Defaults.Exposed › Cách khắc phục › CDN / WAF & hosting

Cách khắc phục CDN / WAF & hosting

Hai đọc về cơ sở hạ tầng đằng sau website của bạn: liệu bạn có đứng sau tấm chắn bảo vệ (CDN với Web Application Firewall, như Cloudflare) lọc các cuộc tấn công và hấp thu các đợt lưu lượng tăng đột biến, và bản đồ về ai thực sự chạy DNS, website và email của bạn. Cả hai đều là thông tin trong tính điểm của chúng tôi — chúng không di chuyển điểm của bạn — nhưng chúng mô tả mức độ phơi lộ máy chủ gốc của bạn với tấn công và sự cố, và nhà cung cấp của bạn rối như thế nào. Tấm chắn ở phía trước và tập nhà cung cấp được chia hợp lý là những gì doanh nghiệp kiên cường trông như thế nào.

Điểm mấu chốt với doanh nghiệp bạn: Website không có tấm chắn phía trước chịu mọi cuộc tấn công và mọi đợt lưu lượng tăng đột biến trực tiếp trên máy chủ gốc — vì vậy lũ bot, đợt tăng ngày ra mắt, hoặc một cuộc tấn công tự động đơn lẻ có thể đưa bạn ngoại tuyến trong nhiều giờ, và phục hồi là việc của bạn. Đặt CDN/WAF phía trước (tầng miễn phí có sẵn) lọc phần lớn các cuộc tấn công tự động, hấp thu các đợt tăng, và tăng tốc trang trên toàn thế giới — thường là công việc buổi chiều cho người IT của bạn, không có chi phí giấy phép. Riêng biệt, nếu DNS, website và email của bạn đều sống với một nhà cung cấp, một sự cố hoặc vi phạm đơn lẻ ở đó hạ gục toàn bộ sự hiện diện trực tuyến của bạn cùng lúc; biết bản đồ nhà cung cấp là điều đầu tiên bạn cần trong sự cố. Không có kiểm tra nào thay đổi điểm của bạn — nhưng cả hai mô tả phơi lộ thật với downtime, mất doanh thu và phục hồi chậm đau đớn.

Điều này có thể gây thiệt hại gì

• Đợt lưu lượng bot hoặc DDoS nhỏ đánh máy chủ không được che chắn của bạn vào sáng ngày khuyến mãi lớn — trang bò hoặc ngã, khách hàng nhận lỗi ở trang thanh toán, và bạn mất doanh thu cả ngày trong khi host của bạn xử lý. CDN/WAF phía trước đã hấp thu nó.
• DNS, website và email của bạn đều chạy qua một nhà cung cấp; nhà cung cấp đó có sự cố và trang, hệ thống đặt lịch VÀ email của bạn đều tối cùng lúc — bạn thậm chí không thể gửi 'chúng tôi đang nhận thức về vấn đề' vì hộp thư cũng ngừng.
• Cuộc tấn công tự động dò trang của bạn cả đêm — các script SQL injection và đoán đăng nhập hammering gốc của bạn trực tiếp vì không có lớp firewall để lọc chúng — và bạn chỉ phát hiện khi có gì đó hỏng. WAF chặn phần lớn tiếng ồn đó trước khi nó bao giờ đến mã của bạn.
• Sự cố xảy ra và không ai có thể trả lời câu hỏi cơ bản 'chúng ta thậm chí gọi cho ai?' — website có trên cùng host với email không? Ai chạy DNS? Nhiều giờ trôi qua chỉ để vẽ bản đồ cơ sở hạ tầng trong khi trang vẫn ngừng.
• Nhóm IT của khách hàng tiềm năng quét bạn trước khi ký và thấy máy chủ gốc bare không có CDN/WAF và header phiên bản máy chủ rò rỉ quảng cáo chính xác phần mềm (và phiên bản) bạn chạy — tín hiệu nhỏ 'những người này chưa hardening cơ bản' vào thời điểm tệ nhất có thể.

Tại sao điều này quan trọng. Cả hai kiểm tra ở đây là thông tin trong phương pháp của chúng tôi — chúng được đăng ký với không điểm và không bao giờ thay đổi điểm của bạn — vì chúng mô tả cơ sở hạ tầng của bạn thay vì kiểm tra kiểm soát bảo mật pass/fail. Chúng tôi hiển thị chúng vì chúng ánh xạ phơi lộ kinh doanh thật. Trang không có CDN/WAF chịu mọi cuộc tấn công và đợt lưu lượng tăng đột biến trên gốc trực tiếp, không có lọc và không có hấp thu tăng đột biến; thêm một cái (tầng miễn phí Cloudflare là đường phổ biến) là một trong những nâng cấp kiên cường đòn bẩy cao, chi phí thấp nhất mà doanh nghiệp nhỏ có thể thực hiện. Và bản đồ nhà cung cấp rõ ràng — biết DNS, web và email của bạn được chia hay xếp chồng trên một nhà cung cấp — là điều đầu tiên bạn cần khi có gì đó sai và sự khác biệt giữa sự cố có giới hạn và mất điện hoàn toàn.

Thực ra là gì, giải thích đơn giản

Mỗi website chạy trên máy chủ ở đâu đó. Câu hỏi trang này trả lời là: cái gì đứng giữa internet mở và máy chủ đó — và ai thực sự chạy các phần của sự hiện diện trực tuyến của bạn?

Có hai phần:

1. CDN / WAF — tấm chắn ở phía trước. CDN (Content Delivery Network) là mạng toàn cầu ngồi phía trước trang của bạn, phục vụ nội dung nhanh cho khách truy cập bất cứ đâu, và hấp thu các đợt lưu lượng tăng đột biến. WAF (Web Application Firewall) là bộ lọc kiểm tra các yêu cầu đến và chặn các yêu cầu độc hại trước khi chúng tiếp cận máy chủ của bạn. Các dịch vụ phổ biến (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri, và những dịch vụ khác) gói cả hai. Chúng tôi nhìn vào response của trang của bạn và báo cáo liệu chúng tôi có thể thấy tấm chắn ở phía trước không.

2. Bản đồ Hosting / nhà cung cấp — ai chạy cơ sở hạ tầng của bạn. Chúng tôi đọc các bản ghi công khai nói ai xử lý DNS của bạn (thư mục biến tên miền thành địa chỉ), và ai xử lý email của bạn. Từ đó chúng tôi có thể nói DNS, website và email của bạn có được chia trên các nhà cung cấp (kiên cường) hay xếp chồng trên một (tiện lợi, nhưng điểm lỗi đơn).

Điều quan trọng nhất cần biết ngay từ đầu: trong tính điểm của chúng tôi, cả hai đều là thông tin. Chúng không ảnh hưởng điểm của bạn. Chúng tôi hiển thị chúng vì chúng mô tả mức độ phơi lộ của doanh nghiệp với downtime và tấn công — đây là câu hỏi khác nhau, và rất thực tế, so với điểm.

Điều này có thể khiến bạn mất gì

Đây không phải rủi ro trừu tượng — chúng là những cách hàng ngày mà thiết lập không được che chắn, rối rắm biến vấn đề nhỏ thành ngày tệ.

• Bị đánh sập vào ngày quan trọng nhất. Trang của bạn ngồi trên máy chủ gốc không có gì phía trước nó. Vào sáng ngày ra mắt hoặc khuyến mãi, lưu lượng tăng đột biến — hoặc đợt bot vừa phải đánh — và máy chủ không thể chịu đựng. Trang hết thời gian, trang thanh toán lỗi, và bạn mất doanh thu cả ngày trong khi host của bạn xử lý. CDN hấp thu các đợt tăng đột biến và WAF lọc lưu lượng rác; cùng nhau chúng là sự khác biệt giữa “ngày bận rộn” và “ngừng cả buổi sáng.”

• Mọi thứ tối cùng lúc. DNS, website và email của bạn đều chạy qua một nhà cung cấp duy nhất. Nhà cung cấp đó có sự cố (nó xảy ra với tất cả rồi) và trang, hệ thống đặt lịch và email của bạn biến mất đồng thời. Bạn không thể xử lý đơn hàng, và bạn thậm chí không thể email khách hàng để nói bạn đang nhận thức — vì hộp thư cũng ngừng. Chia tách nhà cung cấp có nghĩa là một lỗi được giới hạn, không toàn bộ.

• Mã của bạn nhận mọi cuộc tấn công trực tiếp. Không có WAF, mọi dò tự động — injection nỗ lực, đoán đăng nhập, scanner khai thác đã biết — đánh mã ứng dụng của bạn không có lọc. Bạn đang cược rằng phần mềm của bạn hoàn hảo và được vá đầy đủ, mãi mãi. WAF chặn phần lớn tiếng ồn tự động đó trước khi nó tiếp cận bạn, biến “tấn công nền liên tục” thành “hầu hết được lọc.”

• Sự cố chậm, hoảng loạn vì không ai có bản đồ. Có gì đó hỏng và giờ đầu bị lãng phí trên “đợi, ai chạy DNS của chúng ta? Email có trên cùng host không? Chúng ta gọi cho ai?” Khi bản đồ nhà cung cấp của bạn không rõ ràng, mọi sự cố bắt đầu từ không. Biết bản đồ trước chuyển cuộc hỗn loạn thành một cuộc gọi điện thoại.

• Ấn tượng đầu xấu với người mua cẩn thận. Nhóm IT của khách hàng tiềm năng quét bạn trước khi ký và thấy máy chủ gốc bare không có CDN/WAF — và header máy chủ công khai quảng cáo phần mềm và phiên bản chính xác của bạn. Đó là tín hiệu nhỏ, nhưng nó đặt bạn ở cột “chưa hardening cơ bản” đúng vào thời điểm sai nhất.

Thực ra nó là gì

CDN / WAF — lớp bảo vệ

Khi khách truy cập (hoặc kẻ tấn công) yêu cầu trang của bạn, yêu cầu có thể đi thẳng đến máy chủ gốc, hoặc nó có thể đi qua CDN/WAF trước. Nếu có tấm chắn ở phía trước, tấm chắn đó có thể:

• Lọc các yêu cầu độc hại (phần WAF): chặn các nỗ lực injection, tấn công bot, và các mẫu khai thác đã biết trước khi chúng bao giờ tiếp cận mã của bạn.
• Hấp thu lưu lượng (phần CDN): phục vụ nội dung được cache từ các máy chủ gần mỗi khách truy cập và hấp thu các đợt tăng đột biến, vì vậy đột biến — hợp pháp hay thù địch — không nghiền nát gốc của bạn.
• Tăng tốc trang: nội dung được phân phối từ máy chủ edge gần tải nhanh hơn cho khách truy cập trên toàn thế giới.

Chúng tôi phát hiện tấm chắn bằng cách nhìn vào dấu vết mà các dịch vụ này để lại trong response header của trang — ví dụ header cf-ray (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai), hoặc x-sucuri-id (Sucuri). Chúng tôi cũng đọc header Server để xác định máy chủ web cơ bản của bạn, và gắn cờ bất kỳ header X-Powered-By nào đang chia sẻ quá mức.

“Tốt” trông như thế nào: CDN/WAF được phát hiện phía trước gốc của bạn, và header Server không quảng cáo số phiên bản cụ thể.

Bản đồ Hosting / nhà cung cấp — phụ thuộc cơ sở hạ tầng của bạn

Tên miền của bạn lặng lẽ trỏ đến nhiều dịch vụ khác nhau:

• DNS — thư mục biến yourbusiness.com thành địa chỉ máy chủ thực sự. Chúng tôi đọc bản ghi nameserver (NS) của bạn và nhận ra các nhà cung cấp phổ biến (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, và các registrar khu vực trong số đó).
• Email — nơi thư của bạn được xử lý. Chúng tôi đọc bản ghi MX của bạn và nhận ra các nhà cung cấp phổ biến (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho, và những nhà cung cấp khác).

Từ đây chúng tôi có thể thấy liệu các trách nhiệm này có được chia trên các nhà cung cấp (lỗi trong một không hạ gục những cái khác) hay xếp chồng trên một nhà cung cấp duy nhất (tiện lợi, nhưng một sự cố hoặc vi phạm hạ gục mọi thứ).

“Tốt” trông như thế nào: ít nhất, DNS được giữ bởi nhà cung cấp chuyên dụng, đáng tin thay vì được gói vào cùng tài khoản với mọi thứ khác — vì vậy thư mục tên miền của bạn không chia sẻ số phận với website và hộp thư của bạn.

Cách sửa (miễn phí, ~1 buổi chiều)

Chuyển cho người IT hoặc nhà phát triển web của bạn — bản sửa miễn phí. Đặt CDN/WAF phía trước trang không tốn gì trên các tầng miễn phí phổ biến, và ức chế phiên bản máy chủ của bạn là một cài đặt một dòng. Không có giấy phép cần mua. (Các tùy chọn trả phí ở đây chỉ theo dõi, theo dõi portfolio và kiểm toán — không bao giờ là bản sửa.) Quyết định duy nhất của chủ sở hữu là: có, đặt tấm chắn phía trước trang.

Vì cả hai kiểm tra đều là thông tin, không có gì ở đây được tính điểm — nhưng CDN/WAF là một trong những nâng cấp kiên cường giá trị cao nhất mà doanh nghiệp nhỏ có thể thực hiện, vì vậy đáng làm.

1. Đặt CDN/WAF phía trước trang của bạn

Đường phổ biến, miễn phí nhất là Cloudflare:

1. Tạo tài khoản Cloudflare miễn phí và thêm tên miền của bạn.
2. Cloudflare đọc bản ghi DNS hiện có của bạn; kiểm tra chúng được nhập đúng.
3. Thay đổi nameserver của tên miền (tại registrar của bạn — nơi bạn mua tên miền) thành hai nameserver Cloudflare cung cấp. Đây là công tắc định tuyến lưu lượng qua Cloudflare.
4. Đặt chế độ SSL/TLS thành Full (strict) để mã hóa vẫn end-to-end giữa khách truy cập → Cloudflare → gốc của bạn. (Tránh “Flexible,” để lại chân cuối không mã hóa.)
5. CDN và WAF cơ bản hiện đang hoạt động. Bạn có thể điều chỉnh quy tắc WAF sau, nhưng mặc định đã lọc nhiều.

Đường khác, tùy thuộc vào stack của bạn:

• AWS CloudFront — tạo distribution trỏ đến gốc; kết hợp với AWS WAF để lọc. Tốt nhất nếu bạn đã trên AWS.
• Sucuri WAF — dựa trên DNS, không yêu cầu thay đổi trên máy chủ của bạn; tốt nếu bạn không thể chạm vào gốc.
• Fastly / Akamai — CDN/WAF cấp doanh nghiệp, thường cho trang lớn hơn hoặc lưu lượng cao hơn.

Sau khi chuyển đổi, kiểm tra trang, xác nhận HTTPS hoạt động khắp nơi, và xem nó trong một ngày. Đừng aggressively cache các trang phải ở lại cá nhân hoặc live (khu vực đã đăng nhập, giỏ hàng, trang thanh toán).

2. Dừng quảng cáo phiên bản máy chủ của bạn

Dù bạn có thêm CDN hay không, ức chế phiên bản máy chủ của bạn quảng cáo — đó là thông tin miễn phí bạn đang trao cho kẻ tấn công.

Nginx:

server_tokens off;

Apache (trong cấu hình chính):

ServerTokens Prod
ServerSignature Off

Xóa header X-Powered-By chia sẻ quá mức (ví dụ từ PHP hoặc framework ứng dụng) ở cấp máy chủ hoặc CDN — trên Cloudflare bạn có thể xóa nó với quy tắc response-header transform.

3. Kiểm tra nhanh bản đồ nhà cung cấp (tùy chọn, ~10 phút)

Nhìn vào nơi DNS, website và email của bạn thực sự sống:

• Nếu cả ba ngồi trong một tài khoản nhà cung cấp, cân nhắc ít nhất chuyển DNS đến nhà cung cấp chuyên dụng (DNS Cloudflare miễn phí và nhanh). Sự chia tách đơn đó có nghĩa là thư mục tên miền của bạn sống sót qua sự cố hosting.
• Viết bản đồ xuống — nhà cung cấp DNS, web host, nhà cung cấp email, registrar, và liên hệ đăng nhập/hỗ trợ cho từng cái. Một trang này là thứ hữu ích nhất bạn có thể có trước mặt trong sự cố.

Ghi chú nền tảng

• Google Workspace / Microsoft 365: đây là nhà cung cấp email của bạn, không phải website. Đặt CDN/WAF phía trước website không đụng đến email, và ngược lại — chúng là các quyết định riêng biệt. (Có email trên Google/Microsoft và website đằng sau Cloudflare là thiết lập được chia có chủ đích hoàn toàn tốt.)
• Site builder được quản lý (Wix, Squarespace, Shopify): những cái này bao gồm CDN của chính chúng và một mức bảo vệ WAF như một phần của nền tảng, vì vậy bạn có thể đã được che chắn ngay cả khi kiểm tra header của chúng tôi không đặt tên nhà cung cấp. Bạn thường không thể thêm Cloudflare của riêng bạn phía trước; điều đó ổn — nền tảng xử lý nó.
• WordPress trên hosting của riêng bạn: ứng cử viên lý tưởng cho lớp Cloudflare miễn phí phía trước. Kết hợp nó với firewall cấp ứng dụng của plugin bảo mật.

Các lỗi phổ biến

• Chạy gốc bare “vì trang nhỏ.” Các trang nhỏ bị đánh bởi cùng các cuộc tấn công tự động và lũ bot như các trang lớn — bot không kiểm tra doanh thu của bạn trước. Tầng CDN/WAF miễn phí tồn tại chính xác cho các trang nhỏ; không dùng nó là để chiến thắng dễ dàng trên bàn.
• Dùng Cloudflare “Flexible” SSL. Nó hiển thị ổ khóa nhưng để kết nối giữa Cloudflare và gốc của bạn không mã hóa. Luôn dùng Full (strict) để nó được mã hóa end to end.
• Cache sai thứ. Aggressively caching các trang đã đăng nhập, giỏ hàng hoặc trang thanh toán có thể hiển thị nội dung của một khách hàng này với khách hàng khác hoặc giá cũ. Cache nội dung static; để các trang cá nhân hóa và giao dịch không được cache.
• Xếp chồng mọi thứ trên một nhà cung cấp mà không nhận ra. Sự tiện lợi ổn nếu là lựa chọn có ý thức — nhưng nhiều doanh nghiệp chỉ khám phá DNS, web và email chia sẻ một tài khoản trong sự cố hạ gục cả ba. Làm cho nó là quyết định, không phải khám phá.
• Để phiên bản máy chủ hiển thị. Đây là bước hardening một dòng, miễn phí dễ quên. Tắt nó đi.

Ghi chú về điểm

Để hoàn toàn rõ ràng: không kiểm tra nào trong hai cái này ảnh hưởng điểm của bạn. Chúng được đăng ký trong phương pháp của chúng tôi là thông tin, với không điểm, và chúng tôi không bao giờ phạt bạn vì gốc không được che chắn hoặc thiết lập một nhà cung cấp. Chúng tôi báo cáo chúng vì chúng mô tả phơi lộ thật với downtime, tấn công và phục hồi sự cố chậm — và vì thêm CDN/WAF miễn phí là một trong những nâng cấp giá trị tốt nhất mà doanh nghiệp nhỏ có thể thực hiện. Nếu bạn không làm gì ở đây, điểm của bạn không thay đổi. Nếu bạn đặt tấm chắn phía trước trang và chia DNS ra, bạn đã làm cho doanh nghiệp kiên cường hơn có ý nghĩa miễn phí. Đó là cách đúng để đọc trang này: không phải số để bảo vệ, mà là nâng cấp kiên cường đáng thực hiện.

FAQ