Share
Dies ist der zweite Teil einer gesponserten, dreiteiligen Serie, die Incapsula-Leistungs- und Sicherheitsdienste abdeckt. Im ersten Teil stellte ich Ihnen die Incapsula Website Security vor und ging durch, wie einfach es ist, Ihre Website in ihre Systeme zu integrieren. Das dauert buchstäblich nur wenige Minuten und bietet einen unglaublich breiten Schutzumfang.
In diesem Lernprogramm werde ich beschreiben, wie die Incapsula-Sicherheit Ihre von Amazon Web Services gehostete Website (sowie jede Website) vor verteilten Denial-of-Service-Angriffen (DDoS) schützen kann..
Im Wesentlichen handelt es sich bei DDoS-Angriffen meistens um einen koordinierten Angriff von Tausenden kompromittierten "Zombie" -Computern auf ein bestimmtes Ziel - möglicherweise Ihre Website. Es ist nicht leicht, sich gegen diese Angriffe zu wehren. DDoS-Angriffe können nicht nur Ihre Dienste beeinträchtigen und die Erfahrung Ihrer Kunden ruinieren, sondern auch zu erheblichen Bandbreitenüberschreitungen und Folgekosten führen.
In der nächsten und dritten Folge dieser Serie werden wir zu Incapsula CDN & Optimizer und anderen Funktionen wie Komprimierung und Bildoptimierung übergehen. Das meiste davon ist kostenlos erhältlich.
Incapsula ist ein so faszinierender und raffinierter Service, dass ich hoffe, die redaktionellen Götter von Tuts + davon überzeugen zu können, dass ich mehr darüber schreibe. Wenn Sie Fragen zu zukünftigen Episoden dieser Serie oder zu Fragen und Kommentaren zum heutigen Tag haben, posten Sie diese bitte weiter unten. Sie können mich auch auf Twitter erreichen @reifman oder Maile mir direkt.
Wie ich im ersten Teil erwähnte, wird Ihr Website-Traffic bei der Anmeldung bei Incapsula nahtlos durch sein weltweit verteiltes Netzwerk von leistungsstarken Servern geleitet. Ihr eingehender Datenverkehr wird intelligent in Echtzeit erstellt und blockiert die neuesten Webbedrohungen (z. B. SQL-Injection-Angriffe, Scraper, bösartige Bots, Kommentar-Spammer) und durch übergeordnete Pläne verhindern Sie DDoS-Angriffe. Währenddessen wird Ihr ausgehender Datenverkehr mit CDN & Optimizer beschleunigt. Viele dieser Funktionen stehen kostenlos zur Verfügung und Sie können sie während ihrer 14-tägigen Testphase ohne Kosten testen. Wenn Sie bereits weitere Fragen haben, lesen Sie die Incapsula-FAQs.
Laut Imperva "hat eine kürzlich durchgeführte Branchenstudie gezeigt, dass etwa 75% der IT-Entscheidungsträger in den letzten 12 Monaten mindestens ein DDoS erlitten haben und 31% berichteten, dass diese Angriffe zu Störungen führten."
Incapsula schützt Ihre Website umfassend vor allen drei Arten von DDoS-Angriffen:
Incapsula schützt Ihre Website umfassend vor allen drei Arten von DDoS-Angriffen:
Sie können die finanzielle Haftung eines DDoS-Angriffs in Ihrem Unternehmen mit dem Incapsula DDoS Downtime Cost Calculator messen:
Hier sind Beispielergebnisse, die mir mit meinen Einstellungen angezeigt werden:
Mit der Incapsula Profi Planen Sie eine hoch entwickelte Web Application Firewall (WAF) und einen Backdoor-Schutz, um die Haftung und das Risiko zu minimieren.
Zum Schutz vor DDoS-Angriffen auf Anwendungsebene benötigen Sie die Geschäft Plan, der bei 299 US-Dollar pro Standort und Monat beginnt. Das Unternehmen Plan bietet Schutz vor Netzwerkschichtangriffen.
Der Schutz von Incapsula DDoS funktioniert unabhängig davon, ob Sie Ihre Website bei AWS oder einem anderen Webhost hosten. So werden sie geliefert und was sie bieten:
Hier ist eine Karte der globalen Rechenzentren des Incapsula-Netzwerks:
Sie können sehen, wie Ihre tatsächlichen Besucher und der DDoS-Verkehr von Incapsula verwaltet werden, bevor sie Ihre Website erreichen (häufig von Incapsula für die Leistung gespiegelt):
Es gibt auch einen umfassenden DDoS-Schutz für alle Arten von Diensten (UDP / TCP, SMTP, FTP, SSH, VoIP usw.), wenn Sie sich für den Schutz der Infrastruktur für eine einzelne IP-Adresse anmelden.
Durch den individuellen IP-Schutz können Benutzer DDoS-Schutz bereitstellen, um alle Arten von Umgebungen zu schützen, einschließlich:
Wenn Sie sich an diesem Dienst anmelden, weist Ihnen Incapsula eine IP-Adresse aus unserem eigenen IP-Bereich für die Weiterleitung des Datenverkehrs zu. Ein Tunnel wird dann zwischen Ihren Ursprungsservern (oder Routern / Lastverteilern) und dem Incapsula-Netzwerk eingerichtet. Sobald dieser Tunnel vorhanden ist, wird dieser Tunnel dazu verwendet, sauberen Verkehr von unserem Netzwerk zu Ihrem Ursprung zu leiten und umgekehrt. Sie übertragen dann die zugewiesenen IP-Adressen über DNS an Ihre Benutzer, sodass diese als Ursprungsadressen angegeben werden.
Bevor wir uns näher mit den Incapsula-Vorteilen für AWS-Kunden befassen, sollten wir uns mit DDoS-Angriffen und Netzwerkterminologie beschäftigen.
Das folgende Bild (von Wikipedia) zeigt, wie ein Angreifer ein unauffindbares Netzwerk aus Computern und kompromittierten "Zombies" nutzt, um eine Webanwendung in die Knie zu zwingen:
Die Incapsula-DDoS-Schutzfunktionen wirken auf die Anwendung (Schicht 7) und das Netzwerk (Schichten 3 und 4) der sieben Schichten des OSI-Modells. Hier finden Sie den Wikipedia-Leitfaden zu diesen Schichten für weitere Details:
Auch wenn dies komplex erscheinen mag, sind dies im Wesentlichen die Schichten, die DDoS-Angriffe verwenden, da diese Ihre Website mit Internetbenutzern und anderen Computern im Internet verbinden.
Aus konzeptioneller Sicht basiert der Incapsula DDoS-Schutz auf einem Satz konzentrischer Ringe um die Anwendung, von denen jeder einen anderen Teil des Datenverkehrs filtert. Jeder dieser Ringe kann leicht umgangen werden. Wenn sie jedoch gleichzeitig arbeiten, stoppen sie fast alle schädlichen Daten. Während einige DDoS-Angriffe an den äußeren Ringen gestoppt werden können, können beständige Multi-Vector-Angriffe nur unter Verwendung aller (oder der meisten) Angriffe gestoppt werden.
So verteidigt Incapsula alle Arten von Hacking-Versuchen und Angriffen, einschließlich der zehn wichtigsten Bedrohungen des Open Web Application Security Project (OWASP):
So funktioniert der 5-Ring-Ansatz der Incapsula-Lösung:
Ring 5: Client-Klassifizierung vs. Volumetrische Schicht-7-Angriffe. In einigen Fällen können Angreifer einen Angriff auf die volumetrische Anwendungsschicht (z. B. HTTP-Flood) als Ablenkung verwenden, um andere, gezieltere Angriffe zu maskieren. Incapsula verwendet die Clientklassifizierung, um diese Bots zu identifizieren und herauszufiltern, indem Signaturen verglichen und verschiedene Attribute untersucht werden: IP- und ASN-Informationen, HTTP-Header, Varianten der Cookie-Unterstützung, JavaScript-Footprint und andere verräterische Zeichen. Incapsula unterscheidet zwischen Menschen- und Bot-Verkehr, zwischen "guten" und "schlechten" Bots und identifiziert AJAX und APIs.
Ring 4: Whitelisting und Ansehen von Besuchern. Nach dem Markieren und Blockieren des böswilligen volumetrischen Datenverkehrs unterteilt Incapsula den Rest des Website-Datenverkehrs in "graue" (verdächtige) und "weiße" (legitime) Besucher. Diese Aufgabe wird vom Incapsula-Reputationssystem unterstützt.
Ring 3: Web Application Firewall für Vektoren mit direktem Angriff. Die Incapsula-Lösung bietet nicht nur DDoS-Schutz, sondern auch eine Web Application Firewall (WAF) der Enterprise-Klasse, die Websites vor Bedrohungen auf Anwendungsebene schützt, z. WAF verwendet ausgeklügelte Verkehrsprüfungs- und Crowdsourcing-Techniken sowie umfassendes Know-how für durchgängige Anwendungssicherheit. Zu den erweiterten Funktionen gehören ein benutzerdefiniertes Regelmodul (IncapRules, siehe unten), Backdoor-Shell-Schutz und integrierte Zwei-Faktor-Authentifizierung (in Teil 1 beschrieben).
Ring 2: Fortschrittliche Herausforderungen. Incapsula wendet eine Reihe progressiver Herausforderungen an, die ein optimales Gleichgewicht zwischen starkem DDoS-Schutz und ununterbrochener Benutzererfahrung gewährleisten sollen. Die Idee besteht darin, Fehlalarme durch Verwendung einer Reihe transparenter Herausforderungen (z. B. Cookie-Unterstützung, JavaScript-Ausführung usw.) zu minimieren, um eine eindeutige Identifizierung des Clients zu ermöglichen (Mensch oder Bot, "gut" oder "schlecht")..
Ring 1: Erkennung von Verhaltensanomalien. Incapsula verwendet Anomaly Detection-Regeln, um mögliche Instanzen komplexer Layer-7-Angriffe zu erkennen. Dieser Ring dient als automatisiertes Sicherheitsnetz, um Angriffe abzufangen, die möglicherweise durch die Risse gerutscht sind.
Ring 0: Spezielles Sicherheitsteam. Letztendlich wird Ihre Erfahrung mit Incapsula vom Imperva-Team aus erfahrenen Mitarbeitern des Security Operations Centers und dem rund um die Uhr verfügbaren Support-Team unterstützt. Sie analysieren das interne Verhalten der Anwendung proaktiv und erkennen die unregelmäßige Verwendung, bevor sich ein Problem ausbreitet.
Im Folgenden wird mit Incapsula ein DDoS-Angriff mit 250 GBit / s gemildert - einer der größten des Internets:
Darüber hinaus ist die Incapsula Web Application Firewall PCI-zertifiziert (PCI wurde von globalen Kreditinstituten wie American Express, MasterCard und Visa entwickelt):
Das PCI Security Standards Council ist ein offenes globales Forum, das 2006 gegründet wurde und für die Entwicklung, das Management, die Schulung und das Bewusstsein für die PCI-Sicherheitsstandards verantwortlich ist, einschließlich des PCI-DSS (Data Security Standard), des Data Security-Standards für Zahlungsanwendungen ( PA-DSS) und PIN Transaction Security (PTS).
Natürlich ist DDoS Protection außerhalb Ihres Netzwerks implementiert. Dies bedeutet, dass nur gefilterter Datenverkehr Ihre Hosts erreicht, wodurch Ihre Investitionen in Hardware, Software und Netzwerkinfrastruktur geschützt werden und gleichzeitig die Kontinuität Ihres Geschäfts sichergestellt wird.
Ob Sie Ihre Anwendung bei AWS hosten oder nicht, spielt keine Rolle, da die DDoS-Schutzfunktionen der Incapsula-Lösung Ihre Website schützen. Wenn Sie jedoch AWS-Kunde sind, denken Sie nicht, dass Amazon Sie vollständig schützen wird - Incapsula bietet beträchtlichen zusätzlichen Schutz.
Wie die meisten Hosting-Plattformen ist AWS keine Sicherheitsplattform. Es bietet grundlegende DDoS-Minderungsfunktionen wie SYN-Cookies und Verbindungslimitierung, ist jedoch nicht zum Schutz von gehosteten Servern und Anwendungen gedacht. Wenn Ihr Webserver von einer DDoS-Attacke einer Anwendung (Schicht 7) getroffen wird, schützt AWS Sie nicht. Schlimmer noch, wenn Sie unter einem massiven DDoS-Angriff (Layer 3 und 4) leiden, wird Ihnen die zusätzliche Bandbreite in Rechnung gestellt und Sie erhalten am Ende des Monats eine riesige Rechnung. Jeder, der mit dem Amazon-Kundenservice zu tun hat, weiß, dass es nicht immer einfach ist, Erstattungen zu erhalten.
Incapsula ergänzt AWS mit seinem Cloud-basierten DDoS-Schutzdienst. Dieser Service verbessert die grundlegenden Sicherheitsfunktionen von AWS, sodass Ihre kritischen Anwendungen vollständig vor allen Arten von DDoS-Angriffen geschützt sind.
Durch die Verwendung fortschrittlicher Technologie für die Verkehrsüberwachung erkennt und reduziert Incapsula DDoS Protection für AWS automatisch volumetrische Netzwerke (OSI-Schicht 3) und hochentwickelte DDoS-Angriffe (Schicht 7) - ohne die Benutzer zu stören.
Der Always-On-Service sichert AWS-basierte Websites und -Anwendungen gegen alle Arten von DDoS-Angriffen - von massiven volumetrischen Netzwerksperren (OSI-Schichten 3 und 4) bis hin zu hochentwickelten Angriffen auf Anwendungsebene (Schicht 7). Die automatische Erkennung und transparente Eindämmung von DDoS-Penetrationen minimiert Fehlalarme und gewährleistet ein normales Benutzererlebnis - selbst bei Angriffen.
Wenn Sie mit Incapsula und AWS mit einer Beispiel-EC2-Instanz und einer einfachen Anleitung experimentieren möchten, folgen Sie meiner Tuts + -Installationsanleitung für WordPress in der Amazon Cloud. Dann können Sie sich in Teil 1 dieser Serie für Incapsula anmelden und einfache DNS-Änderungen vornehmen um es in Ihre Website zu integrieren. Wie ich in dieser Episode beschreibe, sind die Ergebnisse schnell und beeindruckend.
Wenn Sie den DNS-Dienst Route53 von Amazon verwenden, ist es natürlich genauso einfach, Ihre Site zu konfigurieren, wie ich sie in Teil 1 beschrieben habe, mit meinem generischen DNS-Dienst.
Melden Sie sich einfach bei der Route53-Verwaltungskonsole an und navigieren Sie zu Ihren Domain-Datensatzgruppen. Wählen Sie aus der Liste der Datensätze die Subdomain aus, die Sie Incapsula hinzufügen, und bearbeiten Sie den Datensatz in Datensatz bearbeiten Dialog.
Wenn Sie einen CNAME verwenden, sieht es so aus:
Wenn Sie ein WWW verwenden. oder nackte Domain und ein A-Record sieht folgendermaßen aus:
Wenn Sie nur eine visuelle Komplettlösung bevorzugen, besuchen Sie den Incapsula-Demonstrationsstandort und einige dieser hervorragenden Ressourcen zum Incapsula DDoS-Schutz für AWS.
Erstens gibt es die Incapsula DDoS Protection Overview (pdf) (Abbildung unten):
Es gibt auch diese hilfreichen, detaillierten Referenzen:
Außerdem gibt es eine DDoS-Landing Page für generische Hosts (nicht AWS)..
Incapsula-Server führen eine robuste, tiefe Paketinspektion durch, um schädliche Pakete anhand der detailliertesten Details zu erkennen und zu blockieren. Dadurch können sie alle Attribute jedes eingehenden Pakets sofort untersuchen und gleichzeitig Hunderte von Gigabit Verkehr mit einer Inline-Rate bedienen.
Das 700-Gbit / s-Incapsula-Netzwerk globaler Scrubbing-Zentren mildert die größten DDoS-Angriffe, einschließlich SYN-Flood und DNS-Verstärkungen, die 100 Gbit / s übersteigen können. Das Incapsula-Netzwerk kann bei Bedarf skaliert werden, um massiven volumetrischen DDoS-Angriffen entgegenzuwirken. Dadurch wird sichergestellt, dass die Begrenzung außerhalb Ihres eigenen Netzwerks erfolgt, sodass nur gefilterter Datenverkehr Ihre Hosts erreichen kann.
In Kürze wird Incapsula den oben erwähnten individuellen IP-Infrastrukturschutz für AWS-Kunden bereitstellen. Nach der Konfiguration können Sie die Sicherheitsgruppen von Amazon verwenden, um sicherzustellen, dass der gesamte externe Verkehr nicht aus Incapsula stammt. Dadurch können Angreifer von außen Ihre Services mit Incapsula ignorieren und Sie direkt angreifen. Im Wesentlichen konfigurieren Sie nur Sicherheitsgruppen, die durch Incapsula-Netzwerk-IP-Adressen eingeschränkt werden sollen.
Und ja, Sie können Ihre CloudFront-Domäne weiterhin für das Bereitstellen statischer Dateien verwenden, während Sie Incapsula für DDoS-Abwehr und Route 53 DNS von AWS verwenden.
Die ersten Elemente davon habe ich in der ersten Episode überprüft. Sobald Ihre Site konfiguriert ist, wird sie im Dashboard aufgelistet:
Mit den Incapsula-Einstellungen haben Sie die vollständige Kontrolle über die zahlreichen leistungsstarken Funktionen. Sie können die DDoS-Konfigurationen im sehen Web Application Firewall (WAF) Untermenü:
Von dort aus können Sie das Verhalten Ihres DDoS konfigurieren. Unter Erweiterte Einstellungen Sie können Incapsula darüber informieren, wann und wie mutmaßliche Angreifer herausgefordert werden sollen:
Sie können auch IP-Adressen, URLs, bestimmte Länder und mehr auf die Whitelist setzen:
Das Dashboard ist Veranstaltungen Bereich hilft Ihnen dabei, Angriffe aller Art, einschließlich DDoS, zu filtern, zu erkennen und darauf zu reagieren:
Mit Hilfe von hier oder von Ihren eigenen Spezifikationen können Sie Regeln konfigurieren, um Sie zu filtern, Sie zu warnen und automatisch auf diese Art von Angriffen zu reagieren. Sie werden IncapRules genannt. Das IncapRules Das Untermenü enthält vollständige Beschreibungen zum Definieren detaillierter Regeln.
Hinzufügen und Verwalten der Liste der Regeln ist ganz einfach:
Mit IncapRules können Sie die gesamte Palette leistungsfähiger Verkehrskontrollfunktionen des Incapsula-Netzwerks nutzen. Mit ihnen können Sie benutzerdefinierte Richtlinien erstellen, die auf dem Inhalt des HTTP-Headers, der Geolocation und vielem mehr basieren.
Die IncapRules-Syntax basiert auf beschreibenden 'Filtern' und einer Reihe von logischen Operatoren. Kombiniert aus diesen wird eine Sicherheitsregel (a.k.a. 'Trigger') gebildet, die zu einer der vordefinierten 'Aktionen' führt. Hier einige Beispiele:
In diesem Bild konfigurieren wir eine Regel, bei der Cookies erforderlich sind, wenn mehr als 50 Sitzungen aktiv sind und gleichzeitig eine höhere Aktivität von bestimmten IP-Adressen oder Google-Such-Bots zugelassen wird.
Um Brute-Force-Angriffen entgegenzuwirken, können Sie eine relativ einfache Regel implementieren, um die Anzahl nachfolgender POST-Anforderungen an Ihre Anmeldeseite zu begrenzen. Dieser einfache Filter wird beispielsweise von mehr als 50 nachfolgenden POST-Anfragen ausgelöst, die von unmenschlichen (Nicht-Browser-) Besuchern innerhalb einer Minute gestellt werden:
Rate> post-ip; 50 & ClientType! = Browser [Sitzung blockieren]
Einmal ausgelöst, kann eine solche Regel mit einer beliebigen Anzahl von Aktionen reagieren. In diesem Fall ist die Regel auf festgelegt [Sitzung blockieren] Dadurch wird die Sitzung sofort beendet. Alternativ können Sie die Aktion auf einstellen [Warnen], In diesem werden Sie transparent über E-Mail- und GUI-Nachrichten über den Vorfall informiert.
Natürlich können generische Ratengrenzwerte die Benutzererfahrung unsachgemäß stören. Möglicherweise möchten Sie dies auf Ihre API und höhere Anforderungsraten als normal beschränken. Eine Sache, die Sie tun können, ist, die Regelsyntax mit der [URL] filter, um eine Regel zu erstellen, die nicht durch POST-Anforderungen an API-URLs ausgelöst wird:
Bewerten> post-ip; 50 & URL! = / Api & ClientType! = Browser [IP blockieren]
Wenn Sie mehrere Filter mit verschiedenen logischen Operatoren (z. B. und / oder, größer / kleiner als und usw.) verwenden, um diese miteinander zu verknüpfen, bietet der IncapRules-Filtersatz unbegrenzte Kombinationen, sodass Sie für jeden Szenariotyp eine benutzerdefinierte Sicherheitsrichtlinie erstellen können.
Sie können hier mehr über IncapRules und den Schutz vor Brute-Force-Angriffen erfahren oder es einfach ausprobieren!
Ich wünsche Ihnen viel Spaß beim Lernen über Incapsula DDoS Protection. Als ich die Incapsula-Lösung probierte, war ich von der einfachen Integration und der breiten Palette an leistungsstarken Schutzfunktionen sehr beeindruckt. Wenn Ihre Website-Anwendung großen Angriffen ausgesetzt sein könnte, erweisen sich die DDoS-Schutzmaßnahmen als äußerst wertvoll und kostengünstig.
Als Nächstes werde ich mich eingehend mit Incapsula CDN & Optimizer beschäftigen, angefangen mit dem kostenlosen Plan, der ein Content Delivery Network, Minimierung, Bildkomprimierung, TCP-Optimierung, Connection Pre-Pooling und viele weitere Funktionen umfasst.
Bitte zögern Sie nicht, unten Ihre Fragen und Kommentare zu posten. Sie können mich auch auf Twitter @reifman erreichen oder mich direkt per E-Mail kontaktieren. Sie können auch meine Tuts + Instructor-Seite durchsuchen, um die anderen Tutorials zu lesen, die ich geschrieben habe.
Accentsconagua