Share
Dit is de tweede van een gesponsorde driedelige serie over Incapsula-prestaties en beveiligingsservices. In deel een heb ik u kennis laten maken met Incapsula Website Security en heb ik doorgenomen hoe gemakkelijk het is om uw website te integreren met zijn systemen - het kost letterlijk slechts enkele minuten en biedt een ongelooflijk breed scala aan geavanceerde beveiligingen.
In deze zelfstudie zal ik beschrijven hoe Incapsula-beveiliging uw Amazon Web Services-gehoste website (evenals elke website) kan beschermen tegen gedistribueerde denial of service-aanvallen (DDoS).
In wezen zijn DDoS-aanvallen meestal een gecoördineerde aanval van duizenden gecompromitteerde 'zombie'-computers tegen een specifiek doelwit, misschien uw website. Het is niet gemakkelijk om je te verdedigen tegen deze aanvallen. DDoS-aanvallen kunnen niet alleen uw diensten afdoen en de ervaring van uw klanten bederven, maar ze kunnen ook leiden tot grote bandbreedte-overschotten en latere uitgaven.
In de volgende en derde aflevering van deze serie gaan we verder met Incapsula CDN & Optimizer en andere functies zoals compressie en beeldoptimalisatie - het meeste hiervan is gratis beschikbaar.
Incapsula is zo'n intrigerende en geavanceerde service dat ik de redactiegoden bij Tuts + ervan wil overtuigen om er meer over te schrijven. Als u verzoeken voor toekomstige afleveringen in deze serie hebt of vragen en opmerkingen over deze dag, kunt u deze hieronder vermelden. Je kunt me ook op Twitter bereiken @reifman of email mij direct.
Zoals ik in deel één al heb vermeld, wordt het verkeer van uw website naadloos door het wereldwijd gedistribueerde netwerk van krachtige servers geleid wanneer u zich aanmeldt voor Incapsula. Uw inkomende verkeer wordt in realtime intelligent geprofileerd, waardoor de nieuwste webbedreigingen worden geblokkeerd (zoals aanvallen met SQL-injectie, scrapers, kwaadwillende bots, spammers die opmerkingen plaatsen) en plannen van een hoger plan, die DDoS-aanvallen tegenwerken. Ondertussen wordt uw uitgaande verkeer versneld met CDN & Optimizer. Veel van deze functies worden gratis aangeboden en u kunt het allemaal gratis proberen tijdens hun 14-daagse proeven. Als u al meer vragen heeft, raadpleegt u de veelgestelde vragen over Incapsula.
Volgens Imperva "toonde een recente industrie-studie aan dat ongeveer 75% van de IT-besluitvormers in de afgelopen 12 maanden minstens één DDoS hebben gehad en 31% meldde dat de service het gevolg was van deze aanvallen."
Incapsula beschermt uw website volledig tegen alle drie soorten DDoS-aanvallen:
Incapsula beschermt uw website volledig tegen alle drie soorten DDoS-aanvallen:
U kunt de financiële aansprakelijkheid van een DDoS-aanval op uw bedrijf meten met de Incapsula DDoS Downtime kostencalculator:
Hier zijn voorbeeldresultaten weergegeven met mijn instellingen:
Met de Incapsula Pro plan, krijgt u een geavanceerde Web Application Firewall (WAF) en backdoor-beveiligingen om aansprakelijkheid en risico's te minimaliseren.
Voor bescherming tegen applicatielaag DDoS-aanvallen heeft u de Bedrijf plan dat begint bij $ 299 per site per maand. De Onderneming plan biedt bescherming tegen netwerklaagaanvallen.
Incapsula DDoS-beveiligingen werken ongeacht of u uw website host bij AWS of een webhost. Dit is hoe ze worden geleverd en wat ze bieden:
Hier is een kaart van de wereldwijde datacenters van het Incapsula-netwerk:
U kunt zien hoe uw werkelijke bezoekers en DDoS-verkeer worden beheerd door Incapsula voordat ze uw website bereiken (vaak gespiegeld door Incapsula voor prestaties):
Er is ook algemene DDoS-beveiliging voor alle soorten services (UDP / TCP, SMTP, FTP, SSH, VoIP, enz.) Wanneer u zich aanmeldt voor infrastructuurbescherming voor een individueel IP-adres.
Individuele IP-bescherming stelt gebruikers in staat om DDoS Protection in te zetten om alle soorten omgevingen te verdedigen, waaronder:
Wanneer u zich bij deze service aansluit, wijst Incapsula u een IP-adres toe uit ons eigen IP-bereik voor het routeren van verkeer. Vervolgens wordt een tunnel gemaakt tussen uw oorspronkelijke servers (of routers / load balancers) en het Incapsula-netwerk. Eenmaal op zijn plaats wordt deze tunnel gebruikt om schoon verkeer van ons netwerk naar uw herkomst te routeren en omgekeerd. Vervolgens zendt u de toegewezen IP-adressen via DNS naar uw gebruikers, waardoor deze uw nominale "oorsprong" -adressen worden.
Voordat we meer uitleg geven over de voordelen van Incapsula voor AWS-klanten, zullen we eerst wat meer over DDoS-aanvallen en netwerkterminologie bekijken.
De onderstaande afbeelding (uit Wikipedia) laat zien hoe een aanvaller een niet-traceerbaar netwerk van computers en besmette "zombies" gebruikt om een webtoepassing op de knieën te krijgen:
Incapsula DDoS-beveiligingen werken op de toepassing (laag 7) en netwerk (lagen 3 en 4) van de zeven lagen van het OSI-model. Hier is de Wikipedia-gids voor deze lagen voor meer detail:
Hoewel het complex lijkt, zijn dit in essentie de lagen die DDoS-aanvallen gebruiken, omdat dit degenen zijn die uw website verbinden met internetgebruikers en andere computers op internet..
Vanuit een conceptueel standpunt is Incapsula DDoS-bescherming gebaseerd op een reeks concentrische ringen rond de toepassing, die elk een ander deel van het verkeer filteren. Elk van deze ringen op zich kan gemakkelijk worden omzeild; echter, samen werken ze stoppen bijna alle kwaadaardige verkeer. Hoewel sommige DDoS-aanvallen kunnen worden gestopt bij de buitenste ringen, kunnen aanhoudende multi-vectoraanvallen alleen worden gestopt door alle (of de meeste) aanvallen te gebruiken.
Als zodanig verdedigt Incapsula tegen allerhande hackpogingen en -aanvallen, waaronder Open Web Application Security Project (OWASP) top tien gedefinieerde bedreigingen:
Dit is hoe de Incapsula-oplossing met vijf ringen werkt:
Ring 5: Client-classificatie versus volumetrische laag 7-aanvallen. In sommige gevallen kunnen aanvallers een volumetrische toepassingslaagaanval (bijvoorbeeld HTTP-flood) gebruiken als een afleiding die bedoeld is om andere meer gerichte aanvallen te maskeren. Incapsula gebruikt clientclassificatie om deze bots te identificeren en uit te filteren door handtekeningen te vergelijken en verschillende kenmerken te onderzoeken: IP- en ASN-informatie, HTTP-headers, variaties in cookiesteun, JavaScript-voetafdruk en andere veelbetekenende tekens. Incapsula maakt onderscheid tussen mensen- en botverkeer, tussen 'goede' en 'slechte' bots en identificeert AJAX en API's.
Ring 4: Whitelisting voor bezoekers en reputatie. Na het markeren en blokkeren van het schadelijke volumetrisch verkeer verdeelt Incapsula de rest van het websiteverkeer in "grijze" (verdachte) en "witte" (legitieme) bezoekers. Deze taak wordt ondersteund door het reputatiesysteem Incapsula.
Ring 3: Web Application Firewall for Direct Attack Vectors. Naast het aanbieden van DDoS-bescherming, bevat de Incapsula-oplossing een enterprise-grade Web Application Firewall (WAF) die websites beschermt tegen elke applicatielaagbedreiging, zoals SQL-injectie, cross-site scripting, illegale toegang tot bronnen en integratie van externe bestanden. WAF maakt gebruik van geavanceerde verkeersinspectie-technologie en crowdsourcingtechnieken, gekoppeld aan uitgebreide expertise die end-to-end applicatiebeveiliging biedt. Geavanceerde functies omvatten een engine voor aangepaste regels (IncapRules, hieronder besproken), backdoor-shell-bescherming en geïntegreerde twee-factorenauthenticatie (besproken in deel een.)
Ring 2: Progressive Challenges. Incapsula past een reeks progressieve uitdagingen toe die zijn ontworpen om de optimale balans te verzekeren tussen een sterke DDoS-beveiliging en een ononderbroken gebruikerservaring. Het idee is om foutpositieven te minimaliseren door een reeks transparante uitdagingen te gebruiken (bijvoorbeeld cookie-ondersteuning, JavaScript-uitvoering, enz.) Om de klant op een exacte manier te identificeren (mens of bot, "goed" of "slecht").
Ring 1: detectie van gedragsanomalieën. Incapsula gebruikt regels voor anomaliedetectie om mogelijke instanties van geavanceerde Layer 7-aanvallen te detecteren. Deze ring fungeert als een geautomatiseerd vangnet om aanvallen te vangen die mogelijk door de kloven zijn geglipt.
Ring 0: toegewijd beveiligingsteam. Uiteindelijk wordt uw ervaring met Incapsula ondersteund door het Imperva-team van ervaren Security Operations Center-professionals en 24x7 ondersteunend personeel. Ze analyseren proactief het interne gedrag van de toepassing en detecteren onregelmatig gebruik voordat een probleem wijdverspreid wordt.
Hieronder compenseert Incapsula een DDoS-aanval van 250 GBps, een van de grootste internetinternetten:
Bovendien is de Incapsula Web Application Firewall PCI-gecertificeerd (PCI is gemaakt door wereldwijde kredietorganisaties zoals American Express, MasterCard en Visa):
De PCI Security Standards Council is een open wereldwijd forum, gelanceerd in 2006, dat verantwoordelijk is voor de ontwikkeling, het beheer, het onderwijs en de bekendheid met de PCI-beveiligingsnormen, inclusief de gegevensbeveiligingsstandaard (PCI DSS), betaalapplicatie voor gegevensbeveiliging ( PA-DSS) en vereisten voor PIN Transaction Security (PTS).
Uiteraard is DDoS Protection buiten uw netwerk geïmplementeerd. Dit betekent dat alleen gefilterd verkeer uw hosts bereikt: uw investering in hardware, software en netwerkinfrastructuur beschermen en tegelijkertijd de continuïteit van uw bedrijf waarborgen.
Het maakt niet uit of u uw toepassing host met AWS of niet, omdat de DDoS-beveiligingsmogelijkheden van de Incapsula-oplossing uw website beschermen. Maar als u een AWS-klant bent, laat u dan niet misleiden door te denken dat Amazon u volledig zal beschermen - Incapsula biedt aanzienlijke extra bescherming.
Zoals de meeste hostingplatforms, is AWS geen beveiligingsplatform. Hoewel het eenvoudige DDoS-beperkingsmogelijkheden biedt, zoals SYN-cookies en verbindingsbeperkingen, is het niet bedoeld om gehoste servers en applicaties te beschermen. Als uw webserver wordt geraakt door een toepassing (laag 7) DDoS-aanval, zal AWS u niet beschermen. Erger nog, als je last hebt van een gigantisch netwerk (lagen 3 en 4) die DDoS aanvallen, zal je de extra bandbreedte in rekening worden gebracht en aan het einde van de maand een enorme rekening ontvangen. Iedereen die de klantenservice van Amazon heeft behandeld, weet dat het niet altijd gemakkelijk is om geld terug te krijgen.
Incapsula vult AWS aan met zijn cloudgebaseerde DDoS-beveiligingsservice. Deze service verbetert de basisbeveiligingsmogelijkheden van AWS, zodat uw kritieke applicaties volledig beschermd zijn tegen alle soorten DDoS-aanvallen.
Met geavanceerde technologie voor verkeersinspectie detecteert en compenseert Incapsula DDoS Protection voor AWS automatisch volumetrisch netwerk (OSI-laag 3) en geavanceerde applicatie (laag 7) DDoS-aanvallen - zonder bedrijfsonderbrekingen voor gebruikers.
De always-on-service beveiligt op AWS-gebaseerde websites en applicaties tegen alle soorten DDoS-aanvallen - van massale volumetrische netwerkstormen (OSI-lagen 3 en 4) tot geavanceerde applicatie (laag 7) aanvallen. Automatische detectie en transparante beperking van DDoS-penetraties minimaliseren valse positieven, waardoor een normale gebruikerservaring wordt gegarandeerd, zelfs bij een aanval.
Als u wilt experimenteren met Incapsula en AWS met een voorbeeld EC2-exemplaar en een eenvoudige handleiding, volgt u mijn Tuts + installatiehandleiding voor WordPress in de Amazon Cloud en gebruikt u deel een van deze serie om u aan te melden voor Incapsula en de eenvoudige DNS-wijzigingen aan te brengen om het te integreren met uw website. Zoals ik in die aflevering beschrijf, hebben de resultaten snel en indrukwekkend invloed.
Natuurlijk, als je Amazon's DNS-service Route53 gebruikt, is het net zo eenvoudig om je site te configureren als ik heb beschreven in deel één met mijn generieke DNS-service.
Meld u aan bij de Route53-beheerconsole en blader vervolgens naar uw domeinrecords. Selecteer in de lijst met records het subdomein dat u aan Incapsula toevoegt en bewerk het record in de Record set bewerken dialoog.
Als u een CNAME gebruikt, ziet het er als volgt uit:
Als u een www gebruikt. of naakt domein en een A-record, ziet het er als volgt uit:
Als u alleen een visuele uitleg wilt, bekijk dan de Incapsula demonstratie-site en enkele van deze uitstekende bronnen over Incapsula DDoS-beveiligingen voor AWS.
Ten eerste is er het Incapsula DDoS Protection Overview (pdf) (screenshot hieronder):
Er zijn ook deze nuttige, gedetailleerde referenties:
En er is ook een DDoS-bestemmingspagina voor generieke hosts (niet-AWS).
Incapsula-servers voeren een robuuste, diepgaande pakketinspectie uit om kwaadwillende pakketten te identificeren en te blokkeren op basis van de meest gedetailleerde details. Hierdoor kunnen ze onmiddellijk alle kenmerken van elk binnenkomend pakket onderzoeken, terwijl ze tegelijkertijd honderden gigabytes aan verkeer serveren met een inline-snelheid.
Het Incapsula-netwerk van meer dan 700 Gbps van wereldwijde scrubcentra verzacht de grootste DDoS-aanvallen, waaronder SYN-flood en DNS-amplificaties, die meer dan 100 Gbps kunnen bedragen. Het Incapsula-netwerk wordt op aanvraag geschaald om massale volumetrische DDoS-aanvallen tegen te gaan. Dit zorgt ervoor dat mitigatie buiten uw eigen netwerk wordt toegepast, waardoor alleen gefilterd verkeer uw hosts kan bereiken.
Binnenkort zal Incapsula de individuele IP-infrastructuurbescherming bieden die ik hierboven noemde voor AWS-klanten. Eenmaal geconfigureerd, kunt u de beveiligingsgroepen van Amazon gebruiken om ervoor te zorgen dat al het externe verkeer wordt beperkt door Incapsula. Dit elimineert externe aanvallers van het negeren van uw diensten met Incapsula en valt u rechtstreeks aan. In feite configureert u alleen beveiligingsgroepen om te beperken door het IP-adres van het Incapsula-netwerk.
En ja, u kunt nog steeds uw CloudFront-domein gebruiken voor het weergeven van statische bestanden terwijl u Incapsula voor DDoS-beperking en AWS Route 53 DNS gebruikt.
Ik heb de eerste elementen hiervan in aflevering één besproken; Zodra uw site is geconfigureerd, wordt deze weergegeven op het dashboard:
De Incapsula-instellingen bieden u volledige controle over de grote verscheidenheid aan krachtige functies. U kunt de DDoS-configuraties zien vanaf de Web Application Firewall (WAF) submenu:
Van daaruit kunt u het gedrag van uw DDoS configureren. Onder Geavanceerde instellingen je kunt Incapsula laten weten wanneer en hoe je verdachte aanvallers kunt uitdagen:
U kunt ook IP-adressen, URL's, bepaalde landen en meer op de witte lijst plaatsen:
Het dashboard Evenementen gebied helpt u bij het filteren, identificeren en beginnen reageren op allerlei soorten aanvallen, inclusief DDoS:
Met hulp van hier of van uw eigen specificaties, kunt u regels configureren om te filteren, u te waarschuwen en automatisch te reageren op dit soort aanvallen. Ze worden IncapRules genoemd. De IncapRules submenu biedt volledige beschrijvingen over het definiëren van meer gedetailleerde regels.
Toevoegen en beheren van de Lijst met regels is vrij eenvoudig:
Met IncapRules profiteert u van het volledige scala aan krachtige mogelijkheden voor verkeersinspectie van het Incapsula-netwerk. Daarmee kunt u aangepast beleid maken op basis van HTTP-headerinhoud, geolocatie en nog veel meer.
IncapRules-syntaxis is afhankelijk van beschrijvende 'Filters' en een reeks logische operatoren. Gecombineerd worden deze gebruikt om een beveiligingsregel (a.k.a. 'Trigger') te vormen die leidt naar een van de vooraf gedefinieerde 'Acties'. Hier zijn een paar voorbeelden:
In deze afbeelding configureren we een regel om cookies te vereisen als er meer dan 50 sessies actief zijn, terwijl we hogere activiteit toestaan van specifieke IP-adressen of Google Zoeken-bots.
Om brute force-aanvallen tegen te gaan, kun je een relatief eenvoudige regel implementeren om het aantal volgende POST-verzoeken tot je inlogpagina te beperken. Dit eenvoudige filter zal bijvoorbeeld worden geactiveerd door meer dan 50 opeenvolgende POST-verzoeken die door onmenselijke (niet-browser) bezoekers binnen een tijdspanne van een minuut worden gedaan:
Tarief> post-ip; 50 & ClientType! = Browser [Blok sessie]
Eenmaal geactiveerd, kan een dergelijke regel reageren met een willekeurig aantal acties. In dit geval is de regel ingesteld op [Blok sessie] die de sessie onmiddellijk zal beëindigen. Als alternatief kunt u de actie instellen op [Alert], die u transparant op de hoogte stelt van het incident met e-mail en GUI-berichten.
Uiteraard kunnen generieke frequentiedrempels de gebruikerservaring verkeerd beïnvloeden. U kunt dit bijvoorbeeld beperken tot uw API en hoger-dan-normale aanvraagpercentages. Een ding dat u kunt doen is de syntaxis van de regel aanpassen met de [URL] filter, om een regel te maken die niet wordt geactiveerd door POST-aanvragen voor API-URL's:
Tarief> post-ip; 50 & URL! = / Api & ClientType! = Browser [IP blokkeren]
Wanneer u meerdere filters gebruikt met verschillende logische operatoren (bijvoorbeeld en / of, groter / kleiner dan, en, etc.) om ze te koppelen, biedt de IncapRules-filterset onbeperkte combinaties, zodat u voor elk type scenario een aangepast beveiligingsbeleid kunt maken.
Je kunt hier meer te weten komen over IncapRules en bescherming tegen brute force-aanvallen, of je kunt het gerust proberen!
Ik hoop dat je het leuk vindt om meer te weten te komen over Incapsula DDoS Protection. Toen ik de Incapsula-oplossing eens probeerde, was ik diep onder de indruk van de eenvoudige integratie en het brede scala aan krachtige beschermende mogelijkheden. Als uw websitetoepassing vatbaar is voor grootschalige aanvallen, zullen de DDoS-beveiligingen ongelooflijk waardevol en kostenefficiënt zijn.
Vervolgens zal ik diep ingaan op Incapsula CDN & Optimizer, te beginnen met het gratis plan, dat een netwerk voor de levering van inhoud, minimalisatie, beeldcompressie, TCP-optimalisatie, Pre-pooling van verbindingen en nog veel meer functies omvat..
Aarzel niet om uw vragen en opmerkingen hieronder te plaatsen. Je kunt me ook bereiken via Twitter @reifman of mij rechtstreeks een e-mail sturen. Je kunt ook op mijn Tuts + instructeurpagina bladeren om de andere tutorials te lezen die ik heb geschreven.
Accentsconagua