Share
Questo è il secondo di una serie in tre parti sponsorizzata che copre i servizi di prestazioni e sicurezza di Incapsula. Nella prima parte, ti ho presentato a Incapsula Website Security e ho capito quanto sia facile integrare il tuo sito Web con i suoi sistemi: richiede letteralmente solo pochi minuti e fornisce un insieme incredibilmente ampio di protezioni sofisticate.
In questo tutorial descriverò in che modo la sicurezza di Incapsula può proteggere il tuo sito Web ospitato da Amazon Web Services (così come qualsiasi altro sito web) dagli attacchi DDoS (distributed denial of service).
Essenzialmente, gli attacchi DDoS sono spesso un attacco coordinato da migliaia di computer "zombi" compromessi contro un obiettivo specifico, forse il tuo sito web. Non è facile difendersi da questi attacchi. Non solo gli attacchi DDoS possono abbattere i tuoi servizi e rovinare l'esperienza dei tuoi clienti, ma possono anche portare a enormi eccedenze di larghezza di banda e spese successive.
Nel prossimo e terzo episodio di questa serie, passeremo a Incapsula CDN e Optimizer e ad altre funzionalità come la compressione e l'ottimizzazione delle immagini, la maggior parte di questo è disponibile gratuitamente.
Incapsula è un servizio così intrigante e sofisticato che spero di convincere gli dei editoriali di Tuts + a lasciarmi scrivere di più su di esso. Se hai richieste per episodi futuri in questa serie o domande e commenti su oggi, per favore pubblicali qui sotto. Puoi anche raggiungermi su Twitter @reifman o mandami un'email direttamente.
Come ho accennato nella prima parte, quando ti iscrivi a Incapsula, il traffico del tuo sito web verrà instradato senza interruzioni attraverso la sua rete distribuita globalmente di server potenti. Il traffico in entrata viene profilato in modo intelligente in tempo reale, bloccando le ultime minacce Web (ad es. Attacchi SQL injection, scrapers, bot dannosi, spammer di commenti) e con piani di livello superiore, contrastando gli attacchi DDoS. Nel frattempo il tuo traffico in uscita è accelerato con CDN e ottimizzatore. Molte di queste funzionalità sono fornite gratuitamente e puoi provarle tutte gratuitamente durante i loro 14 giorni di prova. Se hai già altre domande, consulta le Domande frequenti su Incapsula.
Secondo Imperva, "un recente studio del settore ha mostrato che circa il 75% dei responsabili delle decisioni IT ha subito almeno un DDoS negli ultimi 12 mesi e il 31% ha riportato interruzioni del servizio a seguito di questi attacchi".
Incapsula protegge in modo completo il tuo sito web da tutti e tre i tipi di attacchi DDoS:
Incapsula protegge in modo completo il tuo sito web da tutti e tre i tipi di attacchi DDoS:
Puoi misurare la responsabilità finanziaria di un attacco DDoS sulla tua azienda con il Calcolatore dei costi di downtime Incapsula DDoS:
Ecco alcuni esempi di risultati mostrati con le mie impostazioni:
Con l'incapsula professionista piano, otterrete un sofisticato Web Application Firewall (WAF) e protezioni backdoor per ridurre al minimo responsabilità e rischi.
Per proteggersi dagli attacchi DDoS a livello di applicazione, avrai bisogno di Attività commerciale piano che inizia a $ 299 per sito al mese. Il impresa piano offre protezione dagli attacchi a livello di rete.
Le protezioni Incapsula DDoS funzioneranno sia che tu ospiti il tuo sito web su AWS o qualsiasi host web. Ecco come vengono consegnati e cosa forniscono:
Ecco una mappa dei data center globali della rete di Incapsula:
Puoi vedere come i tuoi visitatori effettivi e il traffico DDoS sono gestiti da Incapsula prima che raggiungano il tuo sito web (spesso rispecchiato da Incapsula per le prestazioni):
C'è anche una protezione DDoS coperta per tutti i tipi di servizi (UDP / TCP, SMTP, FTP, SSH, VoIP, ecc.) Quando ti registri per la protezione dell'infrastruttura per un singolo indirizzo IP.
La protezione IP individuale consente agli utenti di implementare la protezione DDoS per difendere tutti i tipi di ambienti, tra cui:
Quando ti iscrivi a questo servizio, Incapsula ti assegnerà un indirizzo IP dal nostro intervallo IP per il traffico di routing. Viene quindi stabilito un tunnel tra i server di origine (o router / bilanciamento del carico) e la rete Incapsula. Una volta posizionato, questo tunnel viene utilizzato per instradare il traffico pulito dalla nostra rete all'origine e viceversa. Quindi trasmetti gli indirizzi IP assegnati ai tuoi utenti tramite DNS, rendendo questi i tuoi indirizzi di "origine" nominali.
Prima di spiegare di più sui vantaggi di Incapsula per i clienti AWS, passiamo a maggiori informazioni sugli attacchi DDoS e sulla terminologia di rete.
L'immagine qui sotto (da Wikipedia) mostra come un aggressore sfrutta una rete non rintracciabile di computer e "zombi" compromessi per mettere in ginocchio un'applicazione web:
Le protezioni Incapsula DDoS funzionano con l'Applicazione (Livello 7) e la Rete (Livelli 3 e 4) dei Sette Strati del Modello OSI. Ecco la guida di Wikipedia per questi livelli per maggiori dettagli:
Anche se può sembrare complesso, questi sono essenzialmente i livelli che gli attacchi DDoS utilizzano, come quelli che collegano il tuo sito web agli utenti Internet e ad altri computer su Internet.
Da un punto di vista concettuale, la protezione DDoS di Incapsula si basa su un insieme di anelli concentrici attorno all'applicazione, ognuno dei quali filtra una parte diversa del traffico. Ognuno di questi anelli da solo può essere facilmente aggirato; tuttavia, lavorando all'unisono interrompono quasi tutto il traffico malevolo. Mentre alcuni attacchi DDoS possono essere fermati agli anelli esterni, gli attacchi multi-vettore persistenti possono essere fermati solo usando tutti (o la maggior parte) di essi.
In quanto tale, Incapsula difende contro tutti i tipi di tentativi e attacchi di hacking, tra cui le prime dieci minacce definite di Open Web Application Security Project (OWASP):
Ecco come funziona l'approccio a cinque anelli della soluzione Incapsula:
Anello 5: Classificazione dei clienti rispetto agli attacchi di livello volumetrico 7. In alcuni casi, gli attaccanti possono utilizzare un attacco a livello di applicazione volumetrico (ad esempio flood HTTP) come distrazione destinata a mascherare altri attacchi più mirati. Incapsula utilizza la classificazione client per identificare e filtrare questi robot confrontando le firme e esaminando vari attributi: informazioni IP e ASN, intestazioni HTTP, variazioni del supporto dei cookie, impronta JavaScript e altri segni rivelatori. Incapsula distingue tra traffico di bot e umani, tra bot "buoni" e "cattivi" e identifica AJAX e API.
Anello 4: whitelist e reputazione dei visitatori. Dopo aver contrassegnato e bloccato il traffico volumetrico dannoso, Incapsula suddivide il resto del traffico del sito Web in visitatori "grigi" (sospetti) e "bianchi" (legittimi). Questo compito è supportato dal sistema di reputazione di Incapsula.
Anello 3: Firewall dell'applicazione Web per i vettori di attacco diretto. Oltre a offrire la protezione DDoS, la soluzione Incapsula include un WAF (Web Application Firewall) di livello aziendale che protegge i siti Web da qualsiasi minaccia a livello di applicazione, ad esempio SQL injection, scripting cross-site, accesso alle risorse illegali e inclusione di file remoti. WAF utilizza sofisticate tecnologie di ispezione del traffico e tecniche di crowdsourcing, insieme a una vasta esperienza che fornisce sicurezza delle applicazioni end-to-end. Le funzionalità avanzate includono un motore di regole personalizzate (IncapRules, rivisto di seguito), la protezione della shell backdoor e l'autenticazione integrata a due fattori (revisionata nella prima parte).
Anello 2: Sfide progressive. Incapsula applica una serie di sfide progressive progettate per garantire l'equilibrio ottimale tra una forte protezione DDoS e un'esperienza utente ininterrotta. L'idea è di minimizzare i falsi positivi usando una serie di sfide trasparenti (ad esempio supporto dei cookie, esecuzione di JavaScript, ecc.) Per fornire un'identificazione precisa del cliente (umano o bot, "buono" o "cattivo").
Anello 1: rilevamento anomalie comportamentali. Incapsula utilizza le regole di Rilevamento anomalo per rilevare possibili istanze di sofisticati attacchi di livello 7. Questo anello funge da rete di sicurezza automatizzata per catturare gli attacchi che potrebbero essere scivolati attraverso le fessure.
Anello 0: Team di sicurezza dedicato. In definitiva, la tua esperienza con Incapsula è supportata dal team di esperti di Security Operations Center di Imperva e dallo staff di supporto 24x7. Analizzano in modo proattivo il comportamento interno dell'applicazione e rilevano l'utilizzo irregolare prima che qualsiasi problema si diffonda.
Sotto, Incapsula attenua un attacco DDoS da 250GBps, uno dei più grandi di Internet:
Inoltre, l'Incapsula Web Application Firewall è certificato PCI (PCI è stato creato da organizzazioni di credito globali come American Express, MasterCard e Visa):
Il PCI Security Standards Council è un forum globale aperto, lanciato nel 2006, che è responsabile per lo sviluppo, la gestione, l'educazione e la consapevolezza degli standard di sicurezza PCI, incluso lo standard di sicurezza dei dati (PCI DSS), standard di sicurezza dei dati delle applicazioni di pagamento ( PA-DSS) e requisiti PIN Transaction Security (PTS).
Ovviamente, la protezione DDoS è implementata al di fuori della rete. Ciò significa che solo il traffico filtrato raggiunge i tuoi host, proteggendo il tuo investimento in hardware, software e infrastruttura di rete, garantendo allo stesso tempo la continuità della tua attività.
Non importa se ospiterai la tua applicazione con AWS, perché le funzionalità di protezione DDoS della soluzione Incapsula proteggeranno il tuo sito web. Ma se sei un cliente AWS, non farti ingannare dal pensare che Amazon ti proteggerà completamente: Incapsula offre importanti protezioni aggiuntive.
Come la maggior parte delle piattaforme di hosting, AWS non è una piattaforma di sicurezza. Sebbene offra capacità di mitigazione di base DDoS, come i cookie SYN e la limitazione della connessione, non è progettato per difendere server e applicazioni ospitate. Se il tuo server web viene colpito da un attacco DDoS di un'applicazione (livello 7), AWS non ti proteggerà. Peggio ancora, se subisci un massiccio attacco di rete (livelli 3 e 4) DDoS, ti verrà addebitato l'ulteriore larghezza di banda e riceverai un conto enorme alla fine del mese. Chiunque abbia a che fare con il servizio clienti Amazon sa come ottenere i rimborsi non è sempre facile.
Incapsula integra AWS con il suo servizio di protezione DDoS basato su cloud. Questo servizio migliora le funzionalità di sicurezza di base di AWS in modo che le applicazioni critiche siano completamente protette contro tutti i tipi di attacchi DDoS.
Utilizzando la tecnologia avanzata di ispezione del traffico, Incapsula DDoS Protection per AWS rileva e attenua automaticamente la rete volumetrica (OSI layer 3) e gli attacchi DDoS di applicazioni sofisticate (livello 7), senza interruzione dell'attività degli utenti.
Il servizio always-on protegge i siti Web e le applicazioni basati su AWS contro tutti i tipi di attacchi DDoS, da massicci attacchi di rete volumetrica (livelli OSI 3 e 4) a sofisticati attacchi di applicazione (livello 7). Il rilevamento automatico e la mitigazione trasparente delle penetrazioni DDoS riducono al minimo i falsi positivi, garantendo un'esperienza utente normale, anche in caso di attacco.
Se desideri sperimentare Incapsula e AWS con un'istanza EC2 di esempio e una guida semplice, segui la guida Tuts + per l'installazione di WordPress in Amazon Cloud e quindi utilizza la prima parte di questa serie per registrarti a Incapsula e apportare le semplici modifiche al DNS per integrarlo con il tuo sito web. Come descrivo in quell'episodio, i risultati prendono piede rapidamente e in modo impressionante.
Ovviamente, se stai utilizzando il servizio DNS di Amazon Route53, configurare il tuo sito è altrettanto semplice come descritto nella prima parte con il mio servizio DNS generico.
È sufficiente accedere alla console di gestione Route53 e quindi accedere ai set di record del dominio. Dall'elenco dei record, seleziona il sottodominio che stai aggiungendo a Incapsula e modifica il record nel file Modifica set di record dialogo.
Se stai usando un CNAME, sembra che questo:
Se stai usando un www. o dominio nudo e un record A, sembra questo:
Se preferisci una panoramica visiva, consulta il sito dimostrativo di Incapsula e alcune di queste eccellenti risorse sulle protezioni Incapsula DDoS per AWS.
In primo luogo, c'è l'Incapsula DDoS Protection Overview (pdf) (screenshot sotto):
Ci sono anche questi riferimenti utili e dettagliati:
E, c'è anche una pagina di destinazione DDoS per host generici (non AWS).
I server di Incapsula eseguono un'analisi dei pacchetti robusta e approfondita per identificare e bloccare i pacchetti maligni in base ai dettagli più granulari. Ciò consente loro di esaminare istantaneamente tutti gli attributi di ciascun pacchetto in entrata, mentre contemporaneamente servono centinaia di gigabit di traffico a una velocità in linea.
La rete di centri di lavaggio globale di oltre 700 Gbps Incapsula attenua i più grandi attacchi DDoS, tra cui le alluvioni SYN e DNS, che possono superare i 100 Gbps. La rete Incapsula scala su richiesta per contrastare massicci attacchi DDoS volumetrici. Ciò garantisce che la mitigazione sia applicata al di fuori della propria rete, consentendo solo al traffico filtrato di raggiungere i propri host.
Presto, Incapsula fornirà la protezione dell'infrastruttura IP individuale che ho citato sopra per i clienti AWS. Una volta configurato, puoi utilizzare i gruppi di sicurezza di Amazon per garantire che tutto il traffico esterno sia limitato a provenire da Incapsula. Questo elimina gli attaccanti esterni dall'ignorare i tuoi servizi con Incapsula e attaccandoti direttamente. In sostanza, è sufficiente configurare i gruppi di sicurezza per limitare gli indirizzi IP della rete Incapsula.
E sì, puoi ancora usare il tuo dominio CloudFront per servire file statici mentre usi Incapsula per la mitigazione di DDoS e il DNS di Route 53 di AWS.
Ho rivisto gli elementi iniziali di questo nell'episodio uno; una volta configurato il tuo sito, lo vedrai elencato nella dashboard:
Le impostazioni di Incapsula ti offrono il controllo completo sulla sua ampia varietà di potenti funzionalità. È possibile visualizzare le configurazioni DDoS da Web Application Firewall (WAF) sottomenu:
Da lì, puoi configurare il comportamento del tuo DDoS. Sotto Impostazioni avanzate puoi istruire Incapsula su quando e come sfidare i sospetti aggressori:
Puoi anche autorizzare gli indirizzi IP, gli URL, alcuni paesi e altro:
Il cruscotto eventi area ti aiuta a filtrare, identificare e iniziare a rispondere ad attacchi di ogni tipo, tra cui DDoS:
Con l'aiuto di qui o dalle tue specifiche, puoi configurare le regole per filtrare, avvisarti e rispondere automaticamente a questi tipi di attacchi. Si chiamano IncapRules. Il IncapRules il sottomenu fornisce descrizioni complete su come definire regole più dettagliate.
Aggiunta e gestione di Elenco delle regole è abbastanza facile:
IncapRules ti consente di sfruttare l'intera gamma di potenti capacità di ispezione del traffico della rete di Incapsula. Con loro è possibile creare politiche personalizzate basate sul contenuto dell'header HTTP, sulla geolocalizzazione e molto altro.
La sintassi di IncapRules si basa su "Filtri" descrittivamente denominati e su un insieme di operatori logici. Combinati questi sono usati per formare una regola di sicurezza (a.k.a. "Trigger") che porta a una delle "Azioni" predefinite. Ecco alcuni esempi:
In questa immagine, stiamo configurando una regola per richiedere i cookie se più di 50 sessioni sono attive mentre consente attività più elevate da specifici indirizzi IP o bot di Ricerca Google.
Per contrastare gli attacchi di forza bruta, puoi distribuire una regola relativamente semplice, per limitare il numero di successive richieste POST alla tua pagina di accesso. Ad esempio, questo semplice filtro verrà attivato da più di 50 richieste POST successive fatte da visitatori inumani (non browser) nell'arco di un minuto:
Rate> post-ip; 50 & ClientType! = Browser [Block Session]
Una volta attivato, tale regola può rispondere con un numero qualsiasi di azioni. In questo caso, la regola è impostata su [Block Session] che interromperà immediatamente la sessione. In alternativa, puoi impostare l'azione su [Mettere in guardia], che informerà in modo trasparente l'incidente con messaggi di posta elettronica e GUI.
Naturalmente, le soglie di velocità generiche possono interrompere l'esperienza dell'utente in modo improprio. Ad esempio, potresti voler limitare questo alla tua API e alle percentuali di richieste superiori al normale. Una cosa che puoi fare è modificare la sintassi della regola con [URL] filtro, per creare una regola che non verrà attivata dalle richieste POST agli URL dell'API:
Rate> post-ip; 50 & URL! = / Api & ClientType! = Browser [Block IP]
Quando si utilizzano più filtri con vari operatori logici (ad es. E / o più grandi / più piccoli di, ecc.) Per collegarsi tra loro, il set di filtri IncapRules offre combinazioni illimitate, consentendo di creare criteri di sicurezza personalizzati per ogni tipo di scenario.
Puoi saperne di più su IncapRules e sulla protezione dagli attacchi brute force qui, o sentiti libero di provarlo!
Spero ti piaccia imparare a conoscere la protezione DDoS di Incapsula. Quando ho provato a provare la soluzione Incapsula, sono rimasto davvero impressionato dalla semplice integrazione e dalla vasta gamma di potenti capacità protettive. Se la tua applicazione web potrebbe essere soggetta a attacchi su larga scala, le sue protezioni DDoS si dimostreranno incredibilmente preziose e convenienti.
Quindi, approfondirò approfonditamente Incapsula CDN & Optimizer, a partire dal piano gratuito, che include una rete di distribuzione dei contenuti, la minimizzazione, la compressione delle immagini, l'ottimizzazione TCP, il pre-pooling delle connessioni e molte altre funzionalità.
Non esitate a postare le vostre domande e commenti qui sotto. Puoi anche raggiungermi su Twitter @reifman o mandarmi un'email direttamente. Puoi anche sfogliare la pagina Tuts + istruttore per leggere le altre esercitazioni che ho scritto.
Accentsconagua