12 nejlepších cloudových DDoS ochrany pro malé a velké podniky

autor:
Tweet
Share
Share
Pin

Nenechte útoky typu DDoS ochromit vaše podnikání, což by mohlo vést ke ztrátě reputace a finančním škodám. Využijte cloudovou ochranu před zahlcením provozem, abyste těmto hrozbám předešli.

Kdokoli se nekalými úmysly si může objednat útok od hackerských skupin. Nástroje k takovým útokům jsou snadno dostupné, uživatelsky přívětivé a efektivní. Cílem kyberzločinců nejsou jen velké firmy, ale i zranitelné cíle všech velikostí, včetně osobních blogů, e-shopů a malých až středních podniků.

Jedním z nejnebezpečnějších a stále častějších typů útoků je takzvaný distribuovaný útok odmítnutí služby, neboli DDoS. Při DDoS útoku je využíváno množství kompromitovaných systémů – ať už jde o servery, domácí počítače nebo zařízení internetu věcí – k zahlušení cílového systému obrovským množstvím požadavků. Tento nápor způsobí, že napadený systém je zahlcen a přestane správně fungovat.

Vzhledem k tomu, že útok pochází z mnoha různých zdrojů, je obtížné identifikovat útočníka a tento útok zneutralizovat. DDoS útoky jsou nepředvídatelné a některé z těch nejnovějších dosahují až nebezpečně vysoké intenzity, s hodnotami mezi 800 až 900 Gbps.

Útočníci mohou používat různé techniky k provedení DDoS útoku na váš online obchod. Mezi nejběžnější patří:

  • Fragmentace UDP
  • Záplavy DNS, NTP, UDP, SYN, SSPD, ACK
  • Útok CharGEN
  • TCP anomálie

Motivace pro útoky může být různorodá. Oběti jsou zpravidla vybírány cíleně, nikoli náhodně. Může jít o konkurenci, která se vás chce zbavit, nebo o někoho, komu se nelíbí obsah vašich stránek. I malý důvod může někoho přesvědčit k investici do útoku na váš web.

Máte možnost sledovat kybernetické útoky v reálném čase.

Jak se bránit proti DDoS útokům?

Jestliže vlastníte malou firmu s webovými stránkami, blog nebo osobní web, musíte podniknout kroky, abyste se nestali terčem DDoS útoků.

Jednou z možností je najmout si poskytovatele spravovaných bezpečnostních služeb (MSP), který se postará o všechny aspekty kybernetické bezpečnosti. To zahrnuje detekci narušení, skenování zranitelností, antivirové služby a poskytování firewallů a VPN. Kvalitní MSP vám může poskytnout klid, avšak za vyšší cenu. V případě, že již máte základní zabezpečení vyřešeno a potřebujete ochránit web pouze před útoky DDoS, můžete si najmout ochranu DDoS jako službu (DPaaS) od vašeho ISP nebo poskytovatele hostingu.

Pokud preferujete řešení, která si můžete implementovat sami, je prvním krokem detekce a zmírnění DDoS útoků. Pro detekci útoku je nutné monitorovat provoz přicházející na váš web a hledat neobvyklé vzorce, které by mohly naznačovat probíhající útok. Náhlý nárůst návštěvnosti může být varovným signálem, ale je nutné zjistit, zda jde o legitimní nárůst uživatelů nebo o známku DDoS útoku, což není vždy jednoduché.

Jakmile potvrdíte, že se jedná o DDoS útok, můžete identifikovat IP adresy, ze kterých přichází škodlivý provoz, a zablokovat je u vašeho poskytovatele hostingu nebo pomocí zařízení pro filtrování provozu, jako je router nebo firewall. Zní to jednoduše, že?

Pokud si uvědomíte, že typický útok DDoS zahrnuje miliony datových paketů za sekundu, je pravděpodobné, že „DIY“ řešení nebude dostatečné, a měli byste se raději poohlédnout po dostupné cloudové službě pro ochranu před DDoS.

Jak fungují služby ochrany DDoS?

Efektivní řešení anti-DDoS musí zvládnout následující úkoly: detekci, odklon, filtrování a analýzu.

Detekce zahrnuje identifikaci anomálií v datovém toku, které by mohly signalizovat DDoS útok. Účinné řešení by mělo být schopno útok detekovat včas a minimalizovat falešné poplachy.

Odklon znamená přesměrování datového toku, buď jeho zahazování nebo filtrování. Filtrováním se rozumí oddělení datového toku pocházejícího z DDoS útoků a jeho identifikace jako škodlivého. Efektivní řešení anti-DDoS by mělo zvládnout filtrování, aniž by to mělo dopad na uživatele s legitimním provozem.

Analýza spočívá v prozkoumávání protokolů datového toku s cílem získat informace o útocích, a to jak k identifikaci útočníků, tak ke zlepšení budoucích detekčních mechanismů.

Při výběru řešení anti-DDoS je důležitým faktorem kapacita sítě, měřená v Gbps (gigabitech za sekundu) nebo Tbps (terabitech za sekundu). Tato hodnota udává, jak velkému útoku dokáže ochrana odolat. Cloudová řešení obvykle nabízí kapacitu v řádu terabitů za sekundu, což je více, než obvykle jakákoli webová stránka potřebuje.

Dalšími důležitými parametry jsou rychlost předávání a doba do zmírnění. Rychlost předávání udává, jak rychle je řešení schopno zpracovat datové pakety a měří se v milionech paketů za sekundu (Mpps). Běžné útoky dosahují rychlostí 300–500 Gb/s a některé mohou dosáhnout i 1 Tb/s. Pro efektivitu musí být kapacita zpracování anti-DDoS řešení vyšší než tyto hodnoty.

Doba do zmírnění se liší v závislosti na metodě detekce útoku, kterou poskytovatel používá. Řešení, které je aktivní non-stop a má preventivní detekci, by mělo být schopno poskytnout téměř okamžité zmírnění. Nicméně, je vhodné otestovat tuto vlastnost v reálných podmínkách.

Je zřejmé, že všechny tyto aspekty musíte porovnat s cenou. Nyní se podívejme na několik z nejlepších cloudových řešení pro detekci a ochranu před DDoS útoky, která jsou aktuálně k dispozici.

Akamai

Kona DDoS Defender je cloudové řešení společnosti Akamai, které je navrženo pro zastavení hrozeb DDoS. Kombinuje nepřetržitou službu Security Operations Center (SOC) s inteligentní platformou společnosti Akamai. To zaručuje vysokou škálovatelnost a nepřetržitý provoz webových stránek i při probíhajícím útoku.

Inteligentní platforma společnosti Akamai je globálně distribuovaná a má schopnost zvládnout 15 % až 30 % celkového celosvětového webového provozu. To zajišťuje dostatečnou škálovatelnost pro zvládnutí i těch největších DDoS útoků. Když dojde k útoku, Kona DDoS Defender automaticky odkloní SYN nebo UDP záplavy a absorbuje HTTP GET a POST záplavy na okraji sítě, a tím zabrání jejich průniku do hlavních aplikací.

G-Core Labs

Globální služba ochrany před DDoS od G-Core Labs nabízí účinnou obranu pro vaše webové stránky, servery a aplikace před pokročilými útoky DDoS. Poskytuje ochranu ve třech vrstvách: síťové vrstvě (L3), transportní vrstvě (L4) a aplikační vrstvě (L7).

Technologie inteligentního filtrování provozu v reálném čase, kterou G-Core Labs používá, umožňuje analyzovat statistické, signaturní, technické a behaviorální faktory současně. Díky tomu dokáže řešení přesně identifikovat a blokovat pouze škodlivé relace, namísto blokování IP adres.

Získáte ochranu před roboty v reálném čase, abyste předešli podvodům s reklamami, analýze a krádeži osobních dat. Budete také chráněni před pokusy o zneužití zranitelností a ručním hackováním webových stránek bez použití SDK třetích stran nebo úpravy kódu aplikace. Tato cloudová platforma má systémy filtrování provozu nastavené v Evropě, Severní Americe, Jižní Americe, Asii a Austrálii, nabízí minimálně 160 Gbps provozu na každý uzel. Celková efektivní šířka pásma pro filtrování je 1,5+ Tbps.

G-Core Labs nabízí bezpečnostní nástroje jako technickou analýzu pro každý požadavek, analýzu zdrojů v reálném čase, rozpoznávání faktorů chování a ověřování požadavků. Podporuje také HTTPS a nikdy nezveřejňuje vaše SSL certifikáty. Dále nabízí falešně pozitivní sazby nižší než 0,01 %. Společnost poskytuje SLA na úrovni 99,9 %. Získáte také vyrovnávání zátěže a nepřetržitou technickou podporu.

AppTrana

AppTrana poskytuje okamžitou ochranu proti zjištěným zranitelnostem a nepřetržitou ochranu před útoky DDoS a nově vznikajícími bezpečnostními hrozbami.

  • Ochrana infrastruktury (vrstva 3 a 4).
  • Ochrana webových stránek (vrstva 7)
  • Plně spravovaná ochrana před DDoS s nepřetržitým monitorováním a neomezenými aktualizacemi vlastních pravidel prováděnými odborníky na zabezpečení v reálném čase. Tato opatření reagují na výstrahy a zranitelnosti, které jsou na webových stránkách nalezeny, a to za účelem zajištění jejich dostupnosti.

Platforma Global Threat Intelligence společnosti AppTrana zajišťuje, že ochrana je neustále aktivní, přesná a aktuální s obranou proti nejnovějším hrozbám.

Ochrana AppTrana DDoS je k dispozici v plánech AppTrana Advanced a Premium. Můžete začít se zkušebním plánem a využívat služby skenování aplikací, firewallu webových aplikací a CDN. Registrace je rychlá a probíhá během několika minut, bez jakýchkoliv výpadků během přechodu.

Link11

Link11 je přední poskytovatel IT bezpečnosti specializující se na ochranu před DDoS útoky webových stránek a IT infrastruktury. Jeho cloudové řešení zaručuje dostupnost za všech okolností díky sofistikovanému využití umělé inteligence.

Společnost nabízí dvě řešení najednou pro boj proti distribuovaným útokům odmítnutí služby (DDoS) s patentovanou 360stupňovou ochranou, která buď chrání kritickou síťovou infrastrukturu, nebo se brání útokům na webové aplikace.

Útoky jsou potlačeny s nulovou dobou zmírnění pro známé vektory a do 10 sekund pro neznámé vektory. Řešení poskytuje neomezenou ochranu z hlediska trvání útoků, je plně automatické a funguje jako permanentní služba pro eliminaci lidských chyb.

Link11 navíc provozuje vlastní mezinárodní službu a nepřetržitou horkou linku, aby zákazníkům poskytla jednoduché a rychlé nastavení – i v případě nouze. Link11 Security Operation Center (LSOC) pravidelně zveřejňuje zprávy o nových rizicích a trendech v oblasti hrozeb DDoS.

Sucuri

Sucuri nabízí službu pro zmírnění DDoS útoků, která automaticky detekuje a blokuje nelegitimní požadavky a provoz. Služba Sucuri je podporována cloudovou sítí, která je schopna zmírnit útoky proti webovým aplikacím nebo velkým sítím. S využitím strojového učení a korelace dat v rámci globální sítě dokáže Sucuri chránit webové stránky před dosud neznámými bezpečnostními hrozbami.

Služba pro zmírnění DDoS je součástí komplexní platformy pro zabezpečení webových stránek, která zahrnuje i odstranění malwaru, vyčištění po hacku, monitorování černých listin a firewall. Její tři plány nabízejí různé úrovně služeb, od základních až po podnikové, a jejich ceny se pohybují od 199,99 USD do 499,99 USD ročně.

Netscout

Prostřednictvím svého Arbor Threat Mitigation System (TMS) a Availability Protection System (APS), Netscout nabízí sadu produktů, která ve spojení s řešením Arbor Sightline dokáže chirurgicky odstranit až 140 Tbps DDoS útoků ze sítě zákazníka, aniž by došlo k přerušení základních síťových služeb. Funguje s infrastrukturou IPv4 nebo IPv6 a je schopno zastavit DDoS útoky i prostřednictvím mobilních aplikací, čímž chrání výkon a dostupnost mobilních sítí.

Arbor APS nabízí různé možnosti nasazení, včetně lokálních zařízení, virtualizovaných řešení a spravovaných služeb. Díky vlastní infrastruktuře Atlas, která monitoruje třetinu veškerého internetového provozu, poskytuje toto řešení proaktivní zmírňování, které dokáže zastavit známé i nově vznikající hrozby dříve, než mohou ovlivnit dostupnost aplikací.

Cloudflare

Cloudflare nabízí vždy aktivní řešení ochrany před DDoS, které je postaveno na inteligenci jeho neustále se učící globální sítě. Tato síť, nazývaná Anycast, pokrývá více než 190 měst. Všechny bezpečnostní služby jsou aktivní v každém z těchto míst. Tato infrastruktura umožňuje společnosti Cloudflare nabízet vícevrstvý bezpečnostní přístup, který slučuje mnoho funkcí ochrany proti DDoS útokům (vrstvy 3/4/7, DNS amplifikace/odraz, SMURF, ACK atd.) do jedné služby.

Z pohledu uživatele lze řešení DDoS spravovat pomocí intuitivního rozhraní, které umožňuje rychle zabezpečit online majetek několika kliknutími. Cenové plány Cloudflare zahrnují neomezené zmírňování bez ohledu na velikost útoku, bez jakýchkoli sankcí za špičky a bez skrytých nebo dalších nákladů.

StackPath

Technologie zmírnění DDoS, které používá společnost StackPath, pokrývají všechny metody útoku: UDP, SYN a HTTP záplavy a všechny vrstvy: vrstvy 3/4 (síť) a vrstva 7 (aplikace). Celková kapacita sítě 65 Tbps zaručuje, že globální síť StackPath je schopna zmírnit i ty největší útoky DDoS a minimalizovat dopad na napadené online služby.

Zákaznický portál StackPath poskytuje data a statistiky v reálném čase, což umožňuje uživatelům analyzovat modus operandi útočníků a vytvářet pravidla za běhu. Pokročilí uživatelé si mohou přizpůsobit nastavení prahových hodnot DDoS pomocí ovládacího panelu a přizpůsobit si tak ochranu konkrétním potřebám.

Ochrana před DDoS je součástí širokého portfolia okrajových služeb nabízených společností StackPath, které zahrnují výpočetní techniku na okraji sítě, doručování obsahu a monitorování.

Alibaba

Anti-DDoS Pro od společnosti Alibaba dokáže zmírnit velkoobjemové útoky rychlostí až 10 Tbps a podporuje všechny protokoly TCP/UDP/HTTP/HTTPS.

Anti-DDoS můžete použít k ochraně aplikací nejen v Alibabě, ale i na AWS, Azure, Google Cloud atd. Pokud je vaše aplikace hostována v Číně, existuje jen velmi málo CBSP, které mohou nabídnout zabezpečení, a Alibaba je jednou z nich.

Nejde jen o zmírnění rizika, řešení Alibaba Anti-DDoS může pomoci i se sledováním zdroje útoků. Poplatky jsou založeny na využití a máte plnou kontrolu nad úpravou strategií pro vaši firmu, abyste snížili náklady.

AWS Shield

Amazon nabízí službu pro ochranu před DDoS, která se nazývá AWS Shield, specificky pro aplikace hostované na AWS. Tato služba zajišťuje nepřetržitou detekci a automatické online zmírňování, které lze používat bez nutnosti podpory AWS.

Amazon nabízí AWS Shield ve dvou plánech služeb: Standard a Advanced. AWS Shield Standard je k dispozici všem zákazníkům AWS bez dalších nákladů. Chrání před nejběžnějšími DDoS útoky, které se obvykle odehrávají ve vrstvách 3 nebo 4 síťového zásobníku. Pokročilá verze nabízí detekci a zmírnění sofistikovaných rozsáhlých DDoS útoků spolu s vizualizací v reálném čase a AWS WAF, firewallem pro webové aplikace. AWS Shield Advanced také nabízí nepřetržitý přístup k týmu AWS DDoS Response Team (DRT) a ochranu proti špičkám DDoS.

Cloud Armor

Pokud hostujete aplikaci na Google Cloud, vyzkoušejte Cloud Armor. Jediným omezením je, že funguje pouze s Google Cloud HTTP(s) load balancer.

Můžete těžit ze zkušeností společnosti Google s ochranou jejich služeb, jako je Gmail, YouTube, Vyhledávání atd. Mezi výhody Cloud Armor patří:

  • Ochrana infrastruktury i aplikací
  • Možnost vytvářet vlastní pravidla
  • Řízení přístupu na základě IP a zeměpisné polohy
  • Výkonné protokolování ve Stackdriveru

Incapsula

Incapsula nabízí komplexní ochranu pro zmírnění všech typů DDoS útoků z vrstev 3, 4 a 7.

  • TCP SYN+ACK, FIN, RESET, ACK, ACK+PSH, Fragment
  • UDP
  • Slowloris
  • Spoofing
  • ICMP
  • IGCP
  • HTTP, připojení, záplava DNS
  • Hrubá síla
  • Doména NX
  • Ping smrti
  • A mnoho dalších…

Je k dispozici jako vždy zapnutá ochrana, nebo na vyžádání, pro detekci a zmírnění všech útoků. Síť Incapsula se skládá ze 44 datových center s kapacitou přes 6 Tbps. Pokud se ocitnete pod útokem a potřebujete okamžitou pomoc ke snížení rizika během několika minut, můžete kontaktovat tým „Pod útokem“.

Závěrečná slova 👨‍🏫

Pokud mají všechny domy ve vašem okolí alarm, tak byste měli mít i vy, jinak byste se stali preferovaným cílem pro zloděje. Totéž platí i pro vaše webové stránky nebo webové aplikace: nechcete být jedním z mála, kteří nemají ochranu před DDoS útoky, jinak se můžete brzy stát terčem. Investice do řešení proti DDoS je rozumným a nezbytným krokem, pokud chcete, aby vaše online podnikání zůstalo aktivní a funkční po dlouhou dobu.