Идут дожди проливные,
Сегун смотрит вверх с тоскою —
Протекает его палатка…
Пожалуй, не требует доказательств тот факт, что DDoS-атаки сегодня являются весьма актуальной проблемой для российского интернет-бизнеса. Защита от DDoS необходима. Ведь число таких кибератак растет каждый год. Хакеров и сервисов, берущихся за такую работу, в Рунете — полным-полно.
Однако все это — не более, чем страшилки из новостных лент, пока сам не столкнешься с такой проблемой. Мы — веб-студия, и всем своим клиентам при создании или взятии сайта на продвижение предлагаем определенный хостинг. Который нам казался вполне надежным за свою стоимость…
И вот черный день настал — сайт нашего самого крупного, а потому самого дорогого-любимого клиента слег. Разумеется, дорогой-любимый клиент мгновенно позвонил и устроил скандал. Ведь были потрачены немалые усилия на редизайн, посадочные страницы, инфографику и прочее… А потом начался шквал звонков и от всех остальных наших клиентов — ведь все они разместились на хостинге, который мы им рекомендовали, а тот лег под ddos-атакой…
Опустим подробности, как мы разруливали данную ситуацию. Для предотвращения подобных апокалипсисов в будущем, было принято коллегиальное с хостером решение — поискать надежную компанию, которая может быстро поднять упавшее и обеспечить стабильную защиту в дальнейшем. Решили сравнить предложения наиболее популярных российских и иностранных компаний:
- Qrator
- Лаборатория Касперского
- ProtoSecurity
- DDoS-GUARD
- DDOS-PROTECTION.RU
Зарубежные:
- Voxility
- Link11
- CloudFlare
- BlackLotus
- Incapsula
Все они предлагают Cloud-based DDoS Mitigation Platform. Платформы работают по следующему принципу. Есть сеть геораспределенных точек (дата-центров) с фильтрующим оборудованием. Некоторые фирмы разрабатывают собственное оборудование, другие используют купленное или арендуемое, например, от Arbor и Radware. Нахождение сервера физически ближе к клиенту минимизирует нагрузки на сеть, потерю связности данных и задержки.
Во время атаки трафик принимается на ближайшей к месту генерации точке фильтрации, зловредный — блокируется, легитимный отправляется на клиентский ресурс. Все происходит автоматически, клиенту надо только изначально выставить правильные настройки межсетевого экрана.
Вроде все ясно-понятно. Разумеется, главные вопросы, которые нас волнуют — стоимость в месяц и скорость подключения, а также некоторые технические нюансы, о которых обычно не пишут в тарифных планах: асимметрия трафика (т.е. необходимость пускать через фильтры исходящий трафик), фильтрация HTTPS без раскрытия сертификатов и пр.
Итак, мы писали от лица нашего хостера о том, что фиксируем атаки каждую неделю — ботами и парсерами, иногда заливают входящий порт — на балансере 1 Гб/с. Озвучивается задача: защита подсети /24 нашей AS, трафиком 100 мб/сек входящего, 600 исходящего, с установкой BGP-взаимодействия. Также интересовала возможность хостинга на выделенном сервере компании-защитника. Уровень фильтрации — L7, желательна фильтрация https без раскрытия сертификатов. Т.к. публиковать переписки с компаниями-защитниками мы считаем некорректным, наш дизайнер нарисовал графики по стоимостным и временным показателям.
График 1. Скорость реакции на заявку (через сколько минут ответили)
Как видно, большинство отвечать на письмо с пометкой “СРОЧНО” не очень-то торопились. Скорость ответа варьируется от 4 минут до целой недели.
Далеко не все из списка кандидатов согласились общаться с клиентом, который не хочет афишировать свои контактные данные и название фирмы из интересов сохранения репутации. Так что из нашего обзора выпали: Лаборатория Касперского, BlackLotus, CloudFlare и Incapsula. На остальных мы составили вот такие карточки, которые облегчили нам конечный выбор. Уверены. что они пригодятся и нашим читателям.
К слову об онлайн-консультации. Например, у DDoS-Protection такой функции на сайте нет, но и на почту они отвечают практически мгновенно, причем в любое время дня и вечера. А вот у некоторых консультант есть, да только проку от него нет, потому что в течение получаса он молчит, не подавая признаков жизни (речь про ProtoSecurity).
Отметим, что в процессе переписок некоторые все же попросили у нас идентификационные данные: официальное название компании, номер телефона, адрес сайта, ASN и пр.
Красиво оформленное КП на фирменных бланках, где было все подробно расписано, мы получили всего от трех фирм: Link11 (немцы), ProtoSecurity (официальный ресселер Incapsula в России) и DDoS-GUARD (российская компания со своей инфраструктурой).
Кстати, хотелось бы отметить неприятную для нас небрежность ответов некоторых менеджеров. Например, из ProtoSecurity на почту нам отвечали довольно быстро, но при этом прислали КП для другого клиента. В целом же, наиболее толково отвечали из ProtoSecurity, DDoS-GUARD: задавали наводящие вопросы, интересовались техническими нюансами.
А теперь наиболее запомнившиеся нам особенности.Qrator labs, не уточнив технических характеристик, сразу предложили нам два варианта: “недорогой” и “полноценный”. Уже сама формулировка весьма смутила: т.е. недорогой=неполноценый, а полноценный=дорогущий?
В графике мы отобразили тот тариф, который нас больше устроил по техническим характеристикам. Был вариант и дешевле — но с фильтрацией только по L5 включительно. “Дешевая” защита обошлась бы нам в 90 тысяч рублей в месяц, без стоимости подключения и без учета доплаты за SSL-фильтрацию (с раскрытием криптоключей — 6.000 рублей единоразово, без раскрытия — 9.000 разово и 9.000 ежемесячно)
На наш деликатный вопрос, почему так дорого по сравнению с конкурентами, нам ответили просто: “к счастью мы не играем в ценовые войны”. К чьему счастью, осталось непонятным. А вообще, сильно смущает, что приходится за все доплачивать — что же тогда входит-то в защиту за абонплату?
Зато Qrator предлагает довольно продолжительный тестовый период — неделю. Столь же долгий триал для крупных клиентов может предложить только DDoS-GUARD. Вообще, тестовый период — понятие условное. Например, онлайн-консультант обещает одно, а вот исполнительный директор — другое. То есть всегда есть вариант договориться.
График 2. Бесплатный тестовый период (в сутках)
Кстати, скидки нам, как крупному клиенту, предложили только DDoS-GUARD (индивидуальные), Qrator (скидка на стоимость одного Мбит/сек трафика) и DDoS-Protection (при условии аренды выделенного сервера у их партнеров).
А вот что сильно не порадовало — это ДОПЛАТЫ ЗА МОЩНОСТЬ DDoS-АТАКИ. Такие с Вас потребуют Link11, ProtoSecurity. Кстати, у Qrator тоже есть ограничения по мощности атак на всех тарифах (кроме Corporate UN за 135.000 рублей. Как написано на официальном сайте, в случае, если скорость атаки будет больше указанной цифры (1, 3, 10 Гбит/сек), они предложат перейти на более дорогой тариф, а избыточный трафик будут сбрасывать (и легитимный, и подозрительный). Нам же в письме обещали не сбрасывать трафик автоматом и не ставить лимиты на атаки.
Возникает вопрос, как я, будучи владельцем ресурса, могу точно сказать, как сильно меня будут валить в следующем месяце, чтобы знать, сколько придется заплатить? И почему я должен терять потенциальных клиентов, притом платя несколько десятков тысяч рублей в месяц, из-за того, что защитник снимает с себя все риски?
Без учета возможных доплат и скидок стоимость защиты в месяц будет следующая:
График 3. Плата за месяц
Цены приведены за полосу трафика, которую нам предложили “защитники” для оптимальной работы: DDoS-Protection, ProtoSecurity — 100 мб/сек; Qrator, DDoS-GUARD — 600 мб/сек; Voxility, Link11 — 1 Гб/сек.
Скорость и цена подключения также сильно варьируются. Некоторые компании не смогли обозначить даже примерных сроков и чека.
График 4. Время на подключение (в часах)
График 5. Плата за подключение (единоразово)
Перейдем к технической части. Пункт асимметрия трафика. Одни пишут, что пускать на их фильтры нужно и входящий, и исходящий трафик, другие же фильтруют только входящий, обещая, что это никак не скажется на уровне защиты. К последним относятся DDoS-Protection, ProtoSecurity и Voxility. При этом их конкуренты (Qrator|, DDoS-GUARD, Link11) отмечают, что анализ только входящего трафика существенно снизит качество фильтрации, т.е. для качественной защиты обязательно необходимо анализировать и исходящий трафик. Но из-за этого придется покупать более широкую полосу трафика, что заметно сказывается на конечной стоимости.
DDOS-PROTECTION, ProtoSecurity и Qrator предлагают HTTPS-фильтрацию без раскрытия сертификатов, правда, последние — с оговоркой, что фильтрация будет лучше с раскрытием. (Хотя на июньской конференции StartupVillage 2015 представители Cisco четко озвучили, что фильтрация без раскрытия невозможна). По мнению технических специалистов нашей компании, подобный способ — своеобразный “костыль” (ну и маркетинговый ход). Вот как это реализовано у разных компаний:
DDoS-Protection. В режиме “под атакой" заход на https возможен только после http-верификации (сценарий: зашел на сайт, перешел в личный кабинет).
Возможны и варианты с обычным рейт-лимитированием, В
случае подключения по туннелям или размещения площадки на их платформе,
раскрытия сертификатов не требуется.
ProtoSecurity. 1. Для веб-сайта автоматически и бесплатно выпускается сертификат от удостоверяющего центра GlobalSign — он доверенный на всех ОС и устройствах. Этот сертификат устанавливается на все прокси-серверы, при подключении пользователей используется именно он, а при соединении прокси и ваших веб-серверов (или балансировщиков) — используется ваш стандартный сертификат.
2. На прокси для домена можно установить клиентский сертификат с ключом. Это может быть существующий сертификат от веб-сервера, либо отдельный (новый) сертификат. Это вариант с раскрытием ключей, НО так как это может быть новый сертификат, не обязательно отдавать ключ от существующего сертификата.
Qrator, предлагая фильтрацию без раскрытия, пишет о том, что предоставляет клиенту возможность автоматизированного управления белыми/черными списками своей системы, позволяя осуществлять фильтрацию на периметре своей сети.
Так или иначе, эти способы предполагают внедрения софта на стороне клиента и не дают гарантий от ложных срабатываний. Поэтому лично мы практической пользы от этого не видим.
ВЫВОДЫ. DDOS-PROTECTION, несмотря на привлекательно (или подозрительно?) низкие цены, не дали информацию по своей фильтрующей сети, сославшись на конфиденциальность этих данных.
С Voxility у нас возникли недопонимания из-за языкового барьера (все-таки английский язык “разный” у румын и русских).
А вот от немцев Link11, которые славятся своим качеством, нас отвратил очень долгий ответ на письма и отсутствие русскоязычного саппорта.
DDoS-GUARD отвечали довольно быстро и обстоятельно, задавали уточняющие вопросы, из особенностей — обилие специфичных терминов в ответах, которые иногда сбивают с толку.
ProtoSecurity постоянно были на связи и не забывали про нас, но не порадовали своими расценками, а также тем, что прислали КП для другой компании.
В общем, если говорить про ценовую политику, то наименее привлекательны с этой точки зрения Qrator и Link11.
В итоге, мы остановились на защите от компании, которая максимально подошла по соотношению цена/качество/поддержка.
Примечание. Для удобства сравнения мы пересчитали все цены в рубли по курсу ЦБ РФ на момент подготовки обзора. ProtoSecurity счет выставляют в долларах по курсу Центробанка плюс 1%, Voxility и Link11 — в евро.
Условные обозначения
ссылка на оригинал статьи http://habrahabr.ru/post/263639/
Добавить комментарий