Defaults.Exposed › การแก้ไข › CDN / WAF & การโฮสติ้ง
วิธีแก้ไข CDN / WAF & การโฮสติ้ง
การอ่านสองอย่างของท่อประปาเบื้องหลังเว็บไซต์ของคุณ: ว่าคุณอยู่หลัง shield ป้องกัน (CDN ที่มี Web Application Firewall เช่น Cloudflare) ที่กรองการโจมตีและรองรับ traffic spikes และแผนที่ของผู้ที่รัน DNS เว็บไซต์ และอีเมลของคุณจริงๆ ทั้งสองเป็นข้อมูลในการให้คะแนนของเรา — พวกมันไม่เปลี่ยนเกรดของคุณ — แต่อธิบายว่าเซิร์ฟเวอร์ต้นทางของคุณเปิดเผยต่อการโจมตีและการหยุดทำงานมากแค่ไหน และผู้ให้บริการของคุณพัวพันกันมากแค่ไหน Shield อยู่ข้างหน้าและชุดผู้ให้บริการที่แบ่งออกอย่างสมเหตุสมผลคือสิ่งที่ธุรกิจที่มีความยืดหยุ่นดูเหมือน
สรุปสำหรับธุรกิจของคุณ: เว็บไซต์ที่ไม่มี shield ข้างหน้ารับทุกการโจมตีและทุก traffic spike โดยตรงบนเซิร์ฟเวอร์ต้นทาง — ดังนั้น bot flood, surge วันเปิดตัว หรือการโจมตีอัตโนมัติเดียวสามารถทำให้คุณออฟไลน์เป็นชั่วโมง และการกู้คืนขึ้นอยู่กับคุณ การวาง CDN/WAF ไว้ข้างหน้า (มีระดับฟรี) กรองการโจมตีอัตโนมัติส่วนใหญ่ ดูดซับ surge และเร่งเว็บไซต์ทั่วโลก — มักเป็นงานหนึ่งบ่ายสำหรับผู้ดูแล IT โดยไม่มีค่าใบอนุญาต แยกจากนั้น ถ้า DNS เว็บไซต์ และอีเมลของคุณทั้งหมดอยู่กับผู้ให้บริการรายเดียว การหยุดทำงานหรือการละเมิดเดียวที่นั่นนำการปรากฏตัวออนไลน์ทั้งหมดของคุณลงพร้อมกัน การรู้แผนที่ผู้ให้บริการของคุณเป็นสิ่งแรกที่คุณต้องการในเหตุการณ์ ไม่มีการตรวจสอบเหล่านี้เปลี่ยนเกรดของคุณ — แต่ทั้งสองอธิบายการเปิดเผยจริงต่อการหยุดทำงาน ยอดขายที่สูญหาย และการกู้คืนที่ช้าและเจ็บปวด
สิ่งนี้อาจทำให้คุณเสียค่าใช้จ่าย
- การระเบิดของ bot traffic หรือ DDoS ขนาดเล็กกระทบเซิร์ฟเวอร์ที่ไม่มีกำแพงของคุณในเช้าของโปรโมชั่นขนาดใหญ่ — เว็บไซต์คลานหรือล่ม ลูกค้าได้รับข้อผิดพลาดที่ checkout และคุณสูญเสียยอดขายทั้งวันในขณะที่โฮสต์ของคุณสู้กลับ CDN/WAF ข้างหน้าจะดูดซับมัน
- DNS เว็บไซต์ และอีเมลของคุณทั้งหมดรันผ่านผู้ให้บริการรายเดียว ผู้ให้บริการนั้นหยุดทำงานและเว็บไซต์ ระบบจองห้อง และอีเมลของคุณทั้งหมดมืดพร้อมกัน — คุณไม่สามารถประมวลผลออร์เดอร์ได้ และคุณไม่สามารถอีเมลลูกค้าเพื่อบอกว่าคุณรับรู้ — เพราะกล่องรับจดหมายก็ล่มด้วย
- การโจมตีอัตโนมัติ probe เว็บไซต์ตลอดคืน — SQL injection และสคริปต์ที่เดา login ทุบต้นทางของคุณโดยตรงเพราะไม่มีชั้น firewall ที่กรองพวกมัน — และคุณพบเมื่อบางอย่างเสียหายเท่านั้น WAF บล็อก noise อัตโนมัติส่วนใหญ่นั้นก่อนที่มันจะเข้าถึงโค้ดของคุณ
- เหตุการณ์เกิดขึ้นและไม่มีใครสามารถตอบคำถามพื้นฐาน 'เราแม้แต่จะโทรหาใคร?' — เว็บไซต์อยู่บนโฮสต์เดียวกับอีเมลไหม? ใครรัน DNS? ชั่วโมงหลั่งไหลไปขณะที่แค่แผนที่ท่อประปาในขณะที่เว็บไซต์ยังล่ม
- ทีม IT ของผู้มีโอกาสเป็นลูกค้าสแกนคุณก่อนลงนาม และเห็นเซิร์ฟเวอร์ต้นทางเปล่าๆ โดยไม่มี CDN/WAF — และ header server-version ที่รั่วโฆษณาว่าซอฟต์แวร์ (และเวอร์ชัน) ที่คุณรันคือะไรได้เป็นสัญญาณ 'พวกเขาไม่ได้ hardened พื้นฐาน' ในช่วงเวลาที่แย่ที่สุด
เหตุใดจึงสำคัญ การตรวจสอบทั้งสองที่นี่เป็นข้อมูลในระเบียบวิธีของเรา — ถูกลงทะเบียนด้วยศูนย์คะแนนและไม่เคยเปลี่ยนเกรดของคุณ — เพราะมันอธิบายโครงสร้างพื้นฐานของคุณแทนที่จะทดสอบการควบคุมความปลอดภัยแบบผ่าน/ล้มเหลว เราแสดงพวกมันเพราะมันแผนที่การเปิดเผยธุรกิจจริง เว็บไซต์ที่ไม่มี CDN/WAF รับทุกการโจมตีและ traffic spike บนต้นทางโดยตรง โดยไม่มีการกรองและไม่มีการดูดซับ surge การเพิ่มหนึ่ง (ระดับฟรีของ Cloudflare เป็นเส้นทางทั่วไป) เป็นหนึ่งในการอัปเกรดความยืดหยุ่นที่มีประสิทธิภาพสูงสุดและมีต้นทุนต่ำที่สุดที่ธุรกิจขนาดเล็กสามารถทำได้ และแผนที่ผู้ให้บริการที่ชัดเจน — การรู้ว่า DNS เว็บ และอีเมลของคุณถูกแบ่งหรือซ้อนบนผู้ให้บริการรายเดียว — เป็นสิ่งแรกที่คุณต้องการเมื่อบางอย่างผิดพลาดและความแตกต่างระหว่างเหตุการณ์ที่ควบคุมได้และการดับทั้งหมด
มันคืออะไร เป็นคำพูดง่ายๆ
ทุกเว็บไซต์รันบนเซิร์ฟเวอร์ที่ไหนสักแห่ง คำถามที่หน้านี้ตอบคือ: อะไรอยู่ระหว่างอินเทอร์เน็ตเปิดและเซิร์ฟเวอร์นั้น — และใครจริงๆ รันส่วนต่างๆ ของการปรากฏตัวออนไลน์ของคุณ?
มีสองส่วน:
-
CDN / WAF — shield ข้างหน้า CDN (Content Delivery Network) เป็นเครือข่ายทั่วโลกที่อยู่หน้าเว็บไซต์ของคุณ ให้บริการเนื้อหาของคุณอย่างรวดเร็วให้ผู้เข้าชมทุกที่ และดูดซับ traffic surges WAF (Web Application Firewall) เป็นตัวกรองที่ตรวจสอบ request ขาเข้าและบล็อกที่อันตรายก่อนที่มันจะเข้าถึงเซิร์ฟเวอร์ของคุณ เราดู response ของเว็บไซต์ของคุณและส่งรายงานว่าเราสามารถเห็น shield ข้างหน้าหรือไม่ — และเราสังเกตว่าเว็บเซิร์ฟเวอร์ที่คุณรันด้วย
-
แผนที่โฮสติ้ง / ผู้ให้บริการ — ใครรัน DNS เว็บไซต์ และอีเมลของคุณ จากนั้นเราสามารถบอกได้ว่า DNS เว็บไซต์ และอีเมลของคุณถูกแบ่งข้ามผู้ให้บริการ (ยืดหยุ่น) หรือซ้อนบนหนึ่ง (สะดวก แต่จุดล้มเหลวเดียว)
ข้อที่สำคัญที่สุดต้องรู้ตั้งแต่ต้น: ในการให้คะแนนของเรา ทั้งสองนี้เป็นข้อมูล พวกมันไม่ส่งผลต่อเกรดของคุณ เราแสดงพวกมันเพราะอธิบายว่าธุรกิจของคุณเปิดเผยต่อการหยุดทำงานและการโจมตีมากแค่ไหน — ซึ่งเป็นคำถามที่ต่างกัน และปฏิบัติมากมาย จากเกรด
สิ่งนี้อาจทำให้คุณสูญเสียอะไร
-
ถูกทำให้ออฟไลน์ในวันที่สำคัญที่สุด เว็บไซต์ของคุณอยู่บนเซิร์ฟเวอร์ต้นทางโดยไม่มีอะไรข้างหน้า ในเช้าของการเปิดตัวหรือโปรโมชั่น traffic spike — หรือ bot flood ปานกลางโจมตี — และเซิร์ฟเวอร์ไม่สามารถรับมือ หน้า time out checkout มีข้อผิดพลาด และคุณสูญเสียรายได้ทั้งวัน CDN ดูดซับ surge และ WAF กรอง traffic ขยะ ร่วมกันพวกมันเป็นความแตกต่างระหว่าง “วันที่วุ่นวาย” และ “ล่มทั้งเช้า”
-
ทุกอย่างมืดพร้อมกัน DNS เว็บไซต์ และอีเมลของคุณทั้งหมดรันผ่านผู้ให้บริการรายเดียว ผู้ให้บริการนั้นหยุดทำงาน และเว็บไซต์ ระบบจองห้อง และอีเมลของคุณหายพร้อมกัน คุณไม่สามารถประมวลผลออร์เดอร์ และคุณไม่สามารถอีเมลลูกค้าเพื่อบอกว่าคุณรับรู้ — เพราะกล่องรับจดหมายล่มด้วย การแบ่งผู้ให้บริการหมายความว่าความล้มเหลวหนึ่งถูกควบคุม ไม่ใช่รวม
-
โค้ดของคุณรับทุกการโจมตีโดยตรง โดยไม่มี WAF ทุก probe อัตโนมัติ — ความพยายาม injection การเดา login สแกนเนอร์ที่รู้จัก — กระทบโค้ดแอปพลิเคชันของคุณโดยไม่มีการกรอง WAF บล็อก noise อัตโนมัติส่วนใหญ่นั้นก่อนที่มันจะเข้าถึงคุณ
-
เหตุการณ์ช้าและตื่นตระหนกเพราะไม่มีใครมีแผนที่ บางอย่างเสียหายและชั่วโมงแรกเสียไปกับ “เดี๋ยว ใครรัน DNS ของเรา? อีเมลอยู่บนโฮสต์เดียวกันไหม? เราโทรหาใคร?” การรู้แผนที่ผู้ให้บริการล่วงหน้าเปลี่ยนความโกลาหลให้เป็นการโทรศัพท์
มันคืออะไรจริงๆ
CDN / WAF — ชั้นป้องกัน
เมื่อผู้เข้าชม (หรือผู้โจมตี) ร้องขอเว็บไซต์ของคุณ request สามารถไปตรงไปยังเซิร์ฟเวอร์ต้นทางของคุณ หรือไปผ่าน CDN/WAF ก่อน ถ้ามี shield ข้างหน้า shield นั้นสามารถ:
- กรอง request ที่อันตราย (ส่วน WAF): บล็อกความพยายาม injection การโจมตีของ bot และรูปแบบการใช้ประโยชน์ที่รู้จักก่อนที่มันจะเข้าถึงโค้ดของคุณ
- ดูดซับ traffic (ส่วน CDN): ให้บริการเนื้อหา cached จากเซิร์ฟเวอร์ใกล้ผู้เข้าชมแต่ละรายและดูดซับ surge ดังนั้น spike — ถูกต้องหรือเป็นศัตรู — ไม่ทำลายต้นทางของคุณ
- เร่งเว็บไซต์: เนื้อหาที่ส่งจากเซิร์ฟเวอร์ edge ใกล้ๆ โหลดเร็วกว่าสำหรับผู้เข้าชมทั่วโลก
สิ่งที่ “ดี” ดูเหมือน: CDN/WAF ถูกตรวจจับข้างหน้าต้นทางของคุณ และ Server header ที่ไม่โฆษณาหมายเลขเวอร์ชันเฉพาะ
แผนที่โฮสติ้ง / ผู้ให้บริการ
โดเมนของคุณชี้ไปยังบริการที่ต่างกันหลายอย่างอย่างเงียบๆ:
- DNS — ไดเรกทอรีที่แปลง
yourbusiness.comเป็นที่อยู่เซิร์ฟเวอร์จริง - อีเมล — ที่จัดการเมลของคุณ เราอ่านระเบียน MX ของคุณ
สิ่งที่ “ดี” ดูเหมือน: อย่างน้อย DNS ถือโดยผู้ให้บริการเฉพาะที่เชื่อถือได้แทนที่จะรวมในบัญชีเดียวกับทุกอย่างอื่น — ดังนั้นไดเรกทอรีโดเมนของคุณไม่ร่วมชะตากับเว็บไซต์และกล่องรับจดหมายของคุณ
วิธีแก้ไข (ฟรี ~1 บ่าย)
ส่งให้ผู้ดูแล IT หรือเว็บดีเวลลอปเปอร์ของคุณ — การแก้ไขฟรี การวาง CDN/WAF หน้าเว็บไซต์ของคุณไม่มีค่าใช้จ่ายบน free tier ทั่วไป และการปราบปรามเวอร์ชันเซิร์ฟเวอร์เป็นการตั้งค่าหนึ่งบรรทัด ไม่มีอะไรต้องซื้อ
1. วาง CDN/WAF หน้าเว็บไซต์ของคุณ
เส้นทางทั่วไปและฟรีที่สุดคือ Cloudflare:
- สร้างบัญชี Cloudflare ฟรีและเพิ่มโดเมนของคุณ
- Cloudflare อ่านระเบียน DNS ที่มีอยู่ของคุณ ตรวจสอบว่า import ถูกต้อง
- เปลี่ยน nameserver ของโดเมนของคุณ (ที่ registrar ของคุณ) ไปยังสองตัวที่ Cloudflare ให้คุณ นี่คือ switch ที่กำหนดเส้นทาง traffic ผ่าน Cloudflare
- ตั้งโหมด SSL/TLS เป็น Full (strict) เพื่อให้การเข้ารหัสยังคงเป็น end-to-end ระหว่างผู้เข้าชม → Cloudflare → ต้นทางของคุณ (หลีกเลี่ยง “Flexible” ที่ทิ้งขาสุดท้ายโดยไม่เข้ารหัส)
- CDN และ WAF พื้นฐานตอนนี้ทำงาน คุณสามารถปรับแต่งกฎ WAF ภายหลัง แต่ค่าเริ่มต้นกรองได้มากแล้ว
2. หยุดการโฆษณาเวอร์ชันเซิร์ฟเวอร์ของคุณ
Nginx:
server_tokens off;
Apache (ใน main config):
ServerTokens Prod
ServerSignature Off
ลบ X-Powered-By header ที่แบ่งปันมากเกินไป (เช่น จาก PHP หรือ app framework) ที่ระดับเซิร์ฟเวอร์หรือ CDN — บน Cloudflare คุณสามารถลบมันด้วย response-header transform rule
3. ตรวจสอบแผนที่ผู้ให้บริการของคุณ (~10 นาที)
ดูที่ DNS เว็บไซต์ และอีเมลของคุณอยู่ที่ไหนจริงๆ:
- ถ้าทั้งสามอยู่ในบัญชีผู้ให้บริการรายเดียว พิจารณาย้ายDNS ไปยังผู้ให้บริการเฉพาะ (DNS ของ Cloudflare ฟรีและรวดเร็ว) เพื่อให้ DNS รอดจากการหยุดทำงานของโฮสติ้ง
- เขียนแผนที่ลง — ผู้ให้บริการ DNS โฮสต์เว็บ ผู้ให้บริการอีเมล registrar และ login/ผู้ติดต่อสนับสนุนสำหรับแต่ละรายการ หน้าเดียวนี้เป็นสิ่งที่มีประโยชน์ที่สุดที่คุณสามารถมีในเหตุการณ์
ข้อผิดพลาดทั่วไป
- รันต้นทางเปล่าๆ “เพราะเว็บไซต์มีขนาดเล็ก” เว็บไซต์ขนาดเล็กถูกโจมตีโดยการโจมตีอัตโนมัติและ bot flood เดียวกับเว็บไซต์ขนาดใหญ่ — bot ไม่ตรวจสอบรายได้ของคุณก่อน free CDN/WAF tier มีอยู่สำหรับเว็บไซต์ขนาดเล็กโดยเฉพาะ
- ใช้ Cloudflare “Flexible” SSL มันแสดง padlock แต่ทิ้งการเชื่อมต่อระหว่าง Cloudflare และต้นทางของคุณโดยไม่เข้ารหัส ใช้ Full (strict) เสมอ
- Cache สิ่งผิด การ cache หน้าที่เข้าสู่ระบบ ตะกร้า หรือ checkout อย่างเชิงรุกสามารถแสดงเนื้อหาของลูกค้าหนึ่งให้อีกรายหรือราคาที่ล้าสมัย Cache เนื้อหาคงที่ ทิ้งหน้าส่วนตัวและธุรกรรมโดยไม่ cache
- ซ้อนทุกอย่างบนผู้ให้บริการรายเดียวโดยไม่รู้ตัว ความสะดวกสบายดีถ้าเป็นการตัดสินใจที่มีสติ — แต่ธุรกิจหลายรายค้นพบว่า DNS เว็บ และอีเมลแบ่งบัญชีเดียวในระหว่างการหยุดทำงานที่ทำให้ทั้งสามล่ม ทำให้มันเป็นการตัดสินใจ ไม่ใช่การค้นพบ
- ทิ้งเวอร์ชันเซิร์ฟเวอร์บนจอแสดงผล มันเป็นขั้นตอนการ hardening ฟรีหนึ่งบรรทัดที่ง่ายต่อการลืม ปิดมัน
หมายเหตุเกี่ยวกับเกรด
เพื่อให้ชัดเจนอย่างสมบูรณ์: ไม่มีการตรวจสอบเหล่านี้ส่งผลต่อเกรดของคุณ พวกมันถูกลงทะเบียนในระเบียบวิธีของเราว่าเป็นข้อมูล ด้วยศูนย์คะแนน และเราไม่เคยลงโทษคุณสำหรับต้นทางที่ไม่มีกำแพงหรือการตั้งค่าผู้ให้บริการรายเดียว เราส่งรายงานพวกมันเพราะอธิบายการเปิดเผยจริงต่อการหยุดทำงาน การโจมตี และการกู้คืนเหตุการณ์ที่ช้า ถ้าคุณไม่ทำอะไรที่นี่ เกรดของคุณไม่เปลี่ยน ถ้าคุณวาง shield ข้างหน้าเว็บไซต์ของคุณและแบ่ง DNS ออก คุณทำให้ธุรกิจมีความยืดหยุ่นอย่างมีนัยสำคัญมากขึ้นฟรี นั่นคือวิธีที่ถูกต้องในการอ่านหน้านี้
คำถามที่พบบ่อย
สิ่งเหล่านี้ไม่ส่งผลต่อเกรดของฉัน — ดังนั้นทำไมฉันถึงควรสนใจ?
เพราะเกรดวัดการควบคุมความปลอดภัยเฉพาะ (การเข้ารหัส การป้องกัน email anti-spoofing, security header) ในขณะที่การตรวจสอบทั้งสองนี้อธิบายความยืดหยุ่นของคุณ — คุณเปิดเผยต่อการหยุดทำงานและการโจมตีมากแค่ไหน เซิร์ฟเวอร์เปล่าที่ไม่มี shield ยังคงทำคะแนนได้ดีในการตรวจสอบที่ให้คะแนนและยังคงถูกทำให้ออฟไลน์โดย bot flood ในวันเปิดตัว เกรดและความยืดหยุ่นเป็นคำถามที่ต่างกัน หน้านี้เกี่ยวกับคำถามที่สอง การเพิ่ม CDN/WAF เป็นหนึ่งในการอัปเกรดที่มีคุณค่าที่สุดที่คุณสามารถทำได้ ไม่ว่าเกรดจะเป็นอย่างไร
ฉันไม่ใช่คนเทคนิค — ฉันต้องทำอะไรจริงๆ?
การตัดสินใจหนึ่งและการส่งมอบหนึ่ง การตัดสินใจ: คุณต้องการ shield ป้องกัน (CDN/WAF) หน้าเว็บไซต์ของคุณไหม? สำหรับธุรกิจเกือบทุกรายคำตอบคือใช่ และเส้นทางทั่วไป — ระดับฟรีของ Cloudflare — ไม่มีค่าใช้จ่ายอะไร การส่งมอบ: ให้ส่วน 'วิธีแก้ไข' ให้ผู้ที่จัดการเว็บไซต์หรือโดเมนของคุณ การตั้งค่า CDN/WAF ฟรีมักเป็นงานหนึ่งบ่ายและไม่มีค่าใบอนุญาต
อะไรคือความแตกต่างระหว่าง CDN และ WAF — ฉันต้องการทั้งสองไหม?
CDN (Content Delivery Network) เป็นเครือข่ายทั่วโลกที่อยู่หน้าเว็บไซต์ของคุณ cache เนื้อหาของคุณใกล้ผู้เข้าชมเพื่อให้หน้าโหลดเร็ว และดูดซับ traffic spikes เพื่อให้ surge ไม่ทำลายต้นทางของคุณ WAF (Web Application Firewall) เป็นชั้นกรองที่ตรวจสอบ request ขาเข้าและบล็อกที่อันตราย — ความพยายาม injection การโจมตีของ bot รูปแบบการใช้ประโยชน์ที่รู้จัก — ก่อนที่มันจะเข้าถึงเซิร์ฟเวอร์ของคุณ ข่าวดีคือบริการยอดนิยมรวมทั้งสอง: เปิด Cloudflare (หรือที่คล้ายกัน) และคุณได้รับ CDN และ WAF พื้นฐานรวมกัน ดังนั้นในทางปฏิบัติมันเป็นการตั้งค่าเดียว ประโยชน์สอง
มันเลวร้ายไหมที่บริการทั้งหมดของฉันอยู่กับผู้ให้บริการรายเดียว?
มันเป็นความเสี่ยงจากการรวมศูนย์ ไม่ใช่บาป ความสะดวกสบายมีจริง — บิลเดียว login เดียว สายสนับสนุนเดียว แต่การแลกเปลี่ยนคือการหยุดทำงานหรือการละเมิดบัญชีเดียวสามารถทำให้ DNS เว็บไซต์ และอีเมลล่มพร้อมกัน และทิ้งให้คุณไม่สามารถสื่อสารเกี่ยวกับมัน ธุรกิจขนาดเล็กหลายรายยอมรับสิ่งนี้อย่างมีสติ จุดของการตรวจสอบเพียงเพื่อทำให้ dependency มองเห็นได้เพื่อให้มันเป็นการตัดสินใจ ไม่ใช่ความประหลาดใจ
เราตรวจจับซอฟต์แวร์เซิร์ฟเวอร์และเวอร์ชันของคุณ — ทำไมสิ่งนั้นถึงสำคัญ?
เมื่อเซิร์ฟเวอร์ของคุณโฆษณาซอฟต์แวร์ที่มันรันและเวอร์ชันใดอย่างแน่ชัด (ใน header 'Server' หรือ 'X-Powered-By') มันมอบทางลัดให้ผู้โจมตี: พวกมันสามารถค้นหาช่องโหว่ที่รู้จักสำหรับเวอร์ชันที่แน่นอนนั้นและมุ่งตรงไปมัน มันไม่ทำให้คุณไม่ปลอดภัยด้วยตัวเอง แต่มันเป็นการเปิดเผยข้อมูลที่ไม่จำเป็น — เหมือนทิ้งยี่ห้อและรุ่นของล็อคไว้บนประตูหน้า การปราบปรามเวอร์ชัน (การตั้งค่าเซิร์ฟเวอร์หนึ่งบรรทัด ฟรี) เป็นขั้นตอนการ hardening ที่เล็กน้อยและสมเหตุสมผล