Skip to content

Сетевая безопасность

Приложение Firewall предоставляет только базовый уровень защиты для экземпляров виртуальных машин.

В производственной среде могут возникать сложные угрозы безопасности для всей инфраструктуры аккаунта, такие как DDoS-атаки, атаки перебора паролей и уязвимости нулевого дня в приложениях, доступных через Интернет. Поэтому администратор аккаунта может решить, что для предотвращения этих угроз требуются более продвинутые инструменты и методы.

Защита от DDoS

Каждая локация предоставляет ограниченную пропускную способность интернет-соединения для аккаунта.
DDoS-атака объемного типа может использовать всю доступную пропускную способность неожиданным трафиком от ботнетов, что приведет к отказу в обслуживании обычного трафика законных пользователей.

В настоящее время мы рекомендуем использовать сторонних провайдеров услуг защиты от DDoS, которые имеют большую сеть центров обработки данных, чтобы справиться с неожиданным трафиком и фильтровать его.

Рекомендуемый провайдер

Мы рекомендуем использовать хорошо известного и проверенного поставщика защиты от DDoS - Cloudflare.
У этого поставщика есть бесплатный план и защита от DDoS включена по умолчанию.

Обычно наилучший вариант — настроить полное управление DNS провайдером, где DNS-домен переносится на серверы имен поставщика защиты от DDoS.
Эти серверы имен разрешают запрашиваемые доменные имена на разные IP-адреса по всему миру, чтобы распределить и отфильтровать трафик на серверах провайдера перед тем, как трафик достигнет IP-адреса реального сервера, где работает приложение.

Для защиты веб-сайтов, которые используют приложение LoadBalancer (ALB), создайте в интерфейсе защиты от DDoS запись CNAME, указывающую на имя хоста ALB:

ACC.alb.LOC.icdc.io

Этот метод защиты от DDoS эффективен только в том случае, если IP-адрес реального сервера приложения сохраняется в секрете. Существует множество сервисов безопасности, которые отслеживают историю изменения DNS-записей и могут раскрыть IP-адрес сервера приложения, позволяя злоумышленнику узнать этот IP-адрес, обходя защиту от DDoS.
Поэтому рассмотрите возможность изменения основного IP-адреса аккаунта после настройки защиты от DDoS для защиты местонахождения реального сервера.

Брандмауэр веб-приложений

Еще одной угрозой являются попытки взлома через атаки грубой силы или эксплуатацию уязвимостей в приложениях.
Обычно такие атаки имеют характерные шаблоны, такие как SQL-инъекции (например, ' or '1'='1) или XSS-атаки (например, JS-код '><script>...).
Кроме того, у вашей организации могут быть специфические требования к блокировке пользователей из определенных стран или IP-подсетей.

Такие атаки могут отслеживаться и предотвращаться брандмауэром веб-приложений (WAF), который может распознавать эти шаблоны и предотвращать вредоносный доступ к приложениям в вашем аккаунте.

В настоящее время платформа не предоставляет встроенный брандмауэр веб-приложений. Поэтому мы рекомендуем настроить собственное решение WAF на виртуальной машине или использовать сторонние сервисы.

Рекомендуемый провайдер

Мы рекомендуем использовать функционал WAF провайдера Cloudflare.
У этого поставщика есть бесплатный план, который позволяет настроить до 5 правил брандмауэра веб-приложений.

Пример пользовательского правила брандмауэра веб-приложений, блокирующего пользователей по стране, настроенного на сервисе WAF от Cloudflare: