Defaults.Exposed › Rešenja › CDN / WAF i hosting

Kako popraviti CDN / WAF i hosting

Dva čitanja infrastrukture iza vašeg sajta: da li sjedite iza zaštitnog štita (CDN s Web Application Firewallom, poput Cloudflare-a) koji filtrira napade i apsorbira saobraćajne špice, i mapa ko zapravo vodi vaš DNS, sajt i imejl. Oba su informativna u našem bodovanju — ne pomijeraju vašu ocjenu — ali opisuju koliko je vaš origin server izložen napadu i outage-u i koliko su vaši provajderi zapleteni. Štit ispred i razumno podijeljen skup provajdera je izgled otpornih preduzeća.

Suština za vaše poslovanje: Sajt bez štita ispred njega prima svaki napad i svaku saobraćajnu špicu direktno na origin server — pa bot poplava, špica lanca-dana ili jedan automatizovani napad može vas isključiti sa mreže na satima, i oporavak je na vama. Stavljanje CDN/WAF-a ispred (besplatan tier dostupan) filtrira ogromnu većinu automatizovanih napada, upija špice i ubrzava sajt globalno — tipično popodnevni posao za vašu IT osobu, bez licence troška. Odvojeno, ako vaš DNS, sajt i imejl svi žive kod jednog provajdera, jedan outage ili proboj tamo srušava cijelo vaše online prisustvo odjednom; znanje vašeg provajder mape je prva stvar koju trebate u incidentu. Ni jedna provjera ne mijenja vašu ocjenu — ali obe opisuju pravu izloženost zastoju, izgubljenim prodajama i sporom, bolnom oporavku.

Šta vam ovo može koštati

• Bujica bot saobraćaja ili mali DDoS pogađa vaš nezaštićeni server jutro velikog promovisa — sajt se usporava ili ruši, kupci dobivaju greške na checkoutu i vi gubite prodaju tog dana dok vaš host gasi vatru. CDN/WAF ispred bi ga apsorbovao.
• Vaš DNS, sajt i imejl svi idu kroz jednog provajdera; taj provajder ima outage i vaš sajt, vaš booking sistem I vaš imejl nestaju istovremeno — ne možete ni slati 'svjesni smo problema' jer je sandučić pao.
• Automatizirani napad sondira vaš sajt cijelu noć — SQL injection i login-guessing skripte koje udaraju vaš origin direktno jer nema firewall sloja za filtriranje — i saznate jedino kad se nešto pokvari. WAF blokira veliku većinu tog šuma pre nego ikad dosegne vaš kod.
• Incident pogodio i niko ne može odgovoriti na osnovno pitanje 'koga uopšte pozivamo?' — je li sajt na istom hostu kao imejl? Ko vodi DNS? Sati teku samo mapiranjem vode dok sajt stoji.
• IT tim potencijalnog kupca vas skenira pre potpisivanja i vidi goli origin server bez CDN/WAF-a i propuštan server-verzija header koji reklamira tačno koji softver (i verziju) pokrenite — mali 'ovi nisu osnove ojačali' signal u najgorem mogućem trenutku.

Zašto je to važno. Obje provjere ovdje su informativne u našoj metodologiji — registrovane sa nula bodova i nikad ne mijenjaju vašu ocjenu — jer opisuju vašu infrastrukturu umjesto testiranja prolaz/pad bezbednosne kontrole. Površujemo ih jer mapiraju pravu poslovnu izloženost. Sajt bez CDN/WAF-a prima svaki napad i saobraćajnu špicu direktno na origin, bez filtriranja i bez apsorpcije špica; dodavanje jednog (besplatan Cloudflare tier je uobičajeni put) je jedna od visoko-leverovanih, nisko-trošknih otpornosti nadogradnji koje malo preduzeće može napraviti. I jasna provajder mapa — znanje jesu li vaš DNS, web i imejl podijeljeni ili stacked na jednom provajderu — je prva stvar koju trebate kad nešto pođe naopako i razlika između sadržanog incidenta i totalnog mraka.

Šta je ovo, jednostavnim rečima

Svaki sajt radi na serveru negdje. Pitanje na koje ova stranica odgovara je: šta stoji između otvorenog interneta i tog servera — i ko zapravo vodi dijelove vašeg online prisustva?

Postoje dva dijela:

1. CDN / WAF — štit ispred. CDN (Content Delivery Network) je globalna mreža koja sjedi ispred vašeg sajta, servira vaš sadržaj brzo posjetiocima bilo gdje i upija saobraćajne špice. WAF (Web Application Firewall) je filter koji inspektira dolazne zahtjeve i blokira zlonamjerne pre nego dosegnu vaš server. Popularni servisi (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri, i drugi) bundluju ove zajedno. Gledamo odgovore vašeg sajta i izvještavamo da li možemo vidjeti štit ispred — i bilježimo koji web server pokrećete, takođe.

2. Hosting / provajder mapa — ko vodi vašu vodovodnu mrežu. Čitamo javne zapise koji govore ko obrađuje vaš DNS (imenik koji pretvara vaš domen u adresu) i ko obrađuje vaš imejl. Odatle možemo reći jesu li vaš DNS, sajt i imejl podijeljeni kroz provajdere (otporno) ili stacked na jednom (zgodno, ali single point of failure).

Najvažnija stvar za znati unaprijed: u našem bodovanju, oba su informativna. Ne utiču na vašu ocjenu. Površujemo ih jer opisuju koliko je vaše preduzeće izloženo zastoju i napadu — što je različito, i veoma praktično, pitanje od ocjene.

Šta vam ovo može koštati

Ovi nisu apstraktni rizici — to su svakodnevni načini na koje nezaštićen, zapetljan postav pretvara mali problem u loš dan.

• Isključeni u najvažnijem trenutku. Vaš sajt sjedi na origin serveru bez ičega ispred njega. Jutro lansiranja ili promocije, saobraćaj špicuje — ili nas bot poplava pogodi — i server ne može da izdrži. Stranice timaju out, checkout grešuje i vi gubite prihod dana dok vaš host gasit vatru. CDN apsorbira špice i WAF filtrira smeće; zajedno su razlika između “prometnog dana” i “pali smo cijelo jutro.”

• Sve zatamni odjednom. Vaš DNS, sajt i imejl svi idu kroz jednog provajdera. Taj provajder ima outage (dešava se svima na kraju) i vaš sajt, vaš booking sistem i vaš imejl nestaju istovremeno. Ne možete procesirati narudžbe i ne možete čak ni imejlovati kupce da ste svjesni — jer je sandučić pao. Razdvajanje provajdera znači jedan kvar je sadržan, ne totalan.

• Vaš kod prima svaki napad direktno. Bez WAF-a, svaka automatizovana proba — injection pokušaji, login-guessing, poznate-exploit skeneri — pogađa vaš aplikacioni kod bez filtriranja. Kladite se da je vaš softver savršen i potpuno-zakrpan, zauvijek. WAF blokira ogromnu većinu tog automatizovanog šuma pre nego dođe do vas, pretvarajući “konstantni pozadinski napad” u “uglavnom filtrirano.”

• Spori, panični incident jer niko nema mapu. Nešto se pokvari i prvi sat se troši na “čekaj, ko vodi naš DNS? Je li imejl na istom hostu? Koga zovemo?” Kad je vaša provajder mapa nejasna, svaki incident počinje od nule. Znanje mape unaprijed pretvara gužvu u telefonski poziv.

• Loš prvi dojam pažljivom kupcu. IT tim potencijalnog kupca vas skenira pre potpisivanja i vidi goli origin bez CDN/WAF-a — i server header koji otvoreno reklamira vaš tačan softver i verziju. Mali signal, ali vas stavlja u “nisu osnove ojačali” kolonu tačno u pogrešnom trenutku.

Šta je to zapravo

CDN / WAF — zaštitni sloj

Kad posjetilac (ili napadač) zatraži vaš sajt, zahtjev može ići direktno na vaš origin server ili može ići prvo kroz CDN/WAF. Ako ima štit ispred, taj štit može:

• Filtrirati zlonamjerne zahtjeve (WAF dio): blokirati injection pokušaje, bot napade i poznate exploit uzorke pre nego ikad dosegnu vaš kod.
• Apsorbirati saobraćaj (CDN dio): servirati keširan sadržaj s servera blizu svakog posjetioca i upijati špice, tako da špica — legitimna ili neprijateljska — ne smrvi vaš origin.
• Ubrzati sajt: sadržaj isporučen s obližnjeg edge servera se brže učitava za posjetioce globalno.

Otkrivamo štit gledajući otiske prsta koje ti servisi ostavljaju u response headerima vašeg sajta — na primjer cf-ray header (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai) ili x-sucuri-id (Sucuri). Čitamo i Server header za identifikaciju vašeg osnovnog web servera (nginx, Apache, IIS, LiteSpeed, Caddy i sl.) i flagujemo sve X-Powered-By headere koji previše dijele.

Kako izgleda “dobro”: CDN/WAF otkriven ispred vašeg origina i Server header koji ne reklamira specifičan broj verzije.

Hosting / provajder mapa — vaše infrastrukturne zavisnosti

Vaš domen tiho pokazuje na nekoliko različitih usluga:

• DNS — imenik koji pretvara vasposao.com u pravu server adresu. Čitamo vaše nameserver (NS) zapise i prepoznajemo uobičajene provajdere (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode i regionalne registrare između ostalih).
• Imejl — gdje se obrađuje vaša pošta. Čitamo vaše MX zapise i prepoznajemo uobičajene provajdere (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho i druge).

Odatle možemo vidjeti jesu li te odgovornosti podijeljene kroz provajdere (kvar u jednom ne ruši druge) ili stacked na jednom provajderu (zgodno, ali jedan outage ili proboj uzima sve).

Kako izgleda “dobro”: minimum, DNS kod namjenskog, pouzdanog provajdera umjesto bundlovanog u isti nalog kao sve ostalo — da imenik vašeg domena ne dijeli sudbinu s vašim sajtom i inboxom.

Kako popraviti (besplatno, ~jedno popodne)

Prosledite ovo vašoj IT osobi ili web developeru — popravka je besplatna. Stavljanje CDN/WAF-a ispred vašeg sajta ništa ne košta na uobičajenim besplatnim tierovima, i potiskivanje vaše server verzije je jednolinijsko podešavanje. Nema licence za kupiti. (Plaćene opcije ovdje su jedino praćenje, portfolio tracking i revizije — nikad sama popravka.) Jedina odluka vlasnika je: da, stavite štit ispred sajta.

Jer su obje provjere informativne, ništa od ovoga nije ocijenjeno — ali CDN/WAF je jedna od visoko-vrijednih otpornosti nadogradnji koje malo preduzeće može napraviti, pa vrijedi uraditi.

1. Stavite CDN/WAF ispred vašeg sajta

Najuobičajeniji, besplatan put je Cloudflare:

1. Kreirajte besplatan Cloudflare nalog i dodajte vaš domen.
2. Cloudflare čita vaše postojeće DNS zapise; provjerite da su ispravno uvezeni.
3. Promijenite nameservere vašeg domena (kod vašeg registrara) na ona dva koje vam Cloudflare daje. Ovo je prekidač koji usmjerava saobraćaj kroz Cloudflare.
4. Postavite SSL/TLS mod na Full (strict) da enkripcija ostane end-to-end između posjetioca → Cloudflare → vašeg origina. (Izbjegavajte “Flexible,” koji ostavlja zadnju nit nešifrovanu.)
5. CDN i baseline WAF su sada aktivni. Možete podešavati WAF pravila kasnije, ali defaultovi već filtriraju puno.

Drugi putevi, zavisno od vašeg stacka:

• AWS CloudFront — kreirajte distribuciju koja pokazuje na vaš origin; parujte s AWS WAF-om za filtriranje. Najbolje ako ste već na AWS-u.
• Sucuri WAF — DNS-bazirano, ne zahtijeva promjene na vašem serveru; dobro ako ne možete dirati origin.
• Fastly / Akamai — enterprise-grade CDN-ovi/WAF-ovi, tipično za veće ili visokog-saobraćaja sajtove.

Nakon prelaska, testirajte sajt, potvrdite da HTTPS radi svugdje i gledajte ga dan. Ne keširajte agresivno stranice koje moraju ostati lične ili žive (ulogovane oblasti, košarice, checkoutovi).

2. Prestanite reklamirati vašu server verziju

Bez obzira dodajete li CDN, potisnite verziju koju vaš server objavjuje — to su besplatne informacije koje predajete napadačima.

Nginx:

server_tokens off;

Apache (u glavnom configu):

ServerTokens Prod
ServerSignature Off

Uklonite previše-dijeleći X-Powered-By header (npr. od PHP-a ili aplikacijskog frameworka) na nivou servera ili CDN-a — na Cloudflare-u ga možete stripovati s response-header transform pravilom.

3. Provjerite zdravim razumom vašu provajder mapu (opcionalno, ~10 minuta)

Pogledajte gdje vaš DNS, sajt i imejl zapravo žive:

• Ako sva tri sjede u jednom provajder nalogu, razmotrite barem premještanje DNS-a na namjenskog provajdera (Cloudflare DNS je besplatan i brz). Taj jedan split znači imenik vašeg domena preživljava hosting outage.
• Zapišite mapu — DNS provajder, web host, imejl provajder, registrar i login/support kontakt za svaki. Ova jedna stranica je najkorisnija stvar koju možete imati ispred sebe tokom incidenta.

Platform napomene

• Google Workspace / Microsoft 365: to su vaši imejl provajderi, ne vaš sajt. Stavljanje CDN/WAF-a ispred sajta ne dotiče imejl i vice versa — odvojene su odluke. (Imanje imejla na Google-u/Microsoft-u i sajta iza Cloudflare-a je savršeno dobar, namjerno-podijeljen postav.)
• Managed graditelji sajtova (Wix, Squarespace, Shopify): ovi uključuju vlastiti CDN i nivo WAF zaštite kao dio platforme, pa ste možda već zaštićeni čak i ako naša header provjera ne imenuje provajdera. Obično ne možete dodati vlastiti Cloudflare ispred; to je u redu — platforma se time bavi.
• WordPress na vlastitom hostingu: idealan kandidat za besplatan Cloudflare sloj ispred. Kombinirajte ga s bezbednosnim plugin firewallov za application-level pravila.

Česte greške

• Pokretanje golog origina “jer je sajt mali.” Mali sajtovi bivaju pogođeni istim automatizovanim napadima i bot poplavama kao veliki — botovi ne provjeravaju vaš prihod prvo. Besplatan CDN/WAF tier postoji tačno za male sajtove; ne koristiti ga je ostavljanje lakše pobjede na stolu.
• Korišćenje Cloudflare “Flexible” SSL-a. Prikazuje katanac ali ostavlja vezu između Cloudflare-a i vašeg origina nešifrovanu. Uvijek koristite Full (strict) da bude šifrovano end-to-end.
• Keširanje pogrešnih stvari. Agresivno keširanje ulogiranih stranica, košarica ili checkoutova može pokazati jednom kupcu sadržaj drugog ili zastarjele cijene. Keširajte statični sadržaj; ostavljajte personalizovane i transakcione stranice nekeširanim.
• Stacking svega na jednom provajderu bez realiziranja. Pogodnost je u redu ako je svjesna odluka — ali mnoga preduzeća saznaju da DNS, web i imejl dijele jedan nalog tokom outage-a koji obaruje sva tri. Neka to bude odluka, ne otkriće.
• Ostavljanje server verzije na prikazu. Besplatan je jednolinijski korak ojačavanja koji je lako zaboraviti. Isključite ga.

Napomena o ocjeni

Da budemo potpuno jasni: ni jedna od ove dvije provjere ne utiče na vašu ocjenu. Registrovane su u našoj metodologiji kao informativne, sa nula bodova i nikad vas ne kažnjavamo za nezaštićeni origin ili postav jednog provajdera. Izvještavamo o njima jer opisuju pravu izloženost zastoju, napadu i sporom oporavku incidenta — i jer je dodavanje besplatnog CDN/WAF-a jedna od best-value nadogradnji koje malo preduzeće može napraviti. Ako ne radite ništa ovdje, vaša ocjene je nepromijenjena. Ako stavite štit ispred vašeg sajta i razdvojite vaš DNS, učinili ste preduzeće smisleno otpornijim besplatno. To je pravi način za čitanje ove stranice: ne broj za obranu, već nadogradnja otpornosti vrijedna poduzimanja.

Često postavljana pitanja