najprej ne preverijo vašega prihodka. Brezplačni nivo CDN/WAF obstaja natanko za majhne strani; njegova neuporaba je puščanje lahke zmage na mizi.
• Uporaba Cloudflare “Flexible” SSL. Prikaže ključavnico, a pusti zvezo med Cloudflare in vašim izvorom nešifrirano. Vedno uporabite Full (strict), da je od konca do konca šifrirano.
• Napačno predpomniti. Agresivno predpomnjenje prijavljenih strani, košaric ali blagajn sme eni stranki pokazati vsebino ali zastarele cene druge. Predpomnite statično vsebino; pustite personalizirane in transakcijske strani brez predpomnjenja.
• Skopičiti vse pri enem ponudniku, ne da bi se zavedali. Priročnost je v redu, če je zavestna odločitev — a številna podjetja odkrijejo, da DNS, splet in e-pošta delijo en račun, šele med motnjo, ki vzame vse tri. Naredite to odločitev, ne odkritje.
• Puščanje strežniške različice na vidnem mestu. Je brezplačen, enolinski korak utrjevanja, ki ga je enostavno pozabiti. Izklopite ga.

Opomba o oceni

Da bom popolnoma jasen: nobeno od teh dveh preverjanij ne vpliva na vašo oceno. So registrirani pri naši metodologiji kot informativni, z nič točkami, in vas nikoli ne kaznujemo za nezaščiteni izvor ali eno-ponudniško nastavitev. Jih poročamo, ker opisujeta pravo izpostavljenost izpadu, napadu in počasnemu okrevanju incidentov — in ker je dodajanje brezplačnega CDN/WAF ena od nadgradenj z najboljšo vrednostjo, ki jo majhno podjetje sme narediti. Če tukaj ne naredite ničesar, je vaša ocena nespremenjena. Če postavite ščit pred vašo stranjo in razdelite vaš DNS stran, ste podjetje naredili bistveno bolj odpornega brezplačno. To je pravi način branja te strani: ne številka za obraniti, ampak nadgradnja odpornosti, vredna izvesti.

Pogosta vprašanja