Сетевая безопасность¶
Приложение Firewall предоставляет только базовый уровень защиты для экземпляров виртуальных машин.
В производственной среде могут возникать сложные угрозы безопасности для всей инфраструктуры аккаунта, такие как DDoS-атаки, атаки перебора паролей и уязвимости нулевого дня в приложениях, доступных через Интернет. Поэтому администратор аккаунта может решить, что для предотвращения этих угроз требуются более продвинутые инструменты и методы.
Защита от DDoS¶
Каждая локация предоставляет ограниченную пропускную способность интернет-соединения для аккаунта.
DDoS-атака объемного типа может использовать всю доступную пропускную способность неожиданным трафиком от ботнетов, что приведет к отказу в обслуживании обычного трафика законных пользователей.
В настоящее время мы рекомендуем использовать сторонних провайдеров услуг защиты от DDoS, которые имеют большую сеть центров обработки данных, чтобы справиться с неожиданным трафиком и фильтровать его.
Рекомендуемый провайдер
Мы рекомендуем использовать хорошо известного и проверенного поставщика защиты от DDoS - Cloudflare.
У этого поставщика есть бесплатный план и защита от DDoS включена по умолчанию.
Обычно наилучший вариант — настроить полное управление DNS провайдером, где DNS-домен переносится на серверы имен поставщика защиты от DDoS.
Эти серверы имен разрешают запрашиваемые доменные имена на разные IP-адреса по всему миру, чтобы распределить и отфильтровать трафик на серверах провайдера перед тем, как трафик достигнет IP-адреса реального сервера, где работает приложение.
Для защиты веб-сайтов, которые используют приложение LoadBalancer (ALB), создайте в интерфейсе защиты от DDoS запись CNAME, указывающую на имя хоста ALB:
Этот метод защиты от DDoS эффективен только в том случае, если IP-адрес реального сервера приложения сохраняется в секрете. Существует множество сервисов безопасности, которые отслеживают историю изменения DNS-записей и могут раскрыть IP-адрес сервера приложения, позволяя злоумышленнику узнать этот IP-адрес, обходя защиту от DDoS.
Поэтому рассмотрите возможность изменения основного IP-адреса аккаунта после настройки защиты от DDoS для защиты местонахождения реального сервера.
Брандмауэр веб-приложений¶
Еще одной угрозой являются попытки взлома через атаки грубой силы или эксплуатацию уязвимостей в приложениях.
Обычно такие атаки имеют характерные шаблоны, такие как SQL-инъекции (например, ' or '1'='1) или XSS-атаки (например, JS-код '><script>...).
Кроме того, у вашей организации могут быть специфические требования к блокировке пользователей из определенных стран или IP-подсетей.
Такие атаки могут отслеживаться и предотвращаться брандмауэром веб-приложений (WAF), который может распознавать эти шаблоны и предотвращать вредоносный доступ к приложениям в вашем аккаунте.
В настоящее время платформа не предоставляет встроенный брандмауэр веб-приложений. Поэтому мы рекомендуем настроить собственное решение WAF на виртуальной машине или использовать сторонние сервисы.
Рекомендуемый провайдер
Мы рекомендуем использовать функционал WAF провайдера Cloudflare.
У этого поставщика есть бесплатный план, который позволяет настроить до 5 правил брандмауэра веб-приложений.
Пример пользовательского правила брандмауэра веб-приложений, блокирующего пользователей по стране, настроенного на сервисе WAF от Cloudflare:
