Vlákno názorů k článku Jak se staví CDN: bezpečnost, monitoring a tipy z praxe od anonym - Clanek hodne dobry, ne kazdy je ochotny se...
-
Clanek hodne dobry, ne kazdy je ochotny se podelit se svym resenim. Co je zarazejici je:
Pokud si robustní DDoS ochranu neplatíte, počítejte s tím, že v případě masivního útoku vám jenom ISP zavolá..
Toto je fascinujici, protoze cely clanek je defacto seznamem velkeho mnozstvi ochranych opatreni, monitoringu etc.
Do jake miry je ekonomicky rentabilni stavet vlastni ochranu? Nevyplati se v urcitem momentu investovat do reseni vetsiho providera poskytujiciho robustnejsi ochranu a usetrit na komplexnosti vlastvi konfigurace?
-
J ouda (neregistrovaný)
Musíte rozličovat, co konkrétně řešíte. Když proti Vám teče 200GBit DDoS, tak pokud máto 40GBitovou trubku, tak na Vašem konci se můžete jen smutně koukat kolik málo procent paketů k Vám ošlo. Nebo si pořídit lepší konektivitu a vlastní anti DDoS řešení - pokud nejste velký provider nebo nevyloupíte banku, tak tudy cesta nepovede.
Na druhou stranu spousta poskytovatelů připojení Vám je schopna nabídnout relativně dostupně připojení za jejich antiDDoS řešením.Na druhou stranu o ekonomické nevýhodnosti využití řešení jen velkého providera s rostoucím objemem se psalo v prvním dílu seriálu.
7. 1. 2021, 20:32 editováno autorem komentáře
-
Ano, tam kde vám to dává ekonomicky smysl, je dobré investovat do komerčního řešení, i proto u některých PoPů využíváme např. Arbor od NETSCOUT (kdysi Arbor Networks). Někde může dávat smysl využít např. HW typu RadWare. V případě, že máte po světě desítky PoPů a chtěli byste opravdu ochránit všechny, měsíčně vás to vyjde na statisíce.
Mluvím jenom za sebe a za mé zkušenosti, ale optimální je mít rozmyšlené a implementované DoS/DDoS ochrany na všech úrovních, kde to lze. Univerzální řešení pro všechny typy a velikosti DoS/DDoS útoků totiž podle mně neexistuje. Např. zmíněný Arbor je vhodný pro mitigaci nejrozsáhlejších útoků o stovkách Gbps, ale není u něj vhodné mít prahové hodnoty na různé senzory nastavené příliš nízko, protože když se detekuje překročení a zahájí se mitigace a čištění provozu přes zahraniční "čističky", často dochází i k částečnému zahazování legitimního provozu, kdy pak s podporou trávíte spoustu času analýzou, proč a za jakých okolností k tomu docházelo. I když pak na něco přijdete a něco s poskytovatelem upravíte, reálně to otestujete až s dalším útokem. Ten může přijít v ten samý den, nebo třeba za X let.
Pro menší útoky, které jsou pod prahovými hodnotami např. zmíněného Arboru, je zase vhodné mít nějaké ochrany na vlastních routerech s ještě pořád dost vysokými limity, které ustojí routery a na úrovni serverů a webserverů zase jemnější limity pro útoky na L7, kde už můžete mít různé limity pro různé vhosty nebo dokonce jednotlivé URL masky či HTTP metody.
Považuji proto za lepší to posichrovat na více úrovních. Dobře rozumět a sledovat síťový provoz, znát peaky provozu, orientovat se dobře v dostupných možnostech HW či SW ochran, implementovat a testovat. Vždy ale potřebujete data a statistiky a to jak pro nastavení vhodných prahových hodnot, tak pro zpětnou analýzu proběhlých útoků. Začíná to globálním měřením Bps/pps, pak po jednotlivých síťových protokolech až po dostupné metriky z jednotlivých HTTP(S) požadavků.
I já sám se často vnitřně ptám, kde je ta míra si radši něco zaplatit a spoléhat že to vyřeší všechny naše problémy v dané oblasti vs. dávat něčemu vlastní čas, jít do hloubky, navyšovat interní náklady ale zároveň budovat naše hardskilly a know-how. Pokud je to součástí našeho řemesla a pomáhá nám to na denní úrovni i při vývoji a provozu jiných projektů, má to smysl.
Pro spoustu lidí a firem je osvobozující projekt vyskládat z několika komerčních řešení a když se něco pokazí, zříct se odpovědnosti, zalámat rukami s odvoláním se na cizí řešení. Úplně je chápu a nedivím se jim a často to dává i největší technický či obchodní smysl. Každý má možnost svojí volby a na své váhy při rozhodování pokládá něco jiného ;-)
