Защита от DDoS-атак и WAF в Yandex Cloud
Yandex DDoS Protection поможет в борьбе с атаками, направленными на исчерпание ёмкости канала и вычислительных ресурсов ваших виртуальных машин и балансировщиков.
Выберите оптимальную конфигурацию инструментов для защиты облачных ресурсов, веб-сайтов и мобильных приложений.
Почему эту задачу нужно решать с Yandex Cloud
Быстрое обнаружение атак
Постоянный мониторинг позволяет определить нормальный профиль трафика для каждого ресурса и обнаружить DDoS-атаку практически в реальном времени.
Автоматический анализ трафика
Сервис проверяет весь входящий трафик и автоматически очищает его на 2 и 3 уровнях сетевой модели OSI, а также защищает от атак вида SYN-флуд.
Простое подключение
Подключите защиту в один клик: просто поставьте флаг «Защита от DDoS-атак» при создании виртуальной машины и резервировании публичных IP-адресов.
Расширенная защита сайтов и приложений на прикладном уровне
Расширенная защита работает на 3 и 7 уровнях модели OSI, отражая атаки, которые используют валидные TCP-соединения, HTTP и HTTPS-запросы и узкие места атакуемого приложения.
Защита от наиболее опасных веб-атак из списка OWASP TOP-10
Web Application Firewall фильтрует трафик прикладного уровня. Основной компонент защиты — машинное обучение, которое формирует эталонную модель коммуникации с объектом защиты и «белый» список допустимых идентификаторов доступа.
Облачный WAF или самостоятельная установка
Вы можете подключить WAF как услугу вместе с расширенной защитой от DDoS-атак или установить самостоятельно: образы доступны в Marketplace в составе продуктов Wallarm и PT Application Firewall.
Как выбрать инструменты защиты
Не доступно
Доступно
Посмотрите вебинар
Узнайте, как защитить сайт, приложение или сервис от DDoS-атак.
Вопросы и ответы
Для чего нужна защита от DDoS?
DDoS — Distributed Denial of Service — это атаки типа «отказ в обслуживании», целью которых является вывод системы или приложения из строя. Бывают массированные атаки, атаки на протокольном уровне и атаки на уровне приложений. Защита от DDoS позволяет фильтровать больший объём сгенерированного трафика в рамках этих атак к вашей системе на различных уровнях сети.
DDoS — Distributed Denial of Service — это атаки типа «отказ в обслуживании», целью которых является вывод системы или приложения из строя. Бывают массированные атаки, атаки на протокольном уровне и атаки на уровне приложений. Защита от DDoS позволяет фильтровать больший объём сгенерированного трафика в рамках этих атак к вашей системе на различных уровнях сети.
Для чего нужна защита WAF?
Web application firewall (WAF) — это специализированное средство защиты информации, работающее на прикладном уровне модели OSI, которое защищает от атак, направленных на приложения. WAF — это совокупность фильтров и эвристических механизмов обнаружения и блокировки аномалий и атак на веб-приложение.
Web application firewall (WAF) — это специализированное средство защиты информации, работающее на прикладном уровне модели OSI, которое защищает от атак, направленных на приложения. WAF — это совокупность фильтров и эвристических механизмов обнаружения и блокировки аномалий и атак на веб-приложение.
Как работает сервис защиты от DDoS?
Сервис блокирует не только высокоскоростные атаки сетевого уровня (L3 и L4), но и низкочастотные разрушительные L7-атаки, выявить которые можно только с помощью поведенческого, корреляционного анализа и мониторинга трафика. За счёт работы в автоматическом режиме скорость реакции на распределенные сетевые атаки сводится к минимуму, а работоспособность веб-ресурсов клиентов обеспечивается 24/7.
Сервис блокирует не только высокоскоростные атаки сетевого уровня (L3 и L4), но и низкочастотные разрушительные L7-атаки, выявить которые можно только с помощью поведенческого, корреляционного анализа и мониторинга трафика. За счёт работы в автоматическом режиме скорость реакции на распределенные сетевые атаки сводится к минимуму, а работоспособность веб-ресурсов клиентов обеспечивается 24/7.
Какие бывают DDoS-атаки?
DDoS-атаки можно условно разделить по уровню сети (по модели OSI), на который приходится воздействие во время атаки.
На уровне L3 или L4 атаки снижают производительность веб-сервера, потребляют полосу пропускания. Обычно полосу перегружают запросами типа ICMP, SYN и UDP.
На прикладном уровне L7 атаки направлены на перегрузку компонентов веб-сервера, приложение перегружают http-запросами, которые включают более таргетированные запросы.
DDoS-атаки можно условно разделить по уровню сети (по модели OSI), на который приходится воздействие во время атаки.
На уровне L3 или L4 атаки снижают производительность веб-сервера, потребляют полосу пропускания. Обычно полосу перегружают запросами типа ICMP, SYN и UDP.
На прикладном уровне L7 атаки направлены на перегрузку компонентов веб-сервера, приложение перегружают http-запросами, которые включают более таргетированные запросы.
Что такое атаки из списка OWASP Top-10?
OWASP создал список из десяти самых опасных векторов атак на веб-приложения. Этот список получил название OWASP Top-10. В нём собраны самые опасные уязвимости, от которых нужно защищаться.
Защитить приложение можно двумя способами: своевременно отслеживать и исправлять потенциальные уязвимости в веб-приложении или использовать дополнительный модуль защиты, например WAF.
OWASP создал список из десяти самых опасных векторов атак на веб-приложения. Этот список получил название OWASP Top-10. В нём собраны самые опасные уязвимости, от которых нужно защищаться.
Защитить приложение можно двумя способами: своевременно отслеживать и исправлять потенциальные уязвимости в веб-приложении или использовать дополнительный модуль защиты, например WAF.
Какой трафик тарифицируется?
Тарификации подлежит легитимный трафик, то есть трафик пользователей. Трафик атак не тарифицируется. Легитимный трафик рассчитывается так: в течение расчетного периода (календарный месяц) учитывается среднее значение полосы превалирующего трафика с интервалом в 1 минуту.
Превалирующий трафик — этой наибольший трафик между входящим трафиком, очищенным сетью фильтрации, и исходящим трафиком сайта. По итогам расчетного периода 90 учтённых максимальных значений отбрасываются, затем максимальное оставшееся учтённое значение трафика округляется в меньшую сторону до целого числа Мбит/c. Полученное число и является значением полосы оплачиваемого трафика.
Тарификации подлежит легитимный трафик, то есть трафик пользователей. Трафик атак не тарифицируется. Легитимный трафик рассчитывается так: в течение расчетного периода (календарный месяц) учитывается среднее значение полосы превалирующего трафика с интервалом в 1 минуту.
Превалирующий трафик — этой наибольший трафик между входящим трафиком, очищенным сетью фильтрации, и исходящим трафиком сайта. По итогам расчетного периода 90 учтённых максимальных значений отбрасываются, затем максимальное оставшееся учтённое значение трафика округляется в меньшую сторону до целого числа Мбит/c. Полученное число и является значением полосы оплачиваемого трафика.
Как понять, какая защита нужна?
Используйте таблицу или скачайте документ с описанием инструментов, чтобы выбрать подходящий вариант, или свяжитесь с нами.
Используйте таблицу или скачайте документ с описанием инструментов, чтобы выбрать подходящий вариант, или свяжитесь с нами.
Мой сайт сейчас находится под DDoS-атакой, как мне его защитить?
Свяжитесь с вашим менеджером в Yandex Cloud или заполните форму.
Свяжитесь с вашим менеджером в Yandex Cloud или заполните форму.