Защита сайта. Что выбрать: облачный сервис или решение в своем периметре

По данным статистики, к 2025 году в сети насчитывалось более 1,1 миллиарда сайтов, из которых около 190 миллионов — активные. Несмотря на стабильный рост кибератак большинство веб-ресурсов не имеют даже базовой защиты от распространенных угроз, например DDoS-атак. Это отчасти связано с тем, что информационная безопасность долгое время считалась роскошью, доступной только компаниям с внушительным бюджетом.

Многие предприниматели и сегодня уверены, что любые средства защиты требуют серьезных вложений денег и времени. Это действительно так, если говорить о локальных решениях, которые предоставляются по модели On-premise. Эта модель предполагает, что компания устанавливает ПО в своем контуре на собственных серверах или приобретает готовый программно-аппаратный комплекс.

Однако наряду с дорогими и сложными решениями рынок ИБ предлагает и облачную защиту по модели SaaS — Soft As A Service.

В статье рассмотрим особенности обеих моделей, остановимся на мерах безопасности облачных сервисов и расскажем, как подойти к выбору защиты для вашего сайта.

Облачная защита сайтов: схема работы и особенности

Облачные сервисы разворачиваются на серверах провайдера, что обеспечивает их быстрое подключение — от нескольких часов до нескольких дней в зависимости от сложности защиты и веб-приложения заказчика.

Для внедрения сервисов облачной безопасности не нужно оборудование или специализированное ПО, что позволяет обойтись без серьезных финансовых вложений. Они предоставляются по подписке — обычно от клиента требуется лишь изменить настройки DNS и маршрутизации трафика, для того чтобы трафик сначала проходил через серверы провайдера, на которых развернуты системы облачной защиты, а потом уже попадал на сайт заказчика.

Для работы облачных сервисов используется сеть центров обработки данных, которые находятся в разных географических точках. Чем обширнее эта сеть, тем выше скорость анализа трафика и реагирования на инциденты. Множество дата-центров помогают справиться с атаками высокой мощности, что особенно важно для облачной защиты от DDoS. Нагрузка распределяется между всеми узлами и рассеивается, не влияя на производительность атакуемого сайта.

Геораспределенная структура позволяет легко масштабировать услуги. Порой достаточно нескольких кликов в личном кабинете, чтобы поставить под защиту новые сайты или увеличить мощности для более эффективного подавления DDoS-атак.

Большинство облачных сервисов отличаются от кастомных продуктов информационной безопасности более простым интерфейсом. Их можно использовать, даже если в компании нет своего отдела ИБ или хотя бы одного штатного специалиста.

При всех плюсах такой модели не каждая компания готова ее использовать. Одним не нравится зависимость от провайдера и недостаточная степень контроля, другие опасаются за сохранность данных в облаке.

На самом деле безопасность облачных сервисов и проходящей через них информации — одна из ключевых задач любого вендора, особенно если речь идет о поставщиках ИБ-решений. Очевидно, что клиент не выберет облачную защиту от компании, которая сама не в состоянии себя защитить.

Так как конкуренция на этом рынке высокая, компании стремятся предоставить максимально надежную и качественную услугу. Давайте разберемся, какие меры для защиты принимают владельцы облачных платформ.

Как обеспечивают безопасность облачных сервисов

Российские поставщики продуктов ИБ входят в число целей политически мотивированных хакерских группировок и регулярно подвергаются атакам. Совершенствовать методы защиты облачных сервисов им приходится буквально в боевых — хотя и виртуальных — условиях.

Для своей безопасности они используют многоуровневые технические, организационные и процедурные меры:

1. Шифрование данных. Все данные в облаке при передаче и хранении шифруются с помощью разных алгоритмов.

2. Строгие политики управления доступом. Разработчики облачной защиты применяют многофакторную аутентификацию и максимально ограничивают круг лиц, которые имеют доступ к критическим функциям решения и данным.

3. Круглосуточный мониторинг. Система защиты облачных сервисов анализирует логи, непрерывно отслеживает активность для быстрого выявления аномалий. В них настроена функция мгновенного оповещения об инцидентах и любых подозрительных действиях.

4. Использование специализированных средств для защиты облачных сервисов. К таким средствам относятся системы фильтрации трафика для защиты от DDoS-атак, антибот-сервисы для блокировки вредоносных скриптов и роботов, межсетевые экраны (Web Application Firewall) для отражения атак, которые могут привести к взлому и утечкам данных, антивирусное ПО и другие.

5. Микросегментация. Предполагает деление облачной инфраструктуры на изолированные сегменты, для каждого из которых действует своя политика безопасности, благодаря чему снижается риск распространения атаки внутри виртуальной сети.

Команда платформы Solar Space, которая предоставляет сервисы облачной безопасности для сайтов, тоже заботится о защите своих решений. Всех секретов раскрывать не будем, но о некоторых мерах расскажем.

Мы защищаем сеть и каналы инфраструктуры облачного сервиса от DDoS-атак на разных уровнях: от L2 до L7.

Для максимальной конфиденциальности шифруем данные на всем пути следования трафика. Этот путь состоит из двух этапов:

1. Запрос, который пользователь отправляет к защищаемому сайту, сначала попадает на наш сервер защиты.

2. Сервер защиты перенаправляет этот запрос к нужному веб-ресурсу.

Шифрование с использованием протокола HTTPS происходит на обоих этапах. Таким образом, мы защищаем и данные входящего запроса пользователя к веб-ресурсу, и информацию, которую защищаемый сайт передает ему в ответ.

Обязательно придерживаемся правил безопасной разработки, поскольку именно из-за ошибок в коде возникает множество уязвимостей, которые находят и эксплуатируют хакеры.

Используем принципы чистого и безопасного кода:

• Чистый код. Его отличает простая логичная структура, понятные названия переменных и функций. Такой код сокращает количество ошибок, его проще дорабатывать, легко читать и поддерживать любому разработчику, не только его автору.
• Безопасный код. Разрабатывается так, чтобы минимизировать риск появления уязвимостей в приложении. Для этого анализируют все входные данные, используют проверенные методы шифрования, ограничивают права доступа и регулярно обновляют компоненты.

В облачной защите Solar Space мы используем микросервисную архитектуру.

Максим Яндулов

руководитель направления интеграции Solar Space

«Вся платформа разделена на микросервисы с разными политиками безопасности. Даже если злоумышленник проникает во внутренний контур, такая изоляция не даст ему возможность получить доступ ко всем микросервисам и данным. Это можно сравнить со складом, на который забрался вор.

Если все имущество лежит в одном помещении, его легко украсть. Если оно распределено по разным комнатам с разными замками, то на кражу уйдет намного больше времени и усилий — и не факт, что она вообще произойдет. Облачный сервис не должен быть монолитом с точки зрения архитектуры, иначе его бизнес-логику будет легко сломать».

Облачная защита сайтов с Solar Space

Solar Space — это комплекс сервисов для облачной защиты сайтов от наиболее распространенных киберугроз.

Ключевая особенность облачной защиты Solar Space — высокий уровень автоматизации сервисов. Они готовы к работе сразу после подключения с минимальными настройками. Благодаря этому решение могут использовать компании, где нет своих специалистов по информационной безопасности.

Тарифы разработаны с учетом потребностей и возможностей малого и среднего бизнеса. Стоимость зависит от нужного набора сервисов, трафика на сайте и количества запросов пользователей к нему:

• WEB AntiDDoS — от 1200 рублей в месяц,
• WEB AntiDDoS + WEB Antibot — от 1800 рублей в месяц,
• WEB AntiDDoS + WEB Antibot + WAF Lite — от 7800 рублей в месяц.

Чтобы выбрать тариф с наиболее подходящими параметрами, можно оставить заявку на демотариф. Вы получаете защиту своего сайта на 14 дней без оплаты. После окончания демо эксперты рекомендуют нужный тариф на основе данных о вашем трафике.

Оставьте заявку на демотариф и подберите защиту для вашего сайта

Оставить заявку

Итак, к главным преимуществам облачной безопасности относятся:

• быстрое подключение онлайн,
• экономия за счет отсутствия расходов на оборудование и покупку ПО,
• способность справляться с атаками высокой мощности,
• легкое масштабирование,
• простой интерфейс.

Далее рассмотрим особенности локальных решений веб-защиты, которые устанавливаются в контуре компании.

Защита сайта по модели On-premise

В отличие от сервисов облачной безопасности решения On-premise организация-заказчик разворачивает на своей стороне: приобретает специализированный программно-аппаратный комплекс или лицензионное ПО для установки на собственном оборудовании. Все компоненты системы от серверов до средств анализа трафика находятся в периметре безопасности этой компании.

Если облачная защита предполагает передачу провайдеру SSL-сертификатов, удостоверяющих подлинность сайта и обеспечивающих шифрование трафика, то модель On-premise этого не требует. Компания получает полный контроль над трафиком.

Локальные решения гибко настраиваются под задачи и потребности конкретной компании. Можно интегрировать их со своими внутренними сервисами, создавать собственные политики безопасности.

Таким образом, основные преимущества модели On-premise — максимальный контроль решения и проходящего через него трафика, а также возможность гибкой индивидуальной настройки. Вместе с тем эти плюсы диктуют и определенные ограничения, которые часто делают локальные решения недоступными для малого и среднего бизнеса:

1. Высокая стоимость. Для покупки оборудования или ПО нужны значительные средства на этапе внедрения и в дальнейшем для обслуживания и масштабирования.

2. Штатный отдел ИБ. Он будет внедрять решение, настраивать правила, анализировать результаты его работы и при необходимости вносить корректировки.

3. Длительный срок внедрения. Если облачная защита подключается за несколько часов или дней, то локальные решения тестируются и запускаются месяцами, а в некоторых случаях процесс может растягиваться больше, чем на год.

В ряде случаев выбор модели On-premise обусловлен законодательными нормами. Есть компании и целые отрасли, в отношении которых действуют повышенные требования к безопасности и защите информации. Для них облачная безопасность — под запретом.

Таким заказчикам Solar Space предлагает локальное решение.

On-premise от Solar Space для комплексной безопасности веб-ресурсов

Лицензия на программный комплекс Solar Space — это возможность развернуть в контуре компании сервисы для защиты сайтов: WEB AntiDDoS, WEB Antibot и WAF Lite. В них используются разработанные нашими экспертами алгоритмы Machine Learning, обученные более чем на 1 миллионе DDoS-атак. Это обеспечивает высокую точность обнаружения инцидентов.

Заказчик полностью контролирует трафик, не передавая нам SSL-сертификаты. Для каждого защищаемого домена можно настроить свои политики безопасности. Личный кабинет брендируется в фирменном стиле заказчика.

Такое решение способно фильтровать трафик на уровне L7 до 300 RPS на один сервер, что обеспечивает безопасность даже высоконагруженных систем и кластеров. Микросервисная архитектура платформы увеличивает ее производительность и облегчает интеграцию с другими системами защиты информации.

Если для вашей компании актуальны повышенные требования к защите информации, протестируйте решение On-premise от Solar Space.

Оставьте заявку на консультацию по on-premise

Получить консультацию

Облачная безопасность или локальное решение: что выбрать для защиты сайта

Оптимального решения, которое подошло бы всем, не существует. Одни выбирают облачные сервисы, другие — On-premise, третьи комбинируют эти модели и выбирают гибридные варианты. Например, устанавливают оборудование или ПО для базовой фильтрации на своих серверах, а сервисы облачной безопасности используют для обработки внешнего трафика и масштабируемой защиты от массовых атак.

Выбирая защиту для своего сайта, ориентируйтесь на следующие параметры.