Bästa DDoS-skydd 2021

0 Shares

I oktober 2016 drabbades DNS-leverantören Dyn av en stor DDoS (Distribuerad Denial of Service) -attack av en armé av IoT-enheter som hade hackats speciellt för ändamålet. Över 14 000 domäner som använde Dys tjänster överflödades och blev oåtkomliga inklusive stora namn som Amazon, HBO och PayPal.

Enligt forskning från Cloudflare är företagens genomsnittliga kostnad för infrastrukturfel $ 100 000 (75 000 pund) per timme. Hur kan du då se till att din organisation inte blir offer för den här typen av attacker? I den här guiden upptäcker du stora infrastrukturleverantörer som har nödvändiga digitala muskler för att skydda mot attacker som är utformade för att översvämma din nätverkskapacitet.

Du kommer också att upptäcka vilka leverantörer som kan erbjuda skydd mot mer sofistikerade applikationsattacker (lager 7), som kan utföras utan ett stort antal hackade datorer (ibland känd som ett botnet).



Project Shield

1. Project Shield

Kraftfullt DDoS-skydd från Google, men inte alla är inbjudna

DAGENS BÄSTA ERBJUDANDEN

Anledningar att köpa

+ Utnyttjar Googles infrastruktur + Mycket enkel installation

Anledningar att undvika

-Endast tillgängligt för utvalda webbplatser

Project Shield är skapandet av Jigsaw, en utlöpare av Googles moderbolag Alphabet. Utvecklingen började för flera år sedan under George Conard i kölvattnet av attacker på valövervakning och webbplatser för mänskliga rättigheter i Ukraina.

Project Shield kan filtrera potentiell skadlig trafik genom att fungera som en omvänd proxy som sitter mellan en webbplats och internet i stort och filtrerar anslutningsförfrågningar. Om en anslutning verkar vara från en legitim besökare tillåter Project Shield anslutningsbegäran. Om en anslutningsförfrågan fastställs vara dålig, t.ex. flera anslutningsförsök från samma IP-adress, blockeras den. Detta system gör Project Shield extremt enkelt att implementera genom att bara ändra serverns DNS-inställningar.

Alla kraftanvändare som läser kanske undrar hur filtrering av trafik via en proxy fungerar med SSL. Lyckligtvis har Jigsaw tänkt på detta och har sammanställt en omfattande handledning för att säkerställa att säkra anslutningar till din webbplats fungerar sömlöst. Flera andra handledning finns också i supportavsnittet.

För närvarande är Project Shield endast tillgängligt för media, valövervakning och webbplatser för mänskliga rättigheter. Det primära fokuset är också på små webbplatser med mindre resurser som inte har råd med dyra värdlösningar för att skydda sig för DDoS. Om din organisation inte matchar dessa krav kan du behöva överväga en alternativ lösning som Cloudflare.

Cloudflare

2. Cloudflare

Juggernaut av DDoS-skydd

DAGENS BÄSTA ERBJUDANDEN

Anledningar att köpa

+ Branschledande inom DDoS-lösningar + Gratis nivå inkluderar grundläggande skydd

Anledningar att undvika

-Företagspaket är relativt dyra

Alla som har använt Internet de senaste åren kommer att känna till Cloudflare eftersom många större webbplatser använder sitt skydd. Även om Cloudflare är baserat i USA har det över 180 datacenter runt om i världen: en infrastruktur för att konkurrera med Googles. Detta maximerar din webbplats chanser att stanna online.

Varje Cloudflare-användare kan välja att aktivera läget “Jag är under attack” som kan skydda mot även de mest sofistikerade DoS-attackerna genom att presentera en Javascript-utmaning. Som en fråga om rutin fungerar Cloudflare också som en omvänd proxysitting mellan besökare och din webbhotell för att filtrera trafik på ungefär samma sätt som Jigsaw’s Project Shield. I mars 2019 introducerade Cloudflare Spectrum for UDP, som ger DDoS-skydd och brandvägg för opålitliga protokoll.

Besökare som gör anslutningsförfrågningar måste köra en handsk av sofistikerade filter inklusive webbplatsens rykte, oavsett om deras IP har svartlistats och om HTTP-rubriken verkar misstänkt. HTTP-förfrågningar är fingeravtryckta för att skydda mot kända Botnets. Som branschjätt kan Cloudflare enkelt utnyttja sin position genom att dela intel på de 7+ miljoner webbplatser som den hanterar.

Cloudflare erbjuder ett gratis grundpaket som inkluderar omätad DDoS-lindring. För dem som är villiga att betala för ett Cloudflare-företagsabonnemang (priserna börjar på $ 200 eller £ 149 i månaden) finns mer avancerat skydd tillgängligt, till exempel anpassade SSL-certifikatuppladdningar.

AWS-sköld

3. AWS-sköld

Utmärkt grundläggande DDoS-lindring med mer förutom

Anledningar att köpa

+ Standard gratis nivå skyddar mot de vanligaste attackerna + Enkel installation

Anledningar att undvika

-Avancerad nivå är väldigt dyr

AWS Shield-skydd tillhandahålls av Amazonas webbtjänster. Standardnivån är tillgänglig för alla AWS-kunder utan extra kostnad. Detta är perfekt eftersom många småföretag väljer att vara värd för sina webbplatser med Amazon. AWS Shield Standard är tillgänglig för alla kunder utan extra kostnad. Det skyddar mot mer typiska nätverk (lager 3) och transport (lager 4) attacker när de används Amazons Cloud Front och Route 53-tjänster.

Detta borde avskräcka alla utom de mest bestämda hackarna. Din bandbredd, t.ex. 15Gbp / s, kommer dock fortfarande att begränsas av storleken på din Amazon-instans, vilket gör det möjligt för hackare att utföra en DoS-attack om de har tillräckliga resurser. Ännu värre är att du fortfarande är ansvarig för att betala för extra trafik till din instans.

För att mildra denna Amazon erbjuder också AWS Shield Advanced. Ett prenumeration inkluderar DDoS-kostnadsskydd, vilket kan spara dig från en enorm ökning i din månadsanvändningsräkning om du blir offer för en attack. AWS Shield Advanced kan också distribuera dina ACL: er (Access Control Lists) till gränsen för AWS-nätverket i sig och ge dig skydd mot även de största attackerna.

Avancerade prenumeranter drar också nytta av DRT dygnet runt (DDoS-svarsteam) samt detaljerade mätvärden för eventuella attacker på dina instanser. Den sinnesstämning som AWS Shield Advanced erbjuder är dock dyr. Du måste vara villig att prenumerera på minst ett år till ett pris av $ 3000 (£ 2200) per månad. Detta är utöver användningen av dataöverföringskostnader som du kan täcka på “betala som du går” -basis.

Microsoft Azure

4. Microsoft Azure

Strålande grundskydd med ett prisvärt betalt nivå

DAGENS BÄSTA ERBJUDANDEN

Anledningar att köpa

+ Standardskydd är extremt enkelt att installera + Automatiserad hotdämpning

Anledningar att undvika

-Blanket DDoS skydd för alla resurser

Liksom Amazon erbjuder Microsoft möjlighet att hyra serviceutrymme via sin tjänst Azure. Alla medlemmar drar nytta av grundläggande DDoS-skydd. Funktionerna inkluderar alltid trafikövervakning och minskning i realtid av nätverksattacker (lager 3) för alla offentliga IP-adresser du använder. Detta är samma typ av skydd som Microsofts egna onlinetjänster ger och hela resurserna i Azures nätverk kan användas för att absorbera DDoS-attacker.

För organisationer som behöver mer sofistikerat skydd erbjuder Azure också en standardnivå. Detta har hyllats i stor utsträckning för att det är väldigt enkelt att aktivera och kräver bara några få musklick. Avgörande är att Azure inte kräver att du gör några ändringar i dina appar, även om standardnivån erbjuder skydd mot applikation (lager 7) DDoS-attacker via app-gateway-webbappens brandvägg. Azure monitor kan visa mätvärden i realtid om en attack inträffar. Dessa behålls i 30 dagar och kan exporteras för vidare studier om du vill.

Azure kontrollerar ständigt webbtrafik till dina resurser. Om dessa överskrider ett fördefinierat tröskelvärde startas DDoS-begränsning automatiskt. Detta inkluderar inspektion av paket för att se till att de inte är felformade eller falska samt att använda hastighetsbegränsning.

Standardskyddet är för närvarande 2944 $ (2 204 £) per månad plus datakostnader för upp till 100 resurser. Skyddet gäller lika för alla resurser. Med andra ord kan du inte skräddarsy DDoS-begränsning för enskilda.

Verisign DDoS-skydd

5. Verisign DDoS-skydd / Neustar

Det bästa inom DDoS-skydd mot säkerhetsveteraner

Anledningar att köpa

+ Lätt att installera via DNS + Dedikerade skrubbcentraler för att skydda mot attacker + Kan distribueras på plats

Anledningar att undvika

-Interface tar tid att bemästra

Uppdatering: Verisigns säkerhetstjänster överförs till Neustar.

Verisign är nästan lika gammal som själva Internet. Sedan 1995 har det vuxit från en enkel certifikatutfärdare till en stor aktör inom nätverkstjänstbranschen.

Verisign DDoS-skydd fungerar i molnet. Användare kan välja att omdirigera anslutningsförsök med en enkel ändring av deras DNS-inställningar (Domain Name Server). Trafik skickas till Verisign för kontroll för att förhindra nätverksattacker. Verisign analyserar all trafik noggrant innan du omdirigerar.

Eftersom Verisign driver två av de tretton globala ruttnamnservrarna bör det inte bli någon överraskning att organisationen också har flera dedikerade DDoS “skrubbcentraler”. Dessa analyserar trafik och filtrerar bort dåliga anslutningsförfrågningar. Den kombinerade infrastrukturen går till nästan 2 TB / s och kan blockera även de mest överväldigande DDoS-attackerna.

Detta uppnås till stor del via Athena, Verisigns hotdämpande plattform. Athena är i stort sett uppdelad i tre element. ‘Shield’ filtrerar nätverk (lager 3) och transport (lager 4) attacker via DPI (Deep Packet Inspection), svartlistor och vitlistor och webbplatsens ryktehantering. Athenas “proxy” inspekterar HTTP-rubriker för dålig trafik under de första anslutningsförsöken. ‘Proxy’ och ‘shield’ stöds av Athenas ” load balancer ” som hjälper till att förhindra applikationsattacker (lager 7).

Kundportalen visar detaljerade rapporter om trafik och låter dig konfigurera din hothantering, till exempel genom att skapa svartlistor för anslutningar. För användare som är ovilliga att distribuera allt till molnet erbjuder Verisign också OpenHybrid som kan installeras på plats.

Bildkredit: Wikimedia Commons (Antoine Lamielle)



Sammanfatta dagens bästa erbjudanden

0 Shares