Защита от DDoS атак в Сберклауд и Яндекс Облако

Предисловие
Запуская блог о квантовых вычислениях, открывая интернет-магазин по продаже сувениров или создавая сайт своей компании мы хотим, чтобы этот ресурс всегда был доступен для посетителей и их количество постоянно увеличивалось. Вы приобрели подписку в облаке, постарались и разработали уникальный дизайн, создали лучший контент, успешно стартовали и быстро продвигается в рейтинге поисковых систем. Через месяц у вас уже несколько тысяч уникальных посетителей в сутки, жизнь прекрасна, и… однажды вечером ваш друг звонит и сообщает, что не может попасть на ваш прекрасный ресурс. Вы в панике хаотично пытаетесь разобраться в происходящем, возможно дело в недавнем релизе, но проверка показывает, что проблема не в этом. Метрики из мониторинга говорят вам о высокой нагрузке на сервис, анализируя происходящее вы понимаете о совершающейся на ресурс DDoS атаке. Вы пытаетесь блокировать запросы злоумышленников, фильтруете трафик на межсетевом экране, периодически запрещая доступ реальным пользователям, и спустя сутки этот кошмар прекращается. Вы анализируете статистику посещений и с грустью понимаете, что количество посетителей упало в несколько десятков раз, после чего полны решимости не допустить такого в будущем и создать защиту от DDoS.
Что такое DDoS атака?
Про это много написано, так что не будем надолго останавливаться на этом вопросе. Если коротко, то это вид атаки призванный вывести из строя какую-либо систему. Как правило это распределенная атака, которая выполняется с тысяч машин по всему миру (спасибо владельцам ОС с торрентов). Итого мы имеем огромный трафик с множества адресов и руками тут ничего не сделать.
P.S.: Кстати никогда не задумывалась почему существует пиратский софт и кому это надо? Так вот DDoS атаки один из примеров.
Защита от DDoS атак в публичных облаках
Принципы защиты от DDoS атак в публичном облаке несколько отличаются от наземных вариантов – мы не можем приобрести аппаратный апплаинс и скрыть за ним наш сервис, использовать BGP Flowspec для сброса нелегитимного трафика, или приобрести сервис у провайдера Интернет. Конечно, остаются варианты сброса SYN-флуда, бана по гео-признаку, тюнингу сетевого стека и настройки тайм-аутов, но при большой мощности атаки или атаке на уровне L7 это не спасет. В случае с публичным облаком у нас имеются следующие варианты:

Вариант 1. использование готового решения защиты от DDoS от вашего поставщика облака;

Вариант 2. использование услуг компании, предоставляющей защиту от DDoS как сервис;

Вариант 3. использование CDN.

Вариант 1. Использование готового решения защиты от DDoS от вашего поставщика облака
Первый вариант предлагают все крупные провайдеры публичных облаков, они самостоятельно строят экосистему защиты от DDoS, либо заключают партнерские соглашения и предоставляют сервис в кооперации с компаниями, специализирующимися на защите от DDoS. На портале управления облака вы выбираете опцию «Включить/активировать защиту» при создании сервиса или в случае DDoS атаки на него, после чего трафик до вашего сервиса начинает перенаправляться на оборудование, которое начинает фильтровать трафик и отсеивать нелегитимный, дополнительных настроек и специальных знаний от вас не требуется, биллинг происходит автоматически и расходы включаются в регулярный счет за использование облака.

Вариант 2. Использование услуг компании, предоставляющей защиту от DDoS как сервис.
Второй вариант предполагает анализ рынка и заключение контракта с компанией, специализирующейся на защите от DDoS. После заключения договорных отношений DNS имя с вашего сервиса в облаке переносится на оборудование компании-поставщика услуги и трафик до вашего сервиса начинает проходить через их инфраструктуру, фильтруясь и очищаясь от зловредного. С вашей стороны остается только ограничить доступ к сервису в облаке, разрешив входящие подключения из диапазона адресов компании-поставщика сервиса.

Вариант 3. Использование CDN.
Третий вариант — это использование CDN (сети доставки контента). CDN – это географически распределенная сетевая инфраструктура, позволяющая оптимизировать доставку и дистрибуцию содержимого сайта конечным пользователям. CDN изначально проектируется с учетом устойчивости к DDoS и возможности отражения атак, так как сервис рассчитан для предоставления услуг доставки трафика до сайтов для множества разнообразных клиентов. Вы приобретаете услугу CDN у вашего провайдера облака или сервис-провайдера, предоставляющего подобную услугу, после чего трафик до вашего сервиса начинает ходить через CDN узлы поставщика услуги, дополнительных настроек от вас не требуется.
Отдельно стоит упомянуть WAF (Web Application Firewall) как решение по защите от DDoS. Сам по себе WAF не является самодостаточным средством от DDoS и служит для отражения атак на уровне L7, применяясь в комплексе с решениями по защите на уровнях L3/L4. Сегодня все публичные облака предлагают в своем marketplace WAF решения собственной разработки или WAF от сторонних вендоров. Можно самостоятельно развернуть WAF в своей подписке, но это потребует дополнительных затрат и знаний по настройке данного решения. Удобнее будет приобрести WAF как дополнительную услугу в одном из перечисленных выше вариантов.

Остались вопросы? Напишите нам