Share
Il s'agit du deuxième d'une série en trois parties sponsorisée couvrant les services de performance et de sécurité d'Incapsula. Dans la première partie, je vous ai présenté Incapsula Website Security et expliqué à quel point il est facile d'intégrer votre site Web à ses systèmes - cela ne prend littéralement que quelques minutes et fournit un ensemble incroyablement large de protections sophistiquées..
Dans ce didacticiel, nous expliquerons comment la sécurité Incapsula peut protéger votre site Web hébergé par Amazon Web Services (ainsi que tout site Web) contre les attaques par déni de service (DDoS)..
Essentiellement, les attaques DDoS constituent le plus souvent une attaque coordonnée de milliers d’ordinateurs "zombies" compromis contre une cible spécifique, peut-être votre site Web. Ce n'est pas facile de se défendre contre ces attaques. Non seulement les attaques par déni de service peuvent détruire vos services et ruiner l'expérience de vos clients, mais elles peuvent également entraîner une surcharge de bande passante et des dépenses ultérieures..
Dans le prochain et troisième épisode de cette série, nous allons passer à Incapsula CDN & Optimizer et à d’autres fonctionnalités telles que la compression et l’optimisation d’image. La plupart de ces fonctionnalités sont disponibles gratuitement..
Incapsula est un service tellement intrigant et sophistiqué que j'espère convaincre les dieux de la rédaction de Tuts + de me laisser en écrire plus à ce sujet.. Si vous avez des demandes concernant de futurs épisodes de cette série ou des questions et commentaires sur ceux d'aujourd'hui, veuillez les poster ci-dessous. Vous pouvez aussi me joindre sur Twitter @reifman ou Envoyez moi un email directement.
Comme je l'ai mentionné dans la première partie, lorsque vous vous inscrivez à Incapsula, le trafic de votre site Web sera acheminé de manière transparente via son réseau mondial de serveurs puissants. Votre trafic entrant est intelligemment profilé en temps réel, bloquant les menaces Web les plus récentes (attaques d'injection SQL, racleurs, robots malveillants, spammeurs de commentaires, par exemple) et avec des plans de niveau supérieur, contrecarrant les attaques DDoS. Pendant ce temps, votre trafic sortant est accéléré avec CDN & Optimizer. Un grand nombre de ces fonctionnalités sont fournies gratuitement et vous pouvez toutes les essayer sans frais pendant leurs essais de 14 jours. Si vous avez déjà d'autres questions, consultez la FAQ d'Incapsula.
Selon Imperva, "une étude récente du secteur montre que 75% des décideurs informatiques ont subi au moins une attaque DDoS au cours des 12 derniers mois et 31% ont signalé une interruption de service à la suite de ces attaques".
Incapsula protège votre site Web de manière exhaustive des trois types d’attaques DDoS:
Incapsula protège votre site Web de manière exhaustive des trois types d’attaques DDoS:
Vous pouvez mesurer le passif financier d'une attaque DDoS sur votre entreprise à l'aide du calculateur de coût des temps d'arrêt Incapsula DDoS:
Voici des exemples de résultats affichés avec mes paramètres:
Avec l'incapsule Pro plan, vous obtiendrez un pare-feu applicatif Web (WAF) sophistiqué et des protections de porte dérobée afin de minimiser la responsabilité et les risques.
Pour vous protéger des attaques DDoS au niveau des applications, vous aurez besoin de la Affaires plan qui commence à 299 $ par site et par mois. le Entreprise plan offre une protection contre les attaques de la couche réseau.
Les protections DDoS d’Incapsula fonctionneront que vous hébergiez votre site Web sur AWS ou n’importe quel hôte Web. Voici comment ils sont livrés et ce qu'ils fournissent:
Voici une carte des centres de données mondiaux du réseau Incapsula:
Vous pouvez voir comment vos visiteurs réels et le trafic DDoS sont gérés par Incapsula avant qu'ils n'atteignent votre site Web (souvent reflétés par Incapsula pour la performance):
Il existe également une protection DDoS générale pour tous les types de services (UDP / TCP, SMTP, FTP, SSH, VoIP, etc.) lorsque vous vous inscrivez pour la protection de l'infrastructure pour une adresse IP individuelle..
La protection IP individuelle permet aux utilisateurs de déployer la protection DDoS pour défendre tous les types d’environnements, notamment:
Lorsque vous rejoignez ce service, Incapsula vous attribue une adresse IP de notre propre plage IP pour le trafic de routage. Un tunnel est ensuite établi entre vos serveurs d'origine (ou vos routeurs / équilibreurs de charge) et le réseau Incapsula. Une fois en place, ce tunnel est utilisé pour acheminer le trafic épuré de notre réseau vers votre origine, et inversement. Vous diffusez ensuite les adresses IP attribuées à vos utilisateurs via DNS, ce qui en fait vos adresses «d'origine» nominales..
Avant d’expliquer davantage les avantages d’Incapsula pour les clients AWS, examinons plus en détail les attaques par DDoS et la terminologie de mise en réseau..
L'image ci-dessous (tirée de Wikipedia) montre comment un attaquant exploite un réseau d'ordinateurs introuvable et des "zombies" compromis pour amener une application Web à genoux:
Les protections DDoS d’Incapsula fonctionnent au niveau de l’application (couche 7) et du réseau (couches 3 et 4) des sept couches du modèle OSI. Voici le guide de Wikipedia sur ces couches pour plus de détails:
Bien que cela puisse paraître complexe, il s’agit essentiellement des couches utilisées par les attaques DDoS, car ce sont elles qui connectent votre site Web aux utilisateurs d’Internet et à d’autres ordinateurs sur Internet..
D'un point de vue conceptuel, la protection Incapsula DDoS repose sur un ensemble d'anneaux concentriques autour de l'application, chacun filtrant une partie différente du trafic. Chacun de ces anneaux en soi peut être facilement contourné; Cependant, travaillant à l'unisson, ils bloquent presque tout le trafic malveillant. Certaines attaques DDoS peuvent être arrêtées au niveau des anneaux extérieurs, mais les attaques à plusieurs vecteurs persistants ne peuvent l'être qu'en utilisant toutes (ou la plupart) d'entre elles..
En tant que tel, Incapsula protège contre toutes sortes de tentatives de piratage et d'attaques, y compris les dix principales menaces définies du projet de sécurité des applications Web ouvertes (OWASP):
Voici comment fonctionne l'approche à cinq anneaux de la solution Incapsula:
Ring 5: Classification des clients contre les attaques de couche 7 volumétrique. Dans certains cas, les attaquants peuvent utiliser une attaque de couche d'application volumétrique (par exemple, une inondation HTTP) comme distraction destinée à masquer d'autres attaques plus ciblées. Incapsula utilise la classification des clients pour identifier et filtrer ces robots en comparant les signatures et en examinant divers attributs: informations IP et ASN, en-têtes HTTP, variations de la prise en charge des cookies, empreinte JavaScript et autres indicateurs. Incapsula fait la distinction entre le trafic humain et le trafic de robots, entre les "bons" et les "mauvais" robots, et identifie AJAX et les API.
Ring 4: Liste blanche et réputation des visiteurs. Après avoir signalé et bloqué le trafic volumétrique malveillant, Incapsula partitionne le reste du trafic du site Web en visiteurs "gris" (suspects) et "blancs" (légitimes). Cette tâche est prise en charge par le système de réputation Incapsula..
Ring 3: pare-feu d'application Web pour les vecteurs d'attaque directe. En plus d'offrir une protection contre les attaques DDoS, la solution Incapsula comprend un pare-feu d'applications Web (WAF) de niveau entreprise qui protège les sites Web de toute menace de couche applicative, telle que l'injection SQL, le cross-scripting, l'accès illégal aux ressources et l'inclusion de fichiers distants. WAF utilise une technologie d'inspection du trafic et des techniques de crowdsourcing sophistiquées, associées à une expertise étendue en matière de sécurité des applications de bout en bout. Les fonctionnalités avancées incluent un moteur de règles personnalisées (IncapRules, décrit ci-dessous), une protection de shell de porte dérobée et une authentification intégrée à deux facteurs (revue dans la première partie).
Ring 2: Défis Progressifs. Incapsula applique un ensemble de défis progressifs conçus pour assurer un équilibre optimal entre une protection efficace contre les attaques DDoS et une expérience utilisateur ininterrompue. L'idée est de minimiser les faux positifs en utilisant un ensemble de défis transparents (par exemple, prise en charge des cookies, exécution de JavaScript, etc.) afin de fournir une identification précise du client (humain ou robot, "bon" ou "mauvais")..
Anneau 1: Détection d'anomalies comportementales. Incapsula utilise des règles de détection d'anomalies pour détecter les éventuelles attaques sophistiquées de couche 7. Cet anneau agit comme un filet de sécurité automatisé pour attraper les attaques qui ont pu passer entre les mailles du filet..
Ring 0: Équipe de sécurité dédiée. En fin de compte, votre expérience avec Incapsula est prise en charge par l'équipe de professionnels expérimentés du centre d'opérations de sécurité d'Imperva et par un personnel d'assistance 24h / 24, 7j / 7. Ils analysent de manière proactive le comportement interne de l'application et détectent les utilisations irrégulières avant que tout problème ne se généralise.
Ci-dessous, Incapsula atténue les attaques DDoS à 250 Gbit / s, l'une des plus importantes sur Internet:
De plus, le pare-feu pour applications Web Incapsula est certifié PCI (le PCI a été créé par des organismes de crédit internationaux tels que American Express, MasterCard et Visa):
Le PCI Security Standards Council est un forum mondial ouvert, lancé en 2006, qui est chargé du développement, de la gestion, de l’éducation et de la sensibilisation aux normes de sécurité PCI, y compris la norme de sécurité des données (PCI DSS), norme de sécurité des applications de paiement ( PA-DSS) et exigences relatives à la sécurité des transactions avec PIN (PTS).
Bien entendu, la protection DDoS est implémentée en dehors de votre réseau. Cela signifie que seul le trafic filtré atteignant vos hôtes protège votre investissement en matériel, logiciels et infrastructure réseau, tout en assurant la continuité de votre activité..
Peu importe que vous hébergiez votre application avec AWS ou non, car les capacités de protection contre les attaques DDoS de la solution Incapsula protégeront votre site Web. Toutefois, si vous êtes un client AWS, ne vous y trompez pas: Amazon vous protégera pleinement. Incapsula fournit des protections supplémentaires significatives..
Comme la plupart des plates-formes d'hébergement, AWS n'est pas une plate-forme de sécurité. Bien qu'il offre des fonctionnalités de base d'atténuation des attaques DDoS, telles que les cookies SYN et la limitation de connexion, il n'est pas conçu pour protéger les applications et les serveurs hébergés. Si votre serveur Web est touché par une attaque DDoS d'application (couche 7), AWS ne vous protégera pas. Pire encore, si vous subissez une attaque DDoS massive sur les réseaux (couches 3 et 4), vous serez facturé pour la bande passante supplémentaire et recevrez une facture énorme à la fin du mois. Toute personne ayant affaire au service client Amazon sait que se faire rembourser n'est pas toujours facile.
Incapsula complète AWS avec son service de protection DDoS basé sur le cloud. Ce service améliore les fonctionnalités de sécurité de base d'AWS afin que vos applications critiques soient entièrement protégées contre tous les types d'attaques DDoS..
À l'aide d'une technologie avancée d'inspection du trafic, Incapsula DDoS Protection for AWS détecte et atténue automatiquement les attaques par DDoS sur les réseaux volumétriques (couche 3 OSI) et les applications sophistiquées (couche 7), sans interruption des activités pour les utilisateurs..
Son service permanent sécurise les sites Web et les applications AWS contre tous les types d’attaques DDoS, des barrages volumétriques massifs aux réseaux 3 et 4 (OSI) aux attaques d’application sophistiquées (couche 7). La détection automatique et l'atténuation transparente des pénétrations DDoS minimisent les faux positifs, garantissant une expérience utilisateur normale, même en cas d'attaque.
Si vous souhaitez expérimenter Incapsula et AWS avec un exemple d'instance EC2 et un guide simple, suivez le guide d'installation de Tuts + pour WordPress dans Amazon Cloud, puis utilisez la première partie de cette série pour vous inscrire à Incapsula et effectuer les modifications DNS simples. l'intégrer à votre site web. Comme je le décris dans cet épisode, les résultats se font sentir de manière rapide et impressionnante.
Bien sûr, si vous utilisez le service DNS d'Amazon Route53, il est tout aussi facile de configurer votre site que je l'ai décrit dans la première partie avec mon service DNS générique..
Connectez-vous simplement à la console de gestion Route53, puis accédez à vos jeux d'enregistrements de domaine. Dans la liste des enregistrements, sélectionnez le sous-domaine que vous ajoutez à Incapsula et modifiez l’enregistrement dans le dossier. Modifier le jeu d'enregistrements dialogue.
Si vous utilisez un CNAME, cela ressemble à ceci:
Si vous utilisez un www. ou domaine nu et un enregistrement A, cela ressemble à ceci:
Si vous préférez une présentation visuelle, consultez le site de démonstration Incapsula et quelques-unes de ces excellentes ressources sur les protections Incapsula DDoS pour AWS..
Tout d'abord, il y a la présentation de la protection Incapsula DDoS (pdf) (capture d'écran ci-dessous):
Il y a aussi ces références utiles et détaillées:
Et, il y a aussi une page de destination DDoS pour les hôtes génériques (non-AWS).
Les serveurs Incapsula effectuent une inspection approfondie et approfondie des paquets pour identifier et bloquer les paquets malveillants sur la base des détails les plus détaillés. Cela leur permet d'examiner instantanément tous les attributs de chaque paquet entrant, tout en servant simultanément des centaines de gigabits de trafic à un débit en ligne..
Le réseau de centres de nettoyage mondiaux Incapsula de plus de 700 Gbps atténue les plus grandes attaques DDoS, notamment les amplifications SYN flood et DNS, pouvant dépasser les 100 Gbps. Le réseau Incapsula évolue à la demande pour contrer les attaques volumineuses massives de DDoS. Cela garantit que les mesures d'atténuation sont appliquées en dehors de votre propre réseau, en permettant uniquement au trafic filtré d'atteindre vos hôtes..
Bientôt, Incapsula fournira aux clients AWS la protection d’infrastructure IP individuelle que j’ai mentionnée ci-dessus. Une fois configuré, vous pouvez utiliser les groupes de sécurité d'Amazon pour vous assurer que tout le trafic externe est limité à l'intérieur d'Incapsula. Cela évite aux attaquants extérieurs d'ignorer vos services avec Incapsula et de vous attaquer directement. Pour l’essentiel, il vous suffit de configurer les groupes de sécurité pour limiter les adresses IP réseau Incapsula..
Et oui, vous pouvez toujours utiliser votre domaine CloudFront pour le traitement de fichiers statiques tout en utilisant Incapsula pour l'atténuation des attaques DDoS et le DNS Route 53 d'AWS..
J'ai passé en revue les éléments initiaux de cet épisode 1; une fois votre site configuré, vous le verrez répertorié dans le tableau de bord:
Les paramètres d’Incapsula vous permettent de contrôler totalement son large éventail de fonctionnalités puissantes. Vous pouvez voir les configurations DDoS à partir du Pare-feu d'applications Web (WAF) sous-menu:
À partir de là, vous pouvez configurer le comportement de votre DDoS. Sous Réglages avancés vous pouvez indiquer à Incapsula comment et quand défier les attaquants présumés:
Vous pouvez également ajouter à la liste blanche les adresses IP, les URL, certains pays, etc.:
Le tableau de bord Événements area vous aide à filtrer, identifier et commencer à répondre aux attaques de toutes sortes, y compris DDoS:
Avec l'aide de ce dernier ou de vos propres spécifications, vous pouvez configurer des règles pour filtrer, vous alerter et réagir automatiquement à ce type d'attaques. Ils s'appellent IncapRules. le IncapRules sous-menu fournit des descriptions complètes sur la façon de définir des règles plus détaillées.
Ajout et gestion du Liste de règles est assez facile:
IncapRules vous permet de tirer parti de la gamme complète de puissantes capacités d'inspection du trafic du réseau Incapsula. Avec eux, vous pouvez créer des stratégies personnalisées basées sur le contenu de l'en-tête HTTP, la géolocalisation, etc..
La syntaxe d'IncapRules repose sur des "filtres" nommés de manière descriptive et sur un ensemble d'opérateurs logiques. Combinés, ces éléments sont utilisés pour former une règle de sécurité («déclencheur» (a.k.a.) conduisant à l’une des «actions» prédéfinies. Voici quelques exemples:
Dans cette image, nous configurons une règle pour exiger des cookies si plus de 50 sessions sont actives tout en permettant une activité plus intense à partir d'adresses IP spécifiques ou de robots de recherche Google..
Pour contrer les attaques par force brute, vous pouvez déployer une règle relativement simple afin de limiter le nombre de demandes POST ultérieures à votre page de connexion. Par exemple, ce filtre simple sera déclenché par plus de 50 demandes POST ultérieures formulées par des visiteurs inhumains (autres que des navigateurs) en l'espace d'une minute:
Rate> post-ip; 50 & ClientType! = Browser [Bloquer la session]
Une fois déclenchée, cette règle peut réagir avec un nombre quelconque d’actions. Dans ce cas, la règle est définie sur [Bloquer la session] cela mettra fin à la session instantanément. Vous pouvez également définir l’action sur [Alerte], qui vous informera de manière transparente de l'incident avec des messages électroniques et graphiques.
Bien entendu, les seuils de débit génériques peuvent perturber l'expérience utilisateur. Par exemple, vous souhaiterez peut-être limiter cela à votre API et à des taux de demande supérieurs à la normale. Une chose que vous pouvez faire est d’ajuster la syntaxe de la règle avec [URL] filter, pour créer une règle qui ne sera pas déclenchée par des requêtes POST aux URL de l'API:
Taux> post-ip; 50 & URL! = / Api & ClientType! = Navigateur [Bloquer IP]
Lorsque vous utilisez plusieurs filtres avec différents opérateurs logiques (par exemple, et / ou, plus grand / plus petit que, et, etc.) pour les relier, le jeu de filtres IncapRules offre des combinaisons illimitées vous permettant de créer une politique de sécurité personnalisée pour chaque type de scénario..
Vous pouvez en savoir plus sur IncapRules et sur la protection contre les attaques par force brute ici, ou n'hésitez pas à essayer!
J'espère que vous apprécierez l'apprentissage de la protection DDoS Incapsula. Lorsque j'ai essayé la solution Incapsula, j'ai été très impressionné par la simplicité de l'intégration et par la vaste gamme de puissantes capacités de protection. Si votre application de site Web est susceptible de faire l'objet d'attaques à grande échelle, ses protections contre les attaques DDoS s'avéreront incroyablement utiles et économiques..
Ensuite, je vais approfondir Incapsula CDN & Optimizer, en commençant par le plan gratuit, qui comprend un réseau de diffusion de contenu, la minimisation, la compression d'images, l'optimisation TCP, le pré-pooling de connexion et bien d'autres fonctionnalités..
N'hésitez pas à poster vos questions et commentaires ci-dessous. Vous pouvez également me joindre sur Twitter @reifman ou m'envoyer un courriel directement. Vous pouvez également parcourir ma page d’instructeur Tuts + pour lire les autres tutoriels que j’ai écrits..
Accentsconagua