Что использовать вместо CloudFlare?

CloudFlare всегда был удобным и в то же время выгодным инструментом для защиты сайтов и различных веб-приложений от DDoS-атак.

Он также помогал предоставлять безопасный доступ к ресурсам. Однако для российского рынка сервис стал несколько неудобным. Например, с ноября поступает множество жалоб на сбои сайтов, которые связаны с блокировкой расширения, нарушающего законодательство РФ.

В то же время входящий в структуру Роскомнадзора Центр мониторинга и управления сетью связи общего пользования стал рекомендовать отказаться от CDN-сервиса CloudFlare. Как результат, сервисы CloudFlare стали работать хуже, как и проекты, которые пользуются его услугами.

Именно поэтому в России возникает необходимость переезда на альтернативные отечественные инструменты защиты от атак, инфраструктура которых защищается и регулируется местным законодательством.

Рассмотрим на примере Yandex Cloud, как пошагово организовать защиту своего проекта в облаке.

Защита от DDoS- и веб-атак в Yandex Cloud возможна только для проектов, которые размещаются в Yandex Cloud.

Первый шаг. Создание статистического IP

Сегодня защита от всех атак происходит уровнях от L3 до L7, где базовой защитой являются уровни L3 и L4. Чтобы организовать защиту своего проекта, его следует подключить к Yandex Cloud после авторизации через раздел «Консоль».

После этого нужно будет создать и зарезервировать IP-адреса для последующего включения на нём базовой защиты уровня L3-L4.

• Для начала необходимо зайти в пункт «IP-адреса» в разделе “Virtual Private Cloud” и нажать «Зарезервировать адрес».

• В открывшемся окне нужно указать зону доступности — она может быть любой, например, ru-central1-b, однако важно, чтобы созданный сервер был в той же зоне доступности.

• В пункте «Дополнительно» следует поставить галочку «Защита от DDoS-атак» и нажать «Зарезервировать».

Второй шаг. Настройка балансировщика

Одним из важных моментов при переходе на отечественное решение является настройка балансировщика нагрузки. Чтобы защитить веб-приложение от DDoS- и веб-атак с защитой на уровне L7, потребуется подключить Smart Web Security. В Yandex Cloud для этого необходимо развернуть Application Load Balancer — продвинутый балансировщик уровня L7.

Настройка Application Load Balancer

На скриншотах и в короткой заметке показываем, как в общем выглядит процесс настройки.

• Заходим в раздел “Application Load Balancer”, нажимаем кнопку «Создать L7-балансировщик» и выбираем вариант «Визард».

• Далее на странице «Настройки целевой группы» нужно выбрать ранее созданный целевой ресурс и нажать «Создать и продолжить».

• После чего необходимо, опираясь на документацию, настроить балансировщик в разделах «Настройки группы бэкендов», «Настройки HTTP-роутера» и «Настройки балансировщика».

• В разделе «Настройки балансировщика» важно выбрать сеть в пункте «Сетевые настройки».

Подробно рекомендуем изучить обновляемую документацию на сайте Yandex Cloud.

Третий шаг. Подключение Smart Web Security

Smart Web Security позволяет защищать веб-приложения от DDoS- и веб-атак, обеспечивая защиту на уровне L7. В основе продукта лежит собственная технология Smart Protection, которая обогащается на основе многолетнего опыта защиты всех веб-ресурсов Яндекса от DDoS-атак, машинного обучения и поведенческого анализа.

Чтобы максимально защитить свой проект, потребуется создать профиль безопасности и подключить профиль Web Application Firewall (WAF). Последний защищает сайты от внешних угроз при помощи детального анализа входящих запросов на основе предварительно настроенных правил.

Создание профиля безопасности для защиты от DDoS-атак

• Для создания профиля защиты, который будет привязан к ранее созданному балансировщику, следует перейти к пункту «Профили безопасности» в разделе “Smart Web Security”.

• Следует нажать «Создать» и выбрать вариант «По преднастроенному шаблону».

• После этого необходимо прописать имя, а в поле «Действие для базового правила по умолчанию» выбрать «Запретить» и нажать «Создать».

• В открывшемся окне «Подключение профиля безопасности к виртуальному хосту» выбрать из списков настроенные ранее балансировщик, HTTP-роутер и виртуальный хост.

Создание профиля безопасности для защиты от веб-атак (опционально)

• Для создания профиля WAF нужно перейти к пункту «Профили WAF» в разделе “Smart Web Security”.

• Нужно нажать «Создать профиль WAF», а после прописать имя профиля и нажать кнопку «Создать».

• Далее необходимо вернуться в пункт «Профили безопасности» и перейти к ранее созданному профилю безопасности (см. предыдущий пункт).

• В пункте «Правила безопасности» нужно нажать «Добавить правило».

• В открывшемся окне необходимо указать имя правила (например, waf), прописать приоритет (111111) и выбрать тип правила (Web Application Firewall).

• На первоначальном этапе рекомендуется включить режим «Только логирование», в дальнейшем профиль WAF рекомендуется настроить с учётом особенностей вашего профиля трафика.

• В пункте «Профиль WAF» выбрать ранее созданный профиль WAF, в пункте «Действие» выбрать «Полная защита», а в пункте «Трафик» — «Весь трафик».

• После этого остаётся нажать «Добавить».