CloudFlare всегда был удобным и в то же время выгодным инструментом для защиты сайтов и различных веб-приложений от DDoS-атак.
Он также помогал предоставлять безопасный доступ к ресурсам. Однако для российского рынка сервис стал несколько неудобным. Например, с ноября поступает множество жалоб на сбои сайтов, которые связаны с блокировкой расширения, нарушающего законодательство РФ.
В то же время входящий в структуру Роскомнадзора Центр мониторинга и управления сетью связи общего пользования стал рекомендовать отказаться от CDN-сервиса CloudFlare. Как результат, сервисы CloudFlare стали работать хуже, как и проекты, которые пользуются его услугами.
Именно поэтому в России возникает необходимость переезда на альтернативные отечественные инструменты защиты от атак, инфраструктура которых защищается и регулируется местным законодательством.
Рассмотрим на примере Yandex Cloud, как пошагово организовать защиту своего проекта в облаке.
Защита от DDoS- и веб-атак в Yandex Cloud возможна только для проектов, которые размещаются в Yandex Cloud.
Первый шаг. Создание статистического IP
Сегодня защита от всех атак происходит уровнях от L3 до L7, где базовой защитой являются уровни L3 и L4. Чтобы организовать защиту своего проекта, его следует подключить к Yandex Cloud после авторизации через раздел «Консоль».
После этого нужно будет создать и зарезервировать IP-адреса для последующего включения на нём базовой защиты уровня L3-L4.
- Для начала необходимо зайти в пункт «IP-адреса» в разделе “Virtual Private Cloud” и нажать «Зарезервировать адрес».
- В открывшемся окне нужно указать зону доступности — она может быть любой, например, ru-central1-b, однако важно, чтобы созданный сервер был в той же зоне доступности.
- В пункте «Дополнительно» следует поставить галочку «Защита от DDoS-атак» и нажать «Зарезервировать».
Второй шаг. Настройка балансировщика
Одним из важных моментов при переходе на отечественное решение является настройка балансировщика нагрузки. Чтобы защитить веб-приложение от DDoS- и веб-атак с защитой на уровне L7, потребуется подключить Smart Web Security. В Yandex Cloud для этого необходимо развернуть Application Load Balancer — продвинутый балансировщик уровня L7.
Настройка Application Load Balancer
На скриншотах и в короткой заметке показываем, как в общем выглядит процесс настройки.
- Заходим в раздел “Application Load Balancer”, нажимаем кнопку «Создать L7-балансировщик» и выбираем вариант «Визард».
- Далее на странице «Настройки целевой группы» нужно выбрать ранее созданный целевой ресурс и нажать «Создать и продолжить».
- После чего необходимо, опираясь на документацию, настроить балансировщик в разделах «Настройки группы бэкендов», «Настройки HTTP-роутера» и «Настройки балансировщика».
- В разделе «Настройки балансировщика» важно выбрать сеть в пункте «Сетевые настройки».
Подробно рекомендуем изучить обновляемую документацию на сайте Yandex Cloud.
Третий шаг. Подключение Smart Web Security
Smart Web Security позволяет защищать веб-приложения от DDoS- и веб-атак, обеспечивая защиту на уровне L7. В основе продукта лежит собственная технология Smart Protection, которая обогащается на основе многолетнего опыта защиты всех веб-ресурсов Яндекса от DDoS-атак, машинного обучения и поведенческого анализа.
Чтобы максимально защитить свой проект, потребуется создать профиль безопасности и подключить профиль Web Application Firewall (WAF). Последний защищает сайты от внешних угроз при помощи детального анализа входящих запросов на основе предварительно настроенных правил.
Создание профиля безопасности для защиты от DDoS-атак
- Для создания профиля защиты, который будет привязан к ранее созданному балансировщику, следует перейти к пункту «Профили безопасности» в разделе “Smart Web Security”.
- Следует нажать «Создать» и выбрать вариант «По преднастроенному шаблону».
- После этого необходимо прописать имя, а в поле «Действие для базового правила по умолчанию» выбрать «Запретить» и нажать «Создать».
- В открывшемся окне «Подключение профиля безопасности к виртуальному хосту» выбрать из списков настроенные ранее балансировщик, HTTP-роутер и виртуальный хост.
Создание профиля безопасности для защиты от веб-атак (опционально)
- Для создания профиля WAF нужно перейти к пункту «Профили WAF» в разделе “Smart Web Security”.
- Нужно нажать «Создать профиль WAF», а после прописать имя профиля и нажать кнопку «Создать».
- Далее необходимо вернуться в пункт «Профили безопасности» и перейти к ранее созданному профилю безопасности (см. предыдущий пункт).
- В пункте «Правила безопасности» нужно нажать «Добавить правило».
- В открывшемся окне необходимо указать имя правила (например, waf), прописать приоритет (111111) и выбрать тип правила (Web Application Firewall).
- На первоначальном этапе рекомендуется включить режим «Только логирование», в дальнейшем профиль WAF рекомендуется настроить с учётом особенностей вашего профиля трафика.
- В пункте «Профиль WAF» выбрать ранее созданный профиль WAF, в пункте «Действие» выбрать «Полная защита», а в пункте «Трафик» — «Весь трафик».
- После этого остаётся нажать «Добавить».
Читать первым в Telegram-канале «Код Дурова»
