IMWU-nlMelhor proteção contra DDoS de 2018
NotíciaMelhor proteção contra DDoS
1. Escudo do Projeto
2. Cloudflare
3. AWS Shield
4. Microsoft Azure
5. Proteção contra DDoS da Verisign
Leia para nossa análise detalhada de cada serviço
Em outubro de 2016, o provedor de DNS Dyn foi atingido por um grande ataque DDoS (Distributed Denial of Service) por um exército de dispositivos IoT que foram hackeados especialmente para esse fim. Mais de 14.000 domínios usando os serviços da Dyn foram sobrecarregados e tornaram-se inacessíveis, incluindo grandes nomes como Amazon, HBO e PayPal..
De acordo com uma pesquisa da Cloudflare, o custo médio de falha de infraestrutura para empresas é de US $ 100.000 (£ 75.000) por hora. Como, então, você pode garantir que sua organização não seja vítima desse tipo de ataque? Neste guia, você descobrirá os principais provedores de infra-estrutura que têm a força digital necessária para proteger contra ataques projetados para inundar sua capacidade de rede.
Você também descobrirá quais provedores podem oferecer proteção contra ataques de aplicativos mais sofisticados (camada 7), que podem ser executados sem um grande número de computadores hackeados (às vezes conhecidos como botnet)..
- Também destacamos os melhores serviços de hospedagem na web de 2018
Escudo do Projeto
1. Escudo do Projeto
Poderosa proteção contra DDoS do Google, mas nem todos estão convidados
Aproveita a infraestrutura do Google Configuração muito fácil Disponível apenas para sites selecionadosO Project Shield é a criação da Jigsaw, uma ramificação da Alphabet, empresa-mãe do Google. O desenvolvimento começou há vários anos, sob George Conard, na sequência de ataques a sites de monitorização eleitoral e relacionados com os direitos humanos na Ucrânia..
O Project Shield é capaz de filtrar o tráfego malicioso potencial, agindo como um proxy reverso que fica entre um site e a Internet em geral, filtrando as solicitações de conexão. Se uma conexão parece ser de um visitante legítimo, o Project Shield permite a solicitação de conexão. Se uma solicitação de conexão for determinada como ruim, por exemplo, várias tentativas de conexão do mesmo endereço IP e, em seguida, ele é bloqueado. Este sistema torna o Project Shield extremamente fácil de implementar, simplesmente alterando as configurações de DNS dos seus servidores. O Google tem um excelente guia passo a passo sobre como configurar.
Qualquer leitura de usuários avançados pode se perguntar como o tráfego de filtragem por meio de um proxy funcionará com o SSL. Felizmente, a Jigsaw pensou nisso e montou um tutorial abrangente para garantir que as conexões seguras ao seu site funcionem perfeitamente.
Atualmente, o Project Shield está disponível apenas para sites relacionados a mídia, monitoramento de eleições e direitos humanos. O foco principal também está em sites com poucos recursos, que não podem arcar com soluções caras de hospedagem para se protegerem para o DDoS. Se a sua organização não atender a esses requisitos, talvez seja necessário considerar uma solução alternativa, como o Cloudflare.
- Você pode se inscrever no Project Shield aqui
Cloudflare
2. Cloudflare
O rolo compressor de proteção contra DDoS
Líder do setor em soluções DoS O nível gratuito inclui proteção básica Os pacotes comerciais são relativamente carosQualquer pessoa que tenha usado a Internet nos últimos anos estará familiarizada com o Cloudflare, já que muitos dos principais sites fazem uso de sua proteção. Embora a Cloudflare esteja sediada nos EUA, ela mantém 150 data centers em todo o mundo: uma infraestrutura para competir com a do Google. Isso maximiza as chances de seus sites permanecerem on-line.
Todos os usuários do Cloudflare podem optar por ativar o modo "Estou sob ataque", que pode proteger contra os ataques mais sofisticados de DoS, apresentando um desafio de Javascript. Por uma questão de rotina, o Cloudflare também age como um proxy reverso entre os visitantes e o host do seu site para filtrar o tráfego da mesma maneira que o Project Shield do Jigsaw..
Os visitantes que fazem solicitações de conexão precisam executar uma série de filtros sofisticados, incluindo a reputação do site, se o IP foi colocado na Blacklist e se o cabeçalho HTTP parece suspeito. Solicitações HTTP são impressas com o dedo para proteger contra botnets conhecidos. Como um gigante da indústria, a Cloudflare pode facilmente alavancar sua posição compartilhando informações nos 7 milhões de sites que gerencia.
O Cloudflare oferece um pacote básico gratuito que inclui a mitigação de DDoS não monitorada. Para aqueles que estão dispostos a pagar por uma assinatura comercial da Cloudflare (os preços começam em US $ 200 ou US $ 149 por mês), uma proteção mais avançada está disponível, como uploads personalizados de certificados SSL..
- Você pode se inscrever no Cloudflare aqui
Escudo AWS
3. AWS Shield
Excelente atenuação básica de DDoS com mais além
A camada gratuita padrão protege contra ataques mais comuns Configuração fácil A camada avançada é muito caraA proteção do AWS Shield é fornecida pelas boas pessoas dos serviços da Web da Amazon. A camada "Padrão" está disponível para todos os clientes da AWS sem custo adicional. Isso é ideal, pois muitas pequenas empresas optam por hospedar seus sites na Amazon. O AWS Shield Standard está disponível para todos os clientes sem custo adicional. Protege contra ataques típicos de rede (camada 3) e de transporte (camada 4) quando utiliza os serviços Cloud Front e Route 53 da Amazon.
Isso deve afastar todos, exceto os hackers mais determinados. No entanto, a sua largura de banda, por ex. 15Gbp / s ainda serão limitados pelo tamanho de sua instância do Amazon, tornando possível que os hackers realizem um ataque DoS se tiverem recursos suficientes. Pior ainda você continua responsável por pagar o tráfego extra para sua instância.
Para atenuar isso, a Amazon também oferece o AWS Shield Advanced. Uma Assinatura inclui proteção de custos de DDoS, que pode poupar você de um grande pico em sua conta mensal de uso se você for vítima de um ataque. O AWS Shield Advanced também pode implantar suas ACLs (listas de controle de acesso) na borda da própria rede da AWS, oferecendo proteção contra até mesmo os maiores ataques..
Os Assinantes Avançados também se beneficiam de uma DRT (equipe de resposta DDoS) durante todo o dia, além de métricas detalhadas sobre qualquer ataque em suas instâncias. A parte da mente oferecida pelo AWS Shield Advanced é cara, no entanto. Você deve estar disposto a se inscrever por no mínimo um ano por um preço de US $ 3.000 (£ 2.200) por mês. Isto é, além dos custos de uso de transferência de dados que você pode cobrir em uma base de 'pay as you go'.
- Você pode se inscrever no AWS Shield aqui
Microsoft Azure
4. Microsoft Azure
Proteção básica brilhante com um nível pago acessível
A proteção padrão é extremamente fácil de configurar Mitigação de ameaças automatizada Cobertura de proteção contra DDoS para todos os recursosComo a Amazon, a Microsoft oferece a opção de alugar espaço de serviço por meio do serviço Azure. Todos os membros se beneficiam da proteção básica contra DDoS. Os recursos incluem sempre monitoramento de tráfego e mitigação em tempo real de ataques de rede (camada 3) para qualquer endereço IP público usado. Esse é o mesmo tipo de proteção oferecida aos próprios serviços online da Microsoft e todos os recursos da rede do Azure podem ser usados para absorver ataques DDoS.
Para organizações que precisam de proteção mais sofisticada, o Azure também oferece um nível 'Padrão'. Isso tem sido amplamente elogiado por ser muito fácil de ativar, exigindo apenas alguns cliques do mouse. Crucialmente, o Azure não exige que você faça alterações em seus aplicativos, embora o nível padrão ofereça proteção contra ataques DDoS de aplicativo (camada 7) por meio do firewall do aplicativo da web do gateway do aplicativo. O monitor do Azure pode mostrar métricas em tempo real se um ataque ocorrer. Estes são mantidos por 30 dias e podem ser exportados para estudo adicional se você desejar.
O Azure verifica constantemente o tráfego da Web para seus recursos. Se eles excederem um limite predefinido, a mitigação de DDoS será iniciada automaticamente. Isso inclui a inspeção de pacotes para garantir que eles não sejam malformados ou falsificados, bem como o uso de limite de taxa.
A proteção padrão é atualmente de US $ 2.944 por mês, mais taxas de dados para até 100 recursos. A proteção se aplica igualmente a todos os recursos. Em outras palavras, você não pode adaptar a mitigação de DDoS para indivíduos.
- Você pode se inscrever no Microsoft Azure aqui
Proteção contra DDoS da Verisign
5. Proteção contra DDoS da Verisign
O melhor em proteção contra DDoS contra veteranos de segurança
Fácil de configurar via DNS Centros de depuração dedicados para proteger contra ataques Pode ser implantado nas instalações Interface leva tempo para dominarA Verisign é quase tão antiga quanto a própria Internet. Desde 1995, cresceu de uma simples Autoridade de Certificação para uma grande participante no setor de serviços de rede..
A proteção contra DDoS da Verisign opera na nuvem. Os usuários podem optar por redirecionar as tentativas de conexão com uma simples alteração das configurações de DNS (Domain Name Server). O tráfego é enviado à Verisign para verificação para impedir ataques à rede. Análise da Verisign todo o tráfego completamente antes de redirecionar.
Como a Verisign opera dois dos treze servidores de nomes de rotas globais, não é de surpreender que a organização também mantenha vários "centros de depuração" de DDoS dedicados. Eles analisam o tráfego e filtram as solicitações de conexão incorretas. A infra-estrutura combinada é de quase 2TB / se pode bloquear até mesmo os ataques mais agressivos de DDoS.
Isso é amplamente alcançado via Athena, a plataforma de mitigação de ameaças da Verisign. Atena é amplamente dividida em três elementos. A rede de filtros 'Shield' (camada 3) e transporte (camada 4) ataca via DPI (Deep Packet Inspection), listas negras e brancas e gerenciamento de reputação do site. O 'proxy' Athena inspeciona os cabeçalhos HTTP em busca de tráfego ruim durante as tentativas iniciais de conexão. O 'proxy' e 'shield' são suportados pelo 'balanceador de carga' da Athena, que ajuda a prevenir ataques de aplicação (camada 7).
O portal do cliente exibe relatórios detalhados sobre o tráfego e permite configurar o gerenciamento de ameaças, por exemplo, criando listas negras de conexão. Para os usuários que relutam em implantar tudo na nuvem, a Verisign também oferece o OpenHybrid, que pode ser instalado no local.
- Você pode se inscrever para a Proteção DDoS da Verisign aqui
Crédito de imagem: Wikimedia Commons (Antoine Lamielle)