Чек-лист: как правильно выбрать поставщика защиты от DDoS

Привет, это DDoS-Guard. Мы специализируемся на безопасном хостинге и киберзащите на всех основных уровнях системы OSI. В предыдущих статьях на SecurityLab мы рассказывали, какие меры предпринять в процессе , если на ваш сайт уже происходит атака, и как разобраться с последствиями такого инцидента.

Сегодня мы завершаем эту трилогию советами, как грамотно выбрать провайдера услуг по защите от DDoS.

Используйте приведенный ниже чек-лист, когда будете сравнивать услуги различных компаний между собой. Грамотно выбранная защита от DDoS-атак может стать гарантией бесперебойной работы для вашей организации.

Какую емкость сети (network capacity) предлагает поставщик услуг по защите от DDoS? От нее прямо пропорционально зависит объем ресурсов, который будет доступен для отражения нападения.

Условно говоря, сеть со скоростью 1 Тбит/с (терабит в секунду) теоретически может блокировать сопоставимый объем атакующего трафика за вычетом пропускной способности для поддержания нормальной работы сайта.

Чем больше емкость сети — тем лучше.

Существуют два основных типа сервисов защиты от DDoS: они базируются либо на облачном решении, либо на локальном развертывании (on-premise solution).

Ключевые особенности каждого из решений

Рекомендуется отдавать предпочтение именно решениям «в облаке», варианты «на земле» перед выбором стоит тщательно изучить на предмет технических характеристик и предоставляемых гарантий безопасности.

Помимо пропускной способности обратите внимание на возможности потенциального провайдера по обработке данных (processing capacity). Она измеряется в Mpps (миллионах пакетов в секунду).

DDoS-атаки становятся мощнее с каждым годом, сейчас не редкость атаки в 50 млн Mpps, а самые разрушительные инциденты такого рода измеряются в 200–300 млн Mpps.

Если скорость пересылки пакетов в ходе атаки будет превышать возможности провайдера их обработать — защита от DDoS может оказаться неэффективной, и веб-ресурс станет недоступен. Ориентируйтесь на приведенные выше цифры как на минимум, от которого стоит отталкиваться при выборе.

Обратите внимание также на наличие маршрутизации DNS или BGP у провайдера и режим, в котором она работает (включается по требованию или функционирует постоянно). Первый тип маршрутизации поможет в защите от атак на прикладном и сетевом уровнях, второй более универсален и может защитить от практически любого типа атак, перенаправив атакующий трафик на фильтрационный узел.

Есть два основных варианта предоставления услуг по защите от DDoS: включение по факту атаки, либо непрерывный контроль ресурса. В первом случае происходит переключение входящего трафика на ресурсы провайдера только после начала DDoS-атаки.  Во втором случае — даже в «мирное время» запросы постоянно обрабатываются на уже защищенном оборудовании.

Вариант с постоянной защитой более предпочтителен, так как гарантирует фоновую безопасность, отказоустойчивость ресурса и отсутствие задержки между началом атаки и переключением трафика в защищенный режим.

DDoS-атаки могут быть организованы на различных уровнях по системе OSI. Убедитесь, что выбранный вами провайдер сможет обеспечить защиту сайта в случае как сетевых атак (L3-4), так и атак на уровне приложений (L7). Последний тип может быть замаскирован под легитимные пользовательские запросы, поступающие в аномальном объеме.

Поставщик услуг безопасности должен уметь производить тонкую фильтрацию входящего трафика, отделяя реальные запросы от посетителей от ботов,в том числе по мгновенному анализу особенностей их поведения.

Выбор провайдера для защиты от DDoS — важнейший шаг, к которому нужно подходить ответственно.

Правильно выбранный поставщик услуг безопасности позволит вам сосредоточиться непосредственно на своей работе, не беспокоясь о работоспособности сайта. Неправильно выбранный — может устроить «сюрприз» в самый неподходящий момент. Используйте наш чеклист как референс для проверки основных критериев защиты провайдера.