Чек-лист: как правильно выбрать поставщика защиты от DDoS

Чек-лист: как правильно выбрать поставщика защиты от DDoS

Привет, это DDoS-Guard. Мы специализируемся на безопасном хостинге и киберзащите на всех основных уровнях системы OSI. В предыдущих статьях на SecurityLab мы рассказывали, какие меры предпринять в процессе , если на ваш сайт уже происходит атака, и как разобраться с последствиями такого инцидента.

Сегодня мы завершаем эту трилогию советами, как грамотно выбрать провайдера услуг по защите от DDoS.

Используйте приведенный ниже чек-лист, когда будете сравнивать услуги различных компаний между собой. Грамотно выбранная защита от DDoS-атак может стать гарантией бесперебойной работы для вашей организации.


Критерий №1: емкость сети

Какую емкость сети (network capacity) предлагает поставщик услуг по защите от DDoS? От нее прямо пропорционально зависит объем ресурсов, который будет доступен для отражения нападения.

Условно говоря, сеть со скоростью 1 Тбит/с (терабит в секунду) теоретически может блокировать сопоставимый объем атакующего трафика за вычетом пропускной способности для поддержания нормальной работы сайта.

Чем больше емкость сети — тем лучше.


Критерий №2: модель развертывания

Существуют два основных типа сервисов защиты от DDoS: они базируются либо на облачном решении, либо на локальном развертывании (on-premise solution).

Ключевые особенности каждого из решений

Локальное развертывание

Облачные решения

  • Более контролируемо в части поведения;

  • За его работой нужно следить в ручном режиме, своевременно уделяя внимание изменившимся угрозам;

  • Применимо в ограниченном количестве случаев, когда DDoS-атака производится именно на сервис и ставит целью нарушить функционирование конечного ресурса, например, перегрузив какой-то из ресурсов атакуемого сервера — ЦП, память, базы данных;

  • Неэффективно против волюметрических DDoS-атак, так как для их отражения не хватает мощностей оборудования.

  • Успешно справляются с волюметрическими атаками, располагая для этого достаточными ресурсами;

  • Обслуживаются профессионалами, у которых это основная деятельность, поэтому такие решения лучше обеспечивают защиту при меняющихся векторах атак, быстрее реагируют на появление новых типов атак;

  • Позволяют не перегружать каналы провайдеров последней мили, что избавляет от необходимости разбирательств с провайдерами на предмет перегрузки их инфраструктуры из-за атак;

  • Не используют механизмы типа blackhole для борьбы с атаками, сайт остается доступен для посетителей.

Рекомендуется отдавать предпочтение именно решениям «в облаке», варианты «на земле» перед выбором стоит тщательно изучить на предмет технических характеристик и предоставляемых гарантий безопасности.


Критерий №3: скорость обработки данных

Помимо пропускной способности обратите внимание на возможности потенциального провайдера по обработке данных (processing capacity). Она измеряется в Mpps (миллионах пакетов в секунду).

DDoS-атаки становятся мощнее с каждым годом, сейчас не редкость атаки в 50 млн Mpps, а самые разрушительные инциденты такого рода измеряются в 200–300 млн Mpps.

Если скорость пересылки пакетов в ходе атаки будет превышать возможности провайдера их обработать — защита от DDoS может оказаться неэффективной, и веб-ресурс станет недоступен. Ориентируйтесь на приведенные выше цифры как на минимум, от которого стоит отталкиваться при выборе.

Обратите внимание также на наличие маршрутизации DNS или BGP у провайдера и режим, в котором она работает (включается по требованию или функционирует постоянно). Первый тип маршрутизации поможет в защите от атак на прикладном и сетевом уровнях, второй более универсален и может защитить от практически любого типа атак, перенаправив атакующий трафик на фильтрационный узел.


Критерий №4: постоянство защиты

Есть два основных варианта предоставления услуг по защите от DDoS: включение по факту атаки, либо непрерывный контроль ресурса. В первом случае происходит переключение входящего трафика на ресурсы провайдера только после начала DDoS-атаки.  Во втором случае — даже в «мирное время» запросы постоянно обрабатываются на уже защищенном оборудовании.

Вариант с постоянной защитой более предпочтителен, так как гарантирует фоновую безопасность, отказоустойчивость ресурса и отсутствие задержки между началом атаки и переключением трафика в защищенный режим.


Критерий №5: защищенность всех уровней

DDoS-атаки могут быть организованы на различных уровнях по системе OSI. Убедитесь, что выбранный вами провайдер сможет обеспечить защиту сайта в случае как сетевых атак (L3-4), так и атак на уровне приложений (L7). Последний тип может быть замаскирован под легитимные пользовательские запросы, поступающие в аномальном объеме.

Поставщик услуг безопасности должен уметь производить тонкую фильтрацию входящего трафика, отделяя реальные запросы от посетителей от ботов,в том числе по мгновенному анализу особенностей их поведения.

Подведем итоги

Выбор провайдера для защиты от DDoS — важнейший шаг, к которому нужно подходить ответственно.

Правильно выбранный поставщик услуг безопасности позволит вам сосредоточиться непосредственно на своей работе, не беспокоясь о работоспособности сайта. Неправильно выбранный — может устроить «сюрприз» в самый неподходящий момент. Используйте наш чеклист как референс для проверки основных критериев защиты провайдера.

А если вы уже сделали свой выбор, приглашаем вас прочитать статью в нашем блоге с подробным рассказом о том, как проверить провайдера защиты на устойчивость к DDoS-атакам.

DDoS-Guard DDoS-атаки защита от DDoS-атак
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь

DDoS-Guard

Российский сервис защиты от DDoS-атак