Vuoden 2021 paras DDoS-suojaus

Lokakuussa 2016 DNS-palveluntarjoaja Dyn joutui suuren DDoS-hyökkäyksen (Distributed Denial of Service, hajautettu palvelunestohyökkäys) kohteeksi, jonka suoritti armeija IoT-laitteita, jotka oli hakkeroitu nimenomaan sitä varten. Yli 14 000 Dynin palveluja käyttävää verkkotunnusta ylikuormitettiin ja ne muuttuivat tavoittamattomiksi, mukaan lukien suuret nimet kuten Amazon, HBO ja PayPal.

Cloudflaren tutkimuksen mukaan infrastruktuurin vikaantuminen maksaa yrityksille keskimäärin 100 000 dollaria (75 000 puntaa) tunnissa. Miten sitten voit varmistaa, ettei organisaatiosi joudu tällaisen hyökkäyksen uhriksi. Tässä oppaassa tutustut tärkeimpiin infrastruktuurin tarjoajiin, joilla on tarvittava digitaalinen lihasvoima suojautuakseen hyökkäyksiltä, joiden tarkoituksena on ylikuormittaa verkkokapasiteettisi.

Tutustut myös siihen, mitkä palveluntarjoajat voivat tarjota suojaa kehittyneemmiltä sovellushyökkäyksiltä (layer 7), jotka voidaan toteuttaa ilman valtavaa määrää hakkeroituja tietokoneita (joita kutsutaan joskus botnetiksi).

• Olemme myös nostaneet esiin parhaat webhotellipalvelut.

Project Shield on Googlen emoyhtiön Alphabetin alaisuuteen kuuluvan sivutoimipisteen Jigsaw-yhtiön luomus. Kehitys aloitettiin useita vuosia sitten George Conardin johdolla Ukrainassa vaalitarkkailuun ja ihmisoikeuksiin liittyviin verkkosivustoihin kohdistuneiden hyökkäysten seurauksena.

Project Shield pystyy suodattamaan mahdollisen haitallista liikennettä toimimalla käänteisenä välityspalvelimena, joka asettuu verkkosivuston ja koko internetin väliin ja suodattaa yhteyspyynnöt. Jos yhteys näyttää olevan lailliselta vierailijalta, Project Shield sallii yhteyspyynnön. Jos yhteyspyyntö todetaan huonoksi, esim. useat yhteysyritykset samasta IP-osoitteesta, se estetään. Tämän järjestelmän ansiosta Project Shield on erittäin helppo ottaa käyttöön yksinkertaisesti muuttamalla palvelimesi DNS-asetuksia.

Lukevat tehokäyttäjät saattavat ihmetellä, miten liikenteen suodattaminen välityspalvelimen kautta toimii SSL:n kanssa. Onneksi Jigsaw on ajatellut tätä ja koonnut kattavan ohjeen, jolla varmistat, että suojatut yhteydet sivustollesi toimivat saumattomasti. Useita muitakin opetusohjelmia on saatavilla myös tukiosiossa.

Tällä hetkellä Project Shield on saatavilla vain mediaan, vaalien seurantaan ja ihmisoikeuksiin liittyville verkkosivustoille. Ensisijaisesti keskitytään myös pieniin aliresursoituihin verkkosivustoihin, joilla ei ole varaa kalliisiin hosting-ratkaisuihin suojautua DDoS-iskuilta. Jos organisaatiosi ei vastaa näitä vaatimuksia, sinun on ehkä harkittava vaihtoehtoista ratkaisua, kuten Cloudflarea.

• Voit rekisteröityä Project Shieldiin täällä

Kuka tahansa, joka on käyttänyt internetiä viime vuosina, tuntee Cloudflaren, sillä monet suuret verkkosivustot käyttävät sen suojausta. Vaikka Cloudflaren pääkonttori sijaitsee Yhdysvalloissa, sillä on yli 180 datakeskusta eri puolilla maailmaa: infrastruktuuri kilpailee Googlen infrastruktuurin kanssa. Tämä maksimoi sivustosi mahdollisuudet pysyä verkossa.

Jokainen Cloudflare-käyttäjä voi halutessaan aktivoida ”I’m under attack” -tilan, joka voi suojautua jopa kaikkein kehittyneimmiltä DoS-hyökkäyksiltä esittämällä Javascript-haasteen. Rutiininomaisesti Cloudflare toimii myös käänteisenä välityspalvelimena, joka istuu vierailijoiden ja sivustosi isännän välissä suodattaen liikennettä samalla tavalla kuin Jigsaw’s Project Shield. Maaliskuussa 2019 Cloudflare esitteli Spectrum for UDP:n, joka tarjoaa DDoS-suojauksen ja palomuurin epäluotettaville protokollille.

Yhteyspyyntöjä tekevien kävijöiden on läpäistävä hienostuneiden suodattimien koitos, mukaan lukien sivuston maine, se, onko heidän IP-osoitteensa mustalla listalla, ja se, vaikuttaako HTTP-otsake epäilyttävältä. HTTP-pyynnöt tulostetaan sormenjäljellä tunnetuilta bottiverkoilta suojaamiseksi. Alan jättiläisenä Cloudflare voi helposti hyödyntää asemaansa jakamalla tietoja yli 7 miljoonasta hallinnoimastaan verkkosivustosta.

Cloudflare tarjoaa ilmaisen peruspaketin, joka sisältää mittaamattoman DDoS-vahinkojen torjunnan. Niille, jotka ovat valmiita maksamaan Cloudflaren yritystilauksesta (hinnat alkavat 200 dollarista eli 149 punnasta kuukaudessa), on saatavilla kehittyneempi suojaus, kuten mukautettujen SSL-varmenteiden lataaminen.

• Voit rekisteröityä Cloudflareen täällä

AWS Shield -suojauksen tarjoavat Amazon web servicesin hyvät ihmiset. ’Standard’-taso on kaikkien AWS-asiakkaiden saatavilla ilman lisämaksua. Tämä on ihanteellista, sillä monet pienyritykset haluavat isännöidä verkkosivujaan Amazonilla. AWS Shield Standard on kaikkien asiakkaiden saatavilla ilman lisämaksua. Se suojaa tyypillisimmiltä verkko- (layer 3) ja siirtohyökkäyksiltä (layer 4), kun käytetään Amazonin Cloud Front- ja Route 53 -palveluja.

Tämän pitäisi karkottaa kaikki muut paitsi kaikkein päättäväisimmät hakkerit. Kaistanleveyttäsi esim. 15 Gbp/s rajoittaa kuitenkin edelleen Amazon-instanssin koko, joten hakkereiden on mahdollista tehdä DoS-hyökkäys, jos heillä on riittävästi resursseja. Vielä pahempaa on, että olet edelleen vastuussa siitä, että maksat ylimääräisestä liikenteestä instanssillesi.

Tämän lieventämiseksi Amazon tarjoaa myös AWS Shield Advanced -palvelun. Tilaus sisältää DDoS-kustannussuojan, joka voi pelastaa sinut valtavilta piikeiltä kuukausittaisessa käyttölaskussasi, jos joudut hyökkäyksen uhriksi. AWS Shield Advanced voi myös ottaa ACL:t (Access Control Lists) käyttöön itse AWS-verkon rajalle antaen sinulle suojan jopa suurimpia hyökkäyksiä vastaan.

Advanced-tilaajat hyötyvät myös ympärivuorokautisesta DRT:stä (DDoS-torjuntaryhmä) sekä yksityiskohtaisista mittareista kaikista hyökkäyksistä, jotka kohdistuvat instansseihisi. AWS Shield Advancedin tarjoama mielenrauha on kuitenkin kallis. Sinun on oltava valmis tilaamaan vähintään yhdeksi vuodeksi hintaan 3 000 dollaria (2 200 puntaa) kuukaudessa. Tähän lisätään tiedonsiirron käyttökustannukset, jotka voit kattaa ”pay as you go” -periaatteella.

• Voit tilata AWS Shieldin täältä

Kuten Amazon, Microsoft tarjoaa mahdollisuuden vuokrata palvelutilaa Azure-palvelunsa kautta. Kaikki jäsenet hyötyvät DDoS-perussuojauksesta. Ominaisuuksiin kuuluu aina päällä oleva liikenteen seuranta ja reaaliaikainen verkon (layer 3) hyökkäysten lieventäminen kaikkien käyttämiesi julkisten IP-osoitteiden osalta. Kyseessä on aivan samantyyppinen suojaus, joka tarjotaan Microsoftin omille verkkopalveluille, ja Azuren verkon kaikkia resursseja voidaan käyttää DDoS-hyökkäysten torjumiseen.

Yrityksille, jotka tarvitsevat kehittyneempää suojausta, Azure tarjoaa myös ”Standard”-tason. Tätä on kehuttu laajalti siitä, että se on erittäin helppo ottaa käyttöön ja vaatii vain muutaman hiiren napsautuksen. Ratkaisevaa on, että Azure ei vaadi muutoksia sovelluksiisi, vaikka vakiotaso tarjoaakin suojaa sovellusten (layer 7) DDoS-hyökkäyksiltä app gateway -verkkosovelluspalomuurin avulla. Azure monitor voi näyttää reaaliaikaisia mittareita, jos hyökkäys tapahtuu. Näitä tietoja säilytetään 30 päivän ajan, ja ne voidaan halutessasi viedä jatkotutkimusta varten.

Azure tarkistaa jatkuvasti resursseihisi kohdistuvaa verkkoliikennettä. Jos ne ylittävät ennalta määritellyn kynnysarvon, DDoS-torjunta käynnistyy automaattisesti. Tähän sisältyy pakettien tarkastaminen sen varmistamiseksi, etteivät ne ole epämuodostuneita tai väärennettyjä, sekä nopeuden rajoittaminen.

Standardisuojaus maksaa tällä hetkellä 2 944 dollaria (2 204 puntaa) kuukaudessa plus datamaksut enintään 100 resurssille. Suojaus koskee kaikkia resursseja tasapuolisesti. Toisin sanoen DDoS-suojausta ei voi räätälöidä yksittäisille resursseille.

• Voit rekisteröityä Microsoft Azureen täällä

Päivitys: Verisignin tietoturvapalvelut siirtyvät Neustarille.

Verisign on lähes yhtä vanha kuin itse internet. Vuodesta 1995 lähtien se on kasvanut yksinkertaisesta varmentajasta merkittäväksi toimijaksi verkkopalvelualalla.

Verisignin DDoS-suojaus toimii pilvipalvelussa. Käyttäjät voivat halutessaan ohjata yhteysyritykset uudelleen yksinkertaisella DNS (Domain Name Server) -asetusten muutoksella. Liikenne lähetetään Verisignille tarkistettavaksi verkkohyökkäysten estämiseksi. Verisign analysoi kaiken liikenteen perusteellisesti ennen uudelleenohjausta.

Koska Verisign ylläpitää kahta kolmestatoista maailmanlaajuisesta reittinimipalvelimesta, ei liene yllätys, että organisaatiolla on myös useita DDoS-”pesukeskuksia”. Nämä analysoivat liikennettä ja suodattavat huonot yhteyspyynnöt pois. Yhdistetty infrastruktuuri toimii lähes 2TB/s nopeudella ja pystyy estämään jopa kaikkein ylivoimaisimmat DDoS-hyökkäykset.

Tämä onnistuu suurelta osin Athenan, Verisignin uhkien torjunta-alustan, avulla. Athena jakautuu karkeasti ottaen kolmeen osaan. Shield suodattaa verkko- (layer 3) ja siirtohyökkäyksiä (layer 4) DPI:n (Deep Packet Inspection), mustien listojen & valkoisten listojen ja sivuston maineenhallinnan avulla. Athena-”välityspalvelin” tarkastaa HTTP-otsikot huonon liikenteen varalta ensimmäisten yhteysyritysten aikana. ’Välityspalvelinta’ ja ’kilpeä’ tukee Athenan ’kuorman tasapainottaja’, joka auttaa estämään sovellushyökkäyksiä (kerros 7).

Asiakasportaalissa näytetään yksityiskohtaisia raportteja liikenteestä, ja sen avulla voit konfiguroida uhkien hallintaa esimerkiksi luomalla yhteyksien mustia listoja. Käyttäjille, jotka eivät halua ottaa kaikkea käyttöön pilvipalveluun, Verisign tarjoaa myös OpenHybridin, joka voidaan asentaa paikan päällä.

• Voit rekisteröityä Verisign DDoS Protection -palveluun täällä

Kuvan luotto: Wikimedia Commons (Antoine Lamielle)