Share
Este es el segundo de una serie de tres partes patrocinada que cubre los servicios de seguridad y rendimiento de Incapsula. En la primera parte, le presenté a Incapsula Website Security y le expliqué lo fácil que es integrar su sitio web con sus sistemas: literalmente toma solo unos minutos y proporciona un conjunto increíblemente amplio de sofisticadas protecciones..
En este tutorial, describiré cómo la seguridad de Incapsula puede proteger su sitio web hospedado por Amazon Web Services (así como cualquier otro sitio web) de ataques distribuidos de denegación de servicio (DDoS).
Esencialmente, los ataques DDoS son a menudo un ataque coordinado de miles de computadoras "zombies" comprometidas contra un objetivo específico, tal vez su sitio web. No es fácil defenderse contra estos ataques. Los ataques DDoS no solo pueden acabar con sus servicios y arruinar la experiencia de sus clientes, sino que también pueden provocar enormes excesos de ancho de banda y gastos posteriores..
En el siguiente y tercer episodio de esta serie, pasaremos a Incapsula CDN & Optimizer y otras características como la compresión y la optimización de la imagen. La mayor parte de esto está disponible de forma gratuita..
Incapsula es un servicio tan intrigante y sofisticado que espero convencer a los dioses editoriales de Tuts + para que me permitan escribir más sobre esto.. Si tiene solicitudes para futuros episodios en esta serie o preguntas y comentarios de hoy, por favor publíquelos a continuación. También puedes contactarme en Twitter. @reifman o envíeme un correo electrónico directamente.
Como mencioné en la primera parte, cuando se registre en Incapsula, el tráfico de su sitio web se enrutará sin problemas a través de su red de servidores potentes distribuida globalmente. Su tráfico entrante se perfila de manera inteligente en tiempo real, bloqueando las amenazas web más recientes (por ejemplo, ataques de inyección SQL, raspadores, robots maliciosos, spammers de comentarios) y, con planes de mayor nivel, frustra los ataques DDoS. Mientras tanto, su tráfico de salida se acelera con CDN y Optimizer. Muchas de estas funciones se proporcionan de forma gratuita, y puede probarlas sin costo alguno durante sus pruebas de 14 días. Si ya tiene más preguntas, consulte las preguntas frecuentes de Incapsula.
Según Imperva, "un estudio reciente de la industria mostró que alrededor del 75% de los responsables de la toma de decisiones de TI han sufrido al menos un DDoS en los últimos 12 meses, y el 31% informó sobre la interrupción del servicio como resultado de estos ataques".
Incapsula protege su sitio web de los tres tipos de ataques DDoS:
Incapsula protege su sitio web de los tres tipos de ataques DDoS:
Puede medir la responsabilidad financiera de un ataque DDoS en su empresa con la Calculadora de costos de tiempo de inactividad DDoS de Incapsula:
Aquí están los resultados de muestra que me muestran con mi configuración:
Con la incapsula Pro plan, obtendrá un sofisticado servidor de seguridad de aplicaciones web (WAF) y protecciones de puerta trasera para minimizar la responsabilidad y el riesgo.
Para la protección contra ataques DDoS de la capa de aplicación, necesitará la Negocio plan que comienza en $ 299 por sitio por mes. los Empresa plan ofrece protección contra ataques de capa de red.
Las protecciones DDoS de Incapsula funcionarán si usted hospeda su sitio web en AWS o en cualquier host web. Aquí es cómo se entregan y lo que proporcionan:
Aquí hay un mapa de los centros de datos globales de la red Incapsula:
Puede ver cómo sus visitantes reales y el tráfico DDoS son gestionados por Incapsula antes de que lleguen a su sitio web (a menudo reflejados por Incapsula para el rendimiento):
También hay protección DDoS general para todos los tipos de servicios (UDP / TCP, SMTP, FTP, SSH, VoIP, etc.) cuando se inscribe en la protección de infraestructura para una dirección IP individual.
La protección IP individual permite a los usuarios implementar la protección DDoS para defender todo tipo de entornos, incluyendo:
Cuando se une a este servicio, Incapsula le asignará una dirección IP de nuestro propio rango de IP para enrutar el tráfico. Luego se establece un túnel entre sus servidores de origen (o enrutadores / equilibradores de carga) y la red de Incapsula. Una vez en su lugar, este túnel se utiliza para enrutar el tráfico limpio desde nuestra red hasta su origen, y viceversa. Luego transmite las direcciones IP asignadas a sus usuarios a través de DNS, lo que hace que estas sean sus direcciones nominales de "origen".
Antes de explicar más sobre las ventajas de Incapsula para los clientes de AWS, veamos más sobre los ataques DDoS y la terminología de redes..
La imagen a continuación (de Wikipedia) muestra cómo un atacante aprovecha una red de computadoras no rastreable y "zombies" comprometidos para poner una aplicación web de rodillas:
Las protecciones DDoS de Incapsula funcionan en la Aplicación (Capa 7) y en la Red (Capas 3 y 4) de las Siete Capas del Modelo OSI. Aquí está la guía de Wikipedia para estas capas para más detalles:
Si bien puede parecer complejo, estas son esencialmente las capas que utilizan los ataques DDoS, ya que son las que conectan su sitio web con usuarios de Internet y otras computadoras en Internet..
Desde un punto de vista conceptual, la protección DDoS de Incapsula se basa en un conjunto de anillos concéntricos alrededor de la aplicación, cada uno de los cuales filtra una parte diferente del tráfico. Cada uno de estos anillos por sí mismo puede ser fácilmente evitado; Sin embargo, trabajando al unísono, detienen casi todo el tráfico malicioso. Si bien algunos ataques DDoS se pueden detener en los anillos externos, los ataques multivectoriales persistentes solo se pueden detener usando todos (o la mayoría) de ellos.
Como tal, Incapsula defiende contra todo tipo de intentos y ataques de piratería, incluidas las diez principales amenazas definidas del Proyecto de seguridad de aplicaciones web abiertas (OWASP):
Así es como funciona el enfoque de cinco anillos de la solución Incapsula:
Anillo 5: Clasificación de clientes vs. ataques volumétricos de nivel 7. En algunos casos, los atacantes pueden usar un ataque de capa de aplicación volumétrica (por ejemplo, una inundación de HTTP) como una distracción destinada a enmascarar otros ataques más dirigidos. Incapsula usa la clasificación de clientes para identificar y filtrar estos robots comparando firmas y examinando varios atributos: información de IP y ASN, encabezados HTTP, variaciones de compatibilidad de cookies, huella de JavaScript y otros signos reveladores. Incapsula distingue entre humanos y tráfico de bots, entre bots "buenos" y "malos", e identifica AJAX y APIs..
Anillo 4: Lista blanca de visitantes y reputación. Después de marcar y bloquear el tráfico volumétrico malicioso, Incapsula divide el resto del tráfico del sitio web en visitantes "grises" (sospechosos) y "blancos" (legítimos). Esta tarea es soportada por el sistema de reputación Incapsula..
Ring 3: Firewall de aplicaciones web para vectores de ataque directo. Además de ofrecer protección DDoS, la solución Incapsula incluye un Firewall de aplicaciones web (WAF) de nivel empresarial que protege a los sitios web de cualquier amenaza de capa de aplicación, como la inyección de SQL, la creación de secuencias de comandos entre sitios, el acceso a recursos ilegales y la inclusión de archivos remotos. WAF utiliza una sofisticada tecnología de inspección de tráfico y técnicas de crowdsourcing, junto con una amplia experiencia en la seguridad de aplicaciones de extremo a extremo. Las características avanzadas incluyen un motor de reglas personalizadas (IncapRules, que se revisa a continuación), protección de shell de puerta trasera y autenticación integrada de dos factores (revisada en la primera parte).
Anillo 2: Desafíos progresivos. Incapsula aplica un conjunto de desafíos progresivos que están diseñados para garantizar el equilibrio óptimo entre una protección DDoS sólida y una experiencia de usuario ininterrumpida. La idea es minimizar los falsos positivos mediante el uso de un conjunto de desafíos transparentes (por ejemplo, compatibilidad con cookies, ejecución de JavaScript, etc.) para proporcionar una identificación precisa del cliente (humano o bot, "bueno" o "malo").
Anillo 1: Detección de anomalías de comportamiento. Incapsula usa las reglas de detección de anomalías para detectar posibles instancias de ataques sofisticados de Capa 7. Este anillo actúa como una red de seguridad automatizada para atrapar ataques que pueden haberse deslizado a través de las grietas.
Anillo 0: Equipo de seguridad dedicado. En última instancia, su experiencia con Incapsula está respaldada por el equipo de imperva de profesionales experimentados del Centro de Operaciones de Seguridad y personal de apoyo 24x7. Analizan de forma proactiva el comportamiento interno de la aplicación y detectan el uso irregular antes de que cualquier problema se generalice.
A continuación, Incapsula mitiga un ataque DDoS de 250GBps, uno de los más grandes de Internet:
Además, el servidor de seguridad de aplicaciones web Incapsula está certificado por PCI (PCI fue creado por organizaciones de crédito globales como American Express, MasterCard y Visa):
El PCI Security Standards Council es un foro global abierto, lanzado en 2006, que se encarga del desarrollo, la gestión, la educación y el conocimiento de los estándares de seguridad PCI, incluido el estándar de seguridad de datos (PCI DSS), el estándar de seguridad de datos de aplicaciones de pago ( PA-DSS) y requisitos de seguridad de transacción de PIN (PTS).
Por supuesto, la protección DDoS se implementa fuera de su red. Esto significa que solo el tráfico filtrado llega a sus hosts, protegiendo su inversión en hardware, software e infraestructura de red, al mismo tiempo que garantiza la continuidad de su negocio.
No importa el hecho de que aloje su aplicación con AWS o no, ya que las capacidades de protección DDoS de la solución Incapsula protegerán su sitio web. Pero, si usted es un cliente de AWS, no se deje engañar pensando que Amazon lo protegerá por completo: Incapsula ofrece importantes protecciones adicionales..
Como la mayoría de las plataformas de alojamiento, AWS no es una plataforma de seguridad. Si bien ofrece capacidades básicas de mitigación de DDoS, como las cookies SYN y la limitación de la conexión, no está diseñado para defender servidores y aplicaciones alojados. Si su servidor web se ve afectado por una aplicación (capa 7) ataque DDoS, AWS no lo protegerá. Peor aún, si sufre una gran red (capas 3 y 4) ataque DDoS, se le cobrará por el ancho de banda adicional y recibirá una factura enorme a fin de mes. Cualquiera que haya tratado con el servicio al cliente de Amazon sabe que obtener reembolsos no siempre es fácil.
Incapsula complementa a AWS con su servicio de protección DDoS basado en la nube. Este servicio mejora las capacidades de seguridad básicas de AWS para que sus aplicaciones críticas estén totalmente protegidas contra todos los tipos de ataques DDoS.
Al utilizar la tecnología avanzada de inspección de tráfico, Incapsula DDoS Protection para AWS detecta y mitiga automáticamente la red volumétrica (OSI capa 3) y la aplicación sofisticada (capa 7) ataques DDoS, sin interrupción comercial para los usuarios.
Su servicio siempre activado protege los sitios web y las aplicaciones basadas en AWS contra todos los tipos de ataques DDoS, desde ataques masivos de redes volumétricas (OSI capas 3 y 4) hasta ataques sofisticados de aplicaciones (nivel 7). La detección automática y la mitigación transparente de las penetraciones DDoS minimizan los falsos positivos, asegurando una experiencia de usuario normal, incluso cuando están bajo ataque.
Si desea experimentar con Incapsula y AWS con una instancia de EC2 de muestra y una guía simple, siga mi guía de instalación de Tuts + para WordPress en la nube de Amazon y luego utilice la primera parte de esta serie para registrarse en Incapsula y realizar los cambios de DNS simples. Para integrarlo con su sitio web. Como describo en ese episodio, los resultados se afianzan de forma rápida e impresionante..
Por supuesto, si usa el servicio Route53 de Amazon, es tan fácil configurar su sitio como lo describí en la primera parte con mi servicio genérico de DNS..
Simplemente inicie sesión en la consola de administración de Route53 y luego busque los conjuntos de registros de su dominio. De la lista de registros, seleccione el subdominio que está agregando a Incapsula y edite el registro en el Editar conjunto de registros diálogo.
Si estás usando un CNAME, se ve así:
Si estás utilizando un www. o dominio desnudo y un registro A, se ve así:
Si prefiere un recorrido visual, visite el sitio de demostración de Incapsula y algunos de estos excelentes recursos sobre las protecciones DDoS de Incapsula para AWS..
En primer lugar, está la descripción general de la protección DDoS de Incapsula (pdf) (captura de pantalla a continuación):
También hay estas referencias útiles y detalladas:
Y, también hay una página de destino DDoS para hosts genéricos (no AWS).
Los servidores Incapsula realizan una inspección de paquetes robusta y profunda para identificar y bloquear paquetes maliciosos en función de los detalles más detallados. Esto les permite examinar instantáneamente todos los atributos de cada paquete entrante, mientras que al mismo tiempo sirven cientos de gigabits de tráfico a una velocidad en línea.
La red Incapsula de más de 700 Gbps de centros de depuración globales mitiga los ataques DDoS más grandes, incluidas las inundaciones SYN y las amplificaciones de DNS, que pueden superar los 100 Gbps. La red de Incapsula se adapta a la demanda para contrarrestar los ataques DDoS volumétricos masivos. Esto garantiza que la mitigación se aplique fuera de su propia red, permitiendo que solo el tráfico filtrado llegue a sus hosts.
Pronto, Incapsula proporcionará la protección de infraestructura de IP individual que mencioné anteriormente para los clientes de AWS. Una vez configurado, puede usar los grupos de seguridad de Amazon para asegurarse de que todo el tráfico externo se pueda originar desde Incapsula. Esto evita que los atacantes externos ignoren sus servicios con Incapsula y lo ataquen directamente. Esencialmente, simplemente configura grupos de seguridad para restringir por las direcciones IP de red de Incapsula.
Y sí, aún puede usar su dominio CloudFront para servir archivos estáticos mientras usa Incapsula para la mitigación de DDoS y el DNS de Route 53 de AWS..
Revisé los elementos iniciales de esto en el episodio uno; Una vez que su sitio esté configurado, lo verá listado en el panel de control:
La configuración de Incapsula le proporciona un control completo sobre su amplia variedad de potentes funciones. Puedes ver las configuraciones DDoS desde el Cortafuegos de aplicaciones web (WAF) submenú
Desde allí, puede configurar el comportamiento de su DDoS. Debajo Ajustes avanzados puede instruir a Incapsula sobre cuándo y cómo desafiar a los presuntos atacantes:
También puede incluir en la lista blanca las direcciones IP, URL, ciertos países y más:
El salpicadero Eventos El área lo ayuda a filtrar, identificar y comenzar a responder a ataques de todo tipo, incluyendo DDoS:
Con la ayuda de aquí o de sus propias especificaciones, puede configurar reglas para filtrar, alertarle y responder automáticamente a este tipo de ataques. Se llaman IncapRules. los Cápsulas El submenú proporciona descripciones completas sobre cómo definir reglas más detalladas.
Añadiendo y gestionando el Lista de reglas es bastante facil
IncapRules le permite aprovechar toda la gama de potentes capacidades de inspección de tráfico de la red Incapsula. Con ellos puede crear políticas personalizadas basadas en el contenido del encabezado HTTP, la geolocalización y mucho más.
La sintaxis de IncapRules se basa en 'filtros' denominados descriptivamente y en un conjunto de operadores lógicos. Combinados, estos se utilizan para formar una regla de seguridad (a.k.a. 'Disparador') que lleva a una de las 'Acciones' predefinidas. Aquí están algunos ejemplos:
En esta imagen, estamos configurando una regla para requerir cookies si hay más de 50 sesiones activas mientras se permite una mayor actividad de direcciones IP específicas o robots de búsqueda de Google.
Para contrarrestar los ataques de fuerza bruta, puede implementar una regla relativamente simple, para limitar el número de solicitudes POST posteriores a su página de inicio de sesión. Por ejemplo, este simple filtro se activará por más de 50 solicitudes POST posteriores realizadas por visitantes inhumanos (que no son navegadores) en el lapso de un minuto:
Calificar> post-ip; 50 & ClientType! = Navegador [Bloquear sesión]
Una vez activada, dicha regla puede responder con cualquier número de acciones. En este caso, la regla se establece en [Bloquear sesión] Eso terminará instantáneamente la sesión. Alternativamente, puede configurar la acción a [Alerta], que le notificará de forma transparente sobre el incidente con mensajes de correo electrónico y GUI.
Por supuesto, los umbrales de tasa genéricos pueden interrumpir la experiencia del usuario de manera incorrecta. Por ejemplo, es posible que desee restringir esto a su API y a tasas de solicitud superiores a las normales. Una cosa que puedes hacer es ajustar la sintaxis de la regla con la [URL] filtro, para crear una regla que no será activada por las solicitudes POST a las URL de API:
Calificar> post-ip; 50 & URL! = / Api & ClientType! = Browser [Bloquear IP]
Cuando se emplean múltiples filtros con varios operadores lógicos (por ejemplo, y / o, más grandes / más pequeños que, y, etc.) para vincularlos, el conjunto de filtros de IncapRules ofrece combinaciones ilimitadas, lo que le permite crear una política de seguridad personalizada para cada tipo de escenario..
Puede obtener más información sobre IncapRules y la protección contra ataques de fuerza bruta aquí, o no dude en probarlo.!
Espero que estés disfrutando de aprender sobre Incapsula DDoS Protection. Cuando probé la solución Incapsula, quedé impresionado con la integración simple y la amplia gama de potentes capacidades de protección. Si su aplicación de sitio web puede ser susceptible a ataques a gran escala, sus protecciones DDoS resultarán increíblemente valiosas y rentables.
A continuación, profundizaré en Incapsula CDN y Optimizer, comenzando con el plan gratuito, que incluye una red de entrega de contenido, minimización, compresión de imagen, optimización TCP, agrupación previa de conexiones y muchas más funciones..
Por favor, siéntase libre de publicar sus preguntas y comentarios a continuación. También puedes contactarme en Twitter @reifman o enviarme un correo electrónico directamente. También puede navegar por la página de mi instructor Tuts + para leer los otros tutoriales que he escrito.
Accentsconagua