Как защититься от DDoS-атак в облаке провайдера 

По итогам 2024 года объём рынка облачных сервисов в России достиг 165,6 млрд рублей. Это на 36% больше показателя за 2023-й — сообщает iKS-Consulting.  

Высокий спрос на облачную инфраструктуру объясняется просто: во многих случаях это выгоднее и удобнее, чем разворачивать и поддерживать онлайн-ресурсы на своих серверах. Сервисная модель не требует капитальных затрат, а также позволяет быстро масштабироваться, причём без дополнительных расходов на оборудование и персонал.  

Однако насколько безопасно использовать облака сегодня? Какую ответственность несёт провайдер в случае DDoS-атаки? Когда необходимо подключить специализированное решение для защиты в публичном облаке и как это сделать? Все ответы — далее. 

За что отвечает облачный провайдер

Многие компании ошибочно считают, что провайдер не только предоставляет облако в аренду, но и обеспечивает полную защиту клиентской инфраструктуры в нём. На самом деле это не так. 

Ответственность за безопасность разделяется между провайдером и клиентом. Причём важную роль здесь играет модель предоставления услуг. Например, в IaaS (Infrastructure-as-a-Service — инфраструктура как услуга) обязательств у провайдера меньше, чем с PaaS (Platform-as-a-Service — платформа как услуга). А в случае с SaaS (Software-as-a-Service — программное обеспечение как услуга) он отвечает за большую часть вопросов, касающихся безопасности. 

В целом разграничение зон ответственности сводится к одному принципу: кто управляет конкретным ресурсом, тот и отвечает за его защиту. Так, в случае с IaaS и PaaS провайдер самостоятельно обеспечивает безопасность облака на виртуальном и физическом уровне — от сканирования среды виртуализации на уязвимости до контроля доступа к серверам облака в ЦОД. 

А что с защитой от DDoS

Для начала напомним, что при организации защиты от DDoS-атак важно добиться максимальной доступности инфраструктуры на всех уровнях сетевой модели OSI, которые могут стать целью злоумышленника. Проще говоря, важными моментами при обсуждении с облачным провайдером будут:

• сетевая доступность (уровни L3/ L4 модели OSI) — термин означает, что ваши каналы связи позволяют обрабатывать весь легитимный трафик, 
• доступность приложений (L7 OSI)  — когда вычислительных ресурсов достаточно для обработки легитимных запросов. 

На обоих уровнях есть зоны ответственности как облачного провайдера, так и компании-клиента. Рассмотрим, как выглядит разделение обязательств на примере моделей IaaS и PaaS.

На стороне облачного провайдера 

Сетевая доступность обеспечивается провайдером на базовом уровне (underlay). Проще говоря, поставщик облачных услуг защищает от DDoS-атак: 

• префиксы сетей и доступ в интернет на уровне дата-центра,
• каналы доступа до конкретных IP, управляемых провайдером. 

Доступность приложений и защиту от DDoS-атак провайдер обеспечивает только для собственных решений, которые он предоставляет клиентам для работы с облаком. В их числе, например, личный кабинет, консоль управления и API.  

На стороне компании-клиента

Сетевая доступность поддерживается клиентом на уровне overlay — на каналах доступа до IP, которыми управляет непосредственно он. И это логично: провайдер не знает, к каким конкретно приложениям и сервисам относятся предоставляемые адреса. 

Доступность приложений, которые управляются и размещаются клиентом в облаке, — это также его зона ответственности. Все вопросы по защите от DDoS-атак на уровне L7 здесь тоже решает он. 

Как подключить защиту от DDoS в облаке 

Вероятность стать жертвой киберпреступников сегодня особенно высока. Количество DDoS-атак в России активно растёт, вместе с тем усложняются методы и инструменты их проведения. В итоге многие компании принимают решение о подключении специализированных сервисов для защиты от DDoS-атак. 

Если вы хотите обезопасить ресурсы, которые размещены в облаке провайдера, то план действий может быть довольно простым. Рассмотрим шаги на примере подключения нашей защиты от DDoS:  

1. Создание рабочей группы, в которую входят наши специалисты, а также представители вашей компании и облачного провайдера. 
2. Согласование технических вводных и подключение ваших ресурсов к облаку защиты StormWall. 
3. Подготовительная работа на нашей стороне: изучение профилей трафика, настройка порогов детекции. 
4. Настройка профилей защиты в сервисе. 

Конечно, многое в этом процессе зависит от того, находится ли сейчас компания под DDoS-атакой или нет. Чем именно отличаются эти сценарии подключения защиты и какие этапы они включают, расскажем уже скоро. А пока, чтобы не пропустить анонсы новых статей, подпишитесь на нас в соцсетях — в ВК и Телеграме.