Share
Detta är den andra av en sponsrad, tredelad serie som täcker Incapsula prestanda och säkerhetstjänster. I del ett introducerade jag dig till Incapsula Website Security och gick igenom hur lätt det är att integrera din webbplats med sina system. Det tar bokstavligen bara några minuter och ger en otroligt bred uppsättning av sofistikerade skydd.
I denna handledning beskriver jag hur Incapsula-säkerhet kan skydda din Amazon Web Services-värdwebbplats (såväl som vilken som helst webbplats) från distribuerade denial of service attacks (DDoS).
I huvudsak är DDoS-attacker oftast en samordnad attack från tusentals kompromissade "zombie" -datorer mot ett visst mål - kanske din webbplats. Det är inte lätt att försvara sig mot dessa attacker. DDoS-attacker kan inte bara ta bort dina tjänster och förstöra dina kunders erfarenheter, men de kan också leda till stora bandbreddsöverlagringar och efterföljande utgifter.
I nästa och tredje avsnittet av den här serien fortsätter vi vidare till Incapsula CDN & Optimizer och andra funktioner som komprimering och bildoptimering. Det mesta av detta är tillgängligt gratis.
Incapsula är en sådan spännande och sofistikerad tjänst som jag hoppas övertyga de redaktionella gudarna på Tuts + för att låta mig skriva mer om det. Om du har några förfrågningar om framtida episoder i denna serie eller frågor och kommentarer om dagens, vänligen skicka dem nedan. Du kan också nå mig på Twitter @reifman eller maila mig direkt.
Som jag nämnde i del ett, när du anmäler dig till Incapsula, kommer din webbplats trafik att bli sömlöst dirigerad genom sitt globalt distribuerade nätverk av kraftfulla servrar. Din inkommande trafik profileras intelligent i realtid och blockerar de senaste webbenstrusarna (t.ex. SQL-injektionsattacker, skrapor, skadliga bots, kommentarspammare) och med planer på högre nivå som stämmer överens med DDoS-attacker. Samtidigt har din utgående trafik ökat med CDN & Optimizer. Många av dessa funktioner tillhandahålls gratis, och du kan prova allt utan kostnad under 14-dagars försök. Om du redan har fler frågor, kolla in Incapsula FAQs.
Enligt Imperva visar en ny branschstudie att cirka 75 procent av IT-beslutsfattare har drabbats av minst en DDoS under de senaste 12 månaderna och 31 procent rapporterade serviceavbrott som ett resultat av dessa attacker. "
Incapsula skyddar din webbplats fullständigt från alla tre typer av DDoS-attacker:
Incapsula skyddar din webbplats fullständigt från alla tre typer av DDoS-attacker:
Du kan mäta den finansiella skulden för DDoS-angrepp på ditt företag med Incapsula DDoS Downtime Cost Calculator:
Här visas exempel på mig med mina inställningar:
Med inkapseln Proffs planerar du att få en sofistikerad webbapplikationsvägg (WAF) och bakdörrskydd för att minimera ansvar och risk.
För skydd mot applikationslager DDoS-attacker behöver du Företag plan som börjar på 299 USD per plats per månad. De Företag planen erbjuder skydd mot nätverkslagangrepp.
Inkapsula DDoS-skydd fungerar om du värd din webbplats hos AWS eller någon webbhotell. Så här levereras de och vad de tillhandahåller:
Här är en karta över Incapsula-nätverkets globala datacenter:
Du kan se hur din faktiska besökare och DDoS-trafik hanteras av Incapsula innan de når din webbplats (ofta speglad av Incapsula för prestanda):
Det finns också filt DDoS-skydd för alla typer av tjänster (UDP / TCP, SMTP, FTP, SSH, VoIP, etc.) när du registrerar dig för infrastrukturskydd för en enskild IP-adress.
Individuellt IP-skydd gör det möjligt för användare att distribuera DDoS Protection för att försvara alla typer av miljöer, inklusive:
När du går med i denna tjänst kommer Incapsula att tilldela dig en IP-adress från vårt eget IP-sortiment för routing av trafik. En tunnel upprättas sedan mellan dina ursprungsservrar (eller routers / load balancers) och Incapsula-nätverket. En gång på plats används denna tunnel för att styra ren trafik från vårt nätverk till ditt ursprung och vice versa. Därefter sänder du de tilldelade IP-adresserna till dina användare via DNS, vilket gör dessa till dina nominella "ursprungsadresser".
Innan vi förklarar mer om Incapsula-fördelar för AWS-kunder, låt oss gå igenom mer om DDoS-attacker och nätverksterminologi.
Bilden nedan (från Wikipedia) visar hur en angripare använder ett otraceable nätverk av datorer och komprometterade "zombies" för att få en webbapplikation till knä:
Inkapsula DDoS-skydd fungerar på applikationen (Layer 7) och Network (Layers 3 och 4) i OSI-modellens sju lager. Här är Wikipedias guide till dessa lager för mer detaljer:
Medan det kan tyckas komplicerat är det i grunden de lager som DDoS-attacker använder, eftersom de är de som ansluter din webbplats till Internetanvändare och andra datorer på Internet.
Ur konceptuell synpunkt är Incapsula DDoS-skyddet baserat på en uppsättning koncentriska ringar runt applikationen, som alla filtrerar en annan del av trafiken. Var och en av dessa ringar i sig kan lätt omgå men arbetar i samförstånd stoppar de nästan all skadlig trafik. Medan vissa DDoS-attacker kan stoppas vid de yttre ringarna kan persistenta multi-vektorattacker endast stoppas genom att använda alla (eller de flesta) av dem.
Som sådan försvarar Incapsula mot alla typer av hackningsförsök och attacker, inklusive Open Web Application Security Project (OWASP), tio definierade hot:
Så här fungerar inkapsula-lösningen med fem ringar:
Ring 5: Klientklassificering vs Volumetrisk Layer 7 Attacks. I vissa fall kan angripare använda en volymetrisk applikationslagerattack (t.ex. HTTP-översvämning) som en distraktion avsedd att maskera andra mer riktade attacker. Incapsula använder klient klassificering för att identifiera och filtrera bort dessa bots genom att jämföra signaturer och undersöka olika attribut: IP och ASN info, HTTP headers, cookie support variationer, JavaScript fotavtryck och andra signaler. Incapsula skiljer mellan människor och bottrafik mellan "bra" och "dåliga" bots, och identifierar AJAX och API.
Ring 4: Besökare Whitelisting och rykte. Efter flaggning och blockering av den skadliga volymetriska trafiken delar Incapsula resten av webbplatstrafiken in i "grå" (misstänkt) och "vit" (legitima) besökare. Denna uppgift stöds av Incapsula reputation system.
Ring 3: Webapplikations-brandvägg för direktattackvektorer. Förutom att erbjuda DDoS-skydd innehåller Incapsula-lösningen en företagsvärd webbapplikationsbrandvägg (WAF) som skyddar webbplatser mot eventuella applikationslager, såsom SQL-injektion, cross-site scripting, otillåten resursåtkomst och fjärrfilintegration. WAF utnyttjar sofistikerad trafikinspektionsteknik och crowdsourcingteknik, i kombination med omfattande expertis som ger slutanvända applikationssäkerhet. Avancerade funktioner inkluderar en anpassad reglermotor (IncapRules, granskad nedan), skydd för bakdörrskal och integrerad tvåfaktorsautentisering (granskad i del ett.)
Ring 2: Progressiva utmaningar. Incapsula tillämpar en uppsättning progressiva utmaningar som är utformade för att säkerställa optimal balans mellan starkt DDoS-skydd och en oavbruten användarupplevelse. Tanken är att minimera falska positiva effekter genom att använda en uppsättning genomskinliga utmaningar (t.ex. cookie support, JavaScript-körning etc.) för att tillhandahålla identifieringen av klienten (mänsklig eller bot, "bra" eller "dålig").
Ring 1: Behandlingsanomalysdetektion. Inkapsel använder anomalitetsdetekteringsregler för att upptäcka möjliga förekomster av sofistikerade lag 7-attacker. Denna ring fungerar som ett automatiserat säkerhetsnät för att fånga attacker som kan ha gått igenom sprickorna.
Ring 0: Dedicated Security Team. I slutändan stöds din erfarenhet av Incapsula av Impervas team av erfarna säkerhetsoperatörer och 24x7 supportpersonal. De analyserar proaktivt programmets interna beteende och upptäcker oregelbunden användning innan ett problem blir utbredd.
Nedan reducerar Incapsula en 250GBps DDoS attack-en av Internetets största:
Dessutom är Incapsula Web Application Firewall PCI-certifierad (PCI skapades av globala kreditorganisationer som American Express, MasterCard och Visa):
PCI Security Standards Council är ett öppet globalt forum som lanserades 2006 och som ansvarar för utveckling, hantering, utbildning och medvetenhet om PCIs säkerhetsstandarder, inklusive datasäkerhetsstandard (PCI DSS) PA-DSS) och PIN Transaction Security (PTS) krav.
Naturligtvis implementeras DDoS Protection utanför ditt nätverk. Det innebär att endast filtrerad trafik når dina värdar - skyddar din investering i maskinvara, programvara och nätverksinfrastruktur samtidigt som du säkerställer kontinuiteten i ditt företag.
Oavsett om du är värd för din ansökan med AWS eller inte, spelar det ingen roll, eftersom DDaps skyddsfunktioner i Incapsula-lösningen skyddar din webbplats. Men om du är en AWS-kund, låt dig inte luras på att Amazon kommer att skydda dig fullt. Incapsula ger betydande ytterligare skydd.
Liksom de flesta värdplattformar är AWS inte en säkerhetsplattform. Medan det erbjuder grundläggande DDoS-begränsningsfunktioner, som SYN-cookies och anslutningsbegränsningar, är det inte byggt för att försvara värddatorer och applikationer. Om din webbserver träffas av en ansökan (lag 7) DDoS-attack kommer AWS inte att skydda dig. Ännu värre än, om du lider av ett massivt nätverk (lager 3 och 4) DDoS attack kommer du att debiteras för extra bandbredd och få en stor faktura i slutet av månaden. Den som har handlat med Amazon kundservice vet att det inte alltid är lätt att få återbetalningar.
Incapsula kompletterar AWS med sin molnbaserade DDoS-skyddstjänst. Den här tjänsten förbättrar AWS grundläggande säkerhetsfunktioner så att dina kritiska applikationer är fullt skyddade mot alla typer av DDoS-attacker.
Med hjälp av avancerad trafikinspektionsteknik identifierar Incapsula DDoS Protection for AWS automatiskt och reducerar det volymetriska nätverket (OSI-lager 3) och sofistikerad applikation (lager 7) DDoS-attacker - med noll affärsavbrott för användare.
Den kontinuerliga servicen säkerställer AWS-baserade webbplatser och applikationer mot alla typer av DDoS-attacker - från massiva volymetriska nätverk (OSI-lager 3 och 4) spärras till sofistikerade applikationer (lager 7) överfall. Automatisk detektering och genomskinlig lindring av DDoS-penetration minimerar falska positiva effekter, vilket garanterar en normal användarupplevelse, även vid angrepp.
Om du vill experimentera med Incapsula och AWS med ett exempel EC2-exempel och en enkel guide, följ min Tuts + installationsguide för WordPress i Amazon Cloud och använd sedan del en av denna serie för att registrera Incapsula och göra de enkla DNS-ändringarna att integrera den med din webbplats. Som jag beskriver i det avsnittet, tar resultaten snabbt och imponerande.
Naturligtvis, om du använder Amazons DNS-tjänst Route53, är det lika lätt att konfigurera din webbplats som jag beskrivit i del ett med min generiska DNS-tjänst.
Logga bara in på Route53-hanteringskonsolen och bläddra sedan till domänregistreringssätten. Från listan över poster väljer du den underdomän du lägger till Incapsula och redigerar posten i Ändra inspelningsuppsättning dialog.
Om du använder en CNAME ser det ut så här:
Om du använder en www. eller naken domän och en A-post, så ser den ut:
Om du föredrar bara ett visuellt genombrott, kolla in Incapsula demonstrationssidan och några av dessa utmärkta resurser om Incapsula DDoS-skydd för AWS.
För det första finns Incapsula DDoS Protection Overview (pdf) (skärmdump nedan):
Det finns också dessa användbara, detaljerade referenser:
Och det finns också en DDoS-målsida för generiska värdar (icke-AWS).
Inkapslingsservrar utför robust, djup paketinspektion för att identifiera och blockera skadliga paket baserat på de mest detaljerade detaljerna. Detta tillåter dem att omedelbart undersöka alla attribut för varje inkommande paket samtidigt som de betjänar hundratals gigabiter av trafik med en inlinjepris.
700+ Gbps Incapsula-nätverket av globala rengöringscentrum mildrar de största DDoS-attackerna, inklusive SYN-översvämning och DNS-förstärkningar, som kan överstiga 100 Gbps. Incapsula-nätverket skala efter behov för att motverka massiva volymetriska DDoS-attacker. Detta säkerställer att avlastning tillämpas utanför ditt eget nätverk, så att endast filtrerad trafik når dina värdar.
Snart kommer Incapsula att tillhandahålla det individuella IP-infrastrukturskydd som jag nämnde ovan för AWS-kunder. När du har konfigurerat kan du använda Amazons säkerhetsgrupper för att säkerställa att all extern trafik är begränsad till att härröra från insidan. Detta eliminerar utomstående angripare från att ignorera dina tjänster med inkapsula och attackera dig direkt. I huvudsak konfigurerar du bara säkerhetsgrupper för att begränsa med Incapsula-nätverkets IP-adresser.
Och ja, du kan fortfarande använda din CloudFront-domän för att betjäna statiska filer medan du använder Incapsula för DDoS-reduktion och AWSs Route 53 DNS.
Jag granskade de inledande elementen i detta i avsnitt 1; När din webbplats har konfigurerats ser du den listade på instrumentpanelen:
Incapsula Settings ger dig fullständig kontroll över dess många olika kraftfulla funktioner. Du kan se DDoS-konfigurationerna från Web Application Firewall (WAF) undermeny:
Därifrån kan du konfigurera beteendet hos din DDoS. Under Avancerade inställningar du kan instruera inkapsula när och hur man utmana misstänkta angripare:
Du kan också vitlista IP-adresser, webbadresser, vissa länder och mer:
Instrumentpanelen evenemang Området hjälper dig att filtrera, identifiera och börja reagera på attacker av alla slag, inklusive DDoS:
Med hjälp härifrån eller från dina egna specifikationer kan du konfigurera regler för att filtrera, varna dig och svara automatiskt på sådana typer av attacker. De kallas IncapRules. De IncapRules undermenyn ger fullständiga beskrivningar om hur man definierar mer detaljerade regler.
Lägga till och hantera Förteckning över regler är ganska lätt:
IncapRules kan du dra nytta av Incapsula-nätets hela utbud av kraftfulla trafikinspektionsförmågor. Med dem kan du skapa anpassad policy baserad på HTTP-rubrikinnehåll, geolokalisering och mycket mer.
IncapRules syntax bygger på beskrivande namngivna "Filters" och en uppsättning logikoperatörer. Kombinerade dessa används för att bilda en säkerhetsregel (a.k.a. "Trigger") som leder till en av de fördefinierade "Åtgärderna". Här är några exempel:
I den här bilden konfigurerar vi en regel för att kräva cookies om mer än 50 sessioner är aktiva samtidigt som högre aktivitet från specifika IP-adresser eller Google Search-robotar.
För att motverka brutta våldsattacker kan du distribuera en relativt enkel regel, för att begränsa antalet efterföljande POST-förfrågningar till din inloggningssida. Till exempel kommer det här enkla filtret att utlösas av mer än 50 efterföljande POST-förfrågningar gjorda av omänskliga (icke-webbläsare) besökare inom en minuts spann:
Betygsätt> post-ip; 50 & ClientType! = Browser [Block Session]
När en sådan utlösning har aktiverats kan en sådan regel reagera med ett antal åtgärder. I det här fallet är regeln inställd på [Block Session] som omedelbart avslutar sessionen. Alternativt kan du ställa in åtgärden [Varna], som öppet meddelar dig om händelsen med e-post och GUI-meddelanden.
Givetvis kan generiska hastighetsgränser stör användarupplevelsen felaktigt. Du kan till exempel begränsa detta till dina API och högre än normala begäran. En sak du kan göra är att tweak regelsyntaxen med [URL] filtrera, för att skapa en regel som inte kommer att utlösas av POST-förfrågningar till API-webbadresser:
Betygsätt> post-ip; 50 & URL! = / Api & ClientType! = Browser [Block IP]
När du använder flera filter med olika logiska operatörer (t.ex. och / eller, större / mindre än, och etc.) för att länka emellan, erbjuder IncapRules-filteruppsättningen gränslösa kombinationer, vilket gör att du skapar anpassad säkerhetspolicy för varje typ av scenario.
Du kan lära dig mer om IncapRules och skydd mot brutta kraftattacker här, eller gärna prova!
Jag hoppas att du gillar att lära dig om Incapsula DDoS Protection. När jag gav Incapsula-lösningen ett försök, blev jag grundligt imponerad av den enkla integrationen och ett brett utbud av kraftfulla skyddsfunktioner. Om ditt webbplatsprogram kan vara mottagligt för storskaliga attacker, kommer dess DDoS-skydd att visa sig otroligt värdefullt och kostnadseffektivt.
Därefter dyker jag djupt in i Incapsula CDN & Optimizer, som börjar med den fria planen, som innehåller ett innehållsleveransnätverk, minimering, bildkomprimering, TCP optimering, anslutningsförbassning och många fler funktioner.
Var snäll och posta dina frågor och kommentarer nedan. Du kan också nå mig på Twitter @ reifman eller maila mig direkt. Du kan även bläddra i min Tuts + instruktörssida för att läsa de andra handledningarna jag har skrivit.
Accentsconagua