Unlimited Plugins, WordPress themes, videos & courses! Unlimited asset downloads! From $16.50/m
Advertisement
  1. Code
  2. Amazon Web Services

Melindungi Situs AWS Anda Dari Serangan DDoS

by
Difficulty:IntermediateLength:LongLanguages:
This post is part of a series called Securing Your Website with Incapsula.
How to Secure Your Website With Imperva Incapsula
How to Optimize and Accelerate Your Website With Imperva Incapsula
Sponsored Content

This sponsored post features a product relevant to our readers while meeting our editorial guidelines for being objective and educational.

Indonesian (Bahasa Indonesia) translation by Kaustina Nurul Ilmi (you can also view the original English article)

Incapsula network diagram

Update untuk Seri Incapsula Imperva kami

Ini adalah bagian kedua dari rangkaian tiga seri disponsori yang mencakup Kinerja dan keamanan layanan Incapsula. Di bagian satu, saya memperkenalkan anda  Incapsula Website Security dan melihat betapa mudahnya mengintegrasikan situs web anda dengan sistemnya - secara harfiah hanya membutuhkan beberapa menit dan menyediakan seperangkat perlindungan canggih yang sangat luas.

Dalam tutorial ini, saya akan menjelaskan bagaimana keamanan Incapsula dapat melindungi situs web yang dihosting Amazon Web Services (dan juga situs web manapun) distributed denial of service attacks (DDoS)

Pada dasarnya, serangan DDoS paling sering merupakan serangan terkoordinasi dari ribuan komputer "zombie" yang dikompromikan terhadap target tertentu - mungkin situs anda. Tidak mudah bertahan melawan serangan ini.  Serangan DDoS tidak hanya dapat menurunkan layanan anda dan merusak pengalaman pelanggan anda, namun juga dapat menyebabkan overage bandwidth yang besar dan biaya selanjutnya.

Di episode berikutnya dan bagian ketiga dari seri ini, kita akan beralih ke Incapsula CDN & Optimizer dan fitur lainnya seperti kompresi dan optimasi gambar-sebagian besar tersedia secara gratis.

Incapsula adalah layanan yang menarik dan canggih yang saya harap bisa meyakinkan editorial gods at Tuts+ untuk membiarkan saya menulis lebih banyak tentang hal itu. Jika anda memiliki permintaan untuk episode kedepannya dalam seri ini atau pertanyaan dan komentar pada hari ini, silahkan posting di bawah ini.  Anda juga bisa menghubungi saya di Twitter  @reifman atau  email saya  langsung.

Rekap singkat dari Incapsula

Incapsula The Website Home Page

Seperti yang saya sebutkan di bagian satu , ketika anda mendaftar Incapsula,lintas situs web anda akan disalurkan secara mulus melalui jaringan server yang terdistribusi secara global.  Lalu lintas inbound anda secara cerdas diprofilkan di real time, memblokir ancaman web terbaru (misalnya, SQL injection attacks, scrapers, malicious bots, and comment spammers), dan dengan rencana-tingkat yang lebih tinggi, menggagalkan serangan DDoS.  Sementara itu lalu lintas keluar anda dipercepat dengan CDN & Optimizer. Banyak fitur ini disediakan secara gratis, dan anda dapat mencoba semuanya tanpa biaya selama masa uji coba 14 hari. Jika anda memiliki lebih banyak pertanyaan, periksa Incapsula FAQs .

Incapsula DDoS Protection

Menurut Imperva, "sebuah studi industri baru-baru ini menunjukkan bahwa sekitar 75% pengambil keputusan IT telah terkenak setidaknya satu DDoS dalam 12 bulan terakhir, dan 31% melaporkan gangguan layanan sebagai akibat dari serangan tersebut."  

Incapsula secara komprehensif melindungi situs anda dari ketiga jenis serangan DDoS :

  1. Serangan berbasis volume
  2. Serangan protokol
  3. Serangan Lapisan aplikasi

Incapsula secara komprehensif melindungi situs anda dari ketiga jenis serangan DDoS:

    Anda dapat mengukur kewajiban keuangan atas serangan DDoS terhadap perusahaan anda dengan Incapsula DDoS Downtime Cost Calculator:

    Incapsula DDoS Downtime Cost Calculator

    Berikut adalah contoh hasil yang ditunjukkan kepada saya dengan pengaturan saya:

    Sample results from Incapsula DDoS Downtime Cost Calculator

    Dengan perencanaan Incapsula Pro, anda akan mendapatkan Firewall Aplikasi Web (WAF) yang canggih dan perlindungan backdoor untuk meminimalkan tanggung jawab dan risiko.  

    Untuk perlindungan terhadap serangan DDoS layer aplikasi, anda memerlukan rencana Bisnis yang dimulai pada $299 per situs per bulan. Rencana Perusahaan menawarkan perlindungan dari serangan lapisan jaringan.

    Incapsula Pricing and Plans

    Perlindungan Incapsula DDoS akan bekerja baik jika anda meng-host situs Anda di AWS atau host web manapun. Inilah cara mereka menyampaikannya dan apa yang mereka berikan:

    • Disediakan sebagai network of globally positioned Data Centersm yang bertenaga 
    • Aplikasi (Layer 7) dan Network (Layers 3,4) Perlindungan DdoS
    • Didukung oleh tim keamanan 24x7 dan SLA waktu operasional 99,999%
    • Tersedia sebagai layanan selalu on atau on-demand

    Berikut adalah peta pusat data global jaringan Incapsula:

    Incapsula Global Data Centers

    Anda dapat melihat bagaimana pengunjung anda sebenarnya dan Lalu lintas DDoS dikelola oleh Incapsula sebelum mereka mencapai situs web Anda (sering dicerminkan oleh Incapsula untuk kinerja):

    Incapsula How DDoS works

    Ada juga perlindungan DDoS untuk semua jenis layanan (UDP / TCP, SMTP, FTP, SSH, VoIP, dll.) saat anda mendaftar perlindungan infrastruktur untuk alamat IP individu .

    Proteksi IP individual memungkinkan pengguna menyebarkan perlindungan DDoS untuk mempertahankan semua jenis lingkungan, termasuk:

    • Lingkungan awan (misalnya AWS, Azure)
    • Server game (dan perangkat lain yang menggunakan protokol proprietary)
    • Perangkat jaringan individual dan server asal

    Saat Anda bergabung dengan layanan ini, Incapsula akan memberi anda alamat IP dari jangkauan IP kita sendiri untuk mengarahkan lalu lintas. Sebuah terowongan kemudian didirikan antara server asal anda (atau router / load balancers) dan jaringan Incapsula.  Begitu berada di tempat, terowongan ini digunakan untuk rute lalu lintas yang bersih dari jaringan kita ke tempat asal anda, dan sebaliknya. anda kemudian menyiarkan alamat IP yang diberikan ke pengguna anda melalui DNS, membuat alamat "asal" nominal anda

    Incapsula Data Center Traffic Flow with GRE Tunnel

    Sebelum kita menjelaskan lebih lanjut tentang keunggulan Incapsula bagi pelanggan AWS, mari kita jalani lebih banyak tentang serangan DDoS dan terminologi jaringan.

    Bagaimana Serangan DDoS Beroperasi

    Gambar di bawah (dari Wikipedia ) menunjukkan bagaimana penyerang memanfaatkan jaringan tidak bisa dilacak dari komputer dan dikompromikan "zombie" untuk membawa aplikasi web bertekuk lutut:

    Wikipedia Image of a DDoS attack

    Perlindungan Incapsula DDoS bekerja di Aplikasi (Lapisan 7) dan Jaringan (Lapisan 3 dan 4) dari Tujuh Lapisan Model OSI . Berikut panduan Wikipedia untuk lapisan ini untuk detail lebih lanjut:

    OSI Model Seven Layers

    Meskipun mungkin tampak kompleks, ini pada dasarnya adalah lapisan yang digunakan oleh serangan DdoS. Merekalah yang menghubungkan situs anda dengan pengguna Internet dan komputer lain di Internet.

    Pendekatan Lima Cincin Incapsula untuk Perlindungan DDoS

    Dari sudut pandang konseptual, perlindungan DdoS Incapsula berdasarkan pada satu set cincin konsentris di sekitar aplikasi, yang masing-masing filter porsi berbeda dari lalu lintas. Masing-masing cincin ini dengan sendirinya dapat dengan mudah dilewati; Namun, bekerja secara serentak mereka menghentikan hampir semua lalu lintas berbahaya.  Sementara beberapa serangan DDoS dapat dihentikan di ring luar, serangan multi-vektor terus-menerus hanya dapat dihentikan dengan menggunakan semua (atau sebagian besar) dari mereka. 

    Incapsula 5-Ring Approach to DDoS Protection

    Dengan demikian, Incapsula membela segala jenis upaya hacking dan serangan termasuk  Open Web Application Security Project (OWASP) sepuluh ancaman terdefinisi:

    1. Injeksi
    2. Paten Otentikasi dan Manajemen Sesi
    3. Cross-Site Scripting (XSS)
    4. Referensi Objek Langsung yang Tidak Aman
    5. Kesalahan konfigurasi keamanan
    6. Paparan Data Sensitif
    7. Hilang Fungsi Level Access Control
    8. Pemalsuan Permintaan Lintas Situs (CSRF)
    9. Menggunakan Komponen dengan Kerentanan yang Diketahui
    10. Pengalihanke depan dan  tidak tervalidasi

    Begini cara solusi Incapsula pendekatan lima cincin beroperasi:

    Ring 5: Klien Klasifikasi vs volumetrik Layer 7 Serangan.  Dalam beberapa kasus, penyerang dapat menggunakan serangan lapisan aplikasi volumetrik (misalnya banjir HTTP) sebagai gangguan yang ditujukan untuk menutupi serangan yang lebih bertarget lainnya.  Incapsula menggunakan klasifikasi klien untuk mengidentifikasi dan menyaring bot ini dengan membandingkan tanda pengenal dan memeriksa berbagai atribut: info IP dan ASN, header HTTP, variasi dukungan cookie, jejak JavaScript, dan tanda-tanda lainnya.  Incapsula membedakan antara manusia dan lalu lintas bot, antara bot "baik" dan "buruk", dan mengidentifikasi AJAX dan API.

    Cincin 4: Daftar Putih dan Reputasi Pengunjung. Setelah menandai dan memblokir lalu lintas volumetrik berbahaya, partisi Incapsula sisa lalu lintas situs web menjadi pengunjung "abu-abu" (mencurigakan) dan "putih" (sah).  Tugas ini didukung oleh sistem reputasi Incapsula.

    Ring 3: Aplikasi Web Firewall untuk Direct Attack Vectors. Selain menawarkan perlindungan DDoS, solusi Incapsula mencakup Firewall Aplikasi Web kelas enterprise (WAF) yang melindungi situs web dari ancaman lapisan aplikasi apa pun, seperti injeksi SQL, skrip lintas situs, akses sumber daya ilegal dan penyertaan file jarak jauh.  WAF menggunakan teknologi inspeksi lalu lintas yang canggih dan teknik crowdsourcing, ditambah dengan keahlian ekstensif yang memberikan keamanan aplikasi end-to-end. Fitur lanjutan mencakup mesin aturan khusus (IncapRules, diulas di bawah), perlindungan shell backdoor, dan otentikasi dua faktor terpadu (diulas di bagian satu .)

    Ring 2: Tantangan Progresif. Incapsula menerapkan serangkaian tantangan progresif yang dirancang untuk memastikan keseimbangan optimal antara perlindungan DDoS yang kuat dan pengalaman pengguna yang tidak terganggu.  Idenya adalah meminimalkan kesalahan positif dengan menggunakan serangkaian tantangan transparan (misalnya dukungan cookie, eksekusi JavaScript, dll.) Untuk memberikan identifikasi klien yang tepat (manusia atau bot, "baik" atau "buruk"). 

    Ring 1: Deteksi Anomali Perilaku. Incapsula menggunakan aturan Deteksi Anomali untuk mendeteksi kemungkinan contoh serangan Layer 7 yang canggih. Cincin ini bertindak sebagai jaring pengaman otomatis untuk menangkap serangan yang mungkin menyelinap melalui celah-celah.  

    Cincin 0: Tim Keamanan Khusus.  Pada akhirnya, pengalaman anda dengan Incapsula didukung oleh Tim profesional Pusat Operasi Keamanan Imperva dan staf pendukung 24x7.  Mereka secara proaktif menganalisis perilaku internal aplikasi dan mendeteksi penggunaan tidak teratur sebelum masalah menyebar.  

    Di bawah ini, Incapsula mengurangi serangan DDoS 250GBps - salah satu yang terbesar di Internet:

    Incapsula DDoS Attack Mitigation Example

    Selanjutnya, Incapsula Web Application Firewall  Bersertifikat PCI (PCI diciptakan oleh organisasi kredit global seperti American Express, MasterCard, dan Visa):  

    Dewan Standar Keamanan PCI adalah forum global terbuka yang diluncurkan pada tahun 2006, yang bertanggung jawab atas pengembangan, pengelolaan, pendidikan, dan kesadaran akan Standar Keamanan PCI, termasuk Standar Keamanan Data (PCI DSS), Standar Keamanan Data Aplikasi Pembayaran PA-DSS), dan persyaratan PIN Transaction Security (PTS).

    Tentu saja, DDoS Protection diimplementasikan di luar jaringan anda. Ini berarti bahwa hanya lalu lintas yang disaring mencapai host anda-melindungi investasi anda di perangkat keras, perangkat lunak, dan infrastruktur jaringan, sekaligus menjamin kelangsungan bisnis anda.

    Incapsula DDoS Protection untuk AWS

    Apakah anda meng-host aplikasi anda dengan AWS atau tida, bukanlah sebuah masalah, karena kemampuan pelindung DDoS dari solusi Incapsula akan menjaga website anda. Tapi, jika anda seorang pelanggan AWS, jangan terkecoh dengan pemikiran Amazon akan sepenuhnya melindungi anda-Incapsula memberikan perlindungan tambahan yang signifikan.  

    Seperti kebanyakan platform hosting, AWS bukan platform keamanan. Meskipun menawarkan kemampuan mitigasi DDoS yang mendasar, seperti Cookie SYN  dan membatasi koneksi, itu tidak dibangun untuk mempertahankan host server dan aplikasi.  Jika server web anda terkena serangan DDoS (lapisan 7), AWS tidak akan melindungi anda.  Lebih buruk lagi lagi, jika anda menerima serangan DDoS jaringan besar (lapisan 3 dan 4), anda akan dikenakan biaya untuk bandwidth tambahan dan menerima tagihan besar pada akhir bulan.  Siapa pun yang berurusan dengan layanan pelanggan Amazon tahu mendapatkan pengembalian uang tidak selalu mudah .

    Incapsula melengkapi AWS  dengan Layanan perlindungan DDoS berbasis cloud. Layanan ini meningkatkan kemampuan keamanan dasar AWS sehingga aplikasi penting anda terlindungi sepenuhnya dari semua jenis serangan DDoS.  

    Dengan menggunakan teknologi inspeksi lalu lintas yang canggih, Incapsula DDoS Protection for AWS secara otomatis mendeteksi dan mengurangi jaringan volumetrik (lapisan OSI 3) dan serangan DDoS aplikasi yang canggih (layer 7) -dengan gangguan bisnis nol  bagi pengguna.

    Layanannya selalu mengamankan situs dan aplikasi berbasis AWS terhadap semua jenis serangan DDoS - dari serangan volumetrik jaringan (OSI layer 3 dan 4) yang sangat besar hingga serangan aplikasi yang rumit (layer 7). Deteksi otomatis dan mitigasi transparan terhadap penetrasi DDoS meminimalkan false positive, memastikan pengalaman pengguna normal-bahkan saat diserang.

    Ingin Bereksperimen Dengan Incapsula dan AWS?

    Jika anda ingin bereksperimen dengan Incapsula dan AWS dengan contoh-contoh EC2 dan panduan sederhana, ikuti Tuts+ saya Panduan instalasi WordPress di Amazon Cloud  dan kemudian gunakan bagian satu dari seri ini  untuk mendaftar Incapsula dan buat perubahan DNS sederhana untuk mengintegrasikannya dengan situs web anda.  Seperti yang saya jelaskan di episode itu, hasilnya terus berlanjut cepat dan mengesankan.

    Tentu saja, jika anda menggunakan Amazon's DNS service Route53, begitu mudah untuk mengkonfigurasi situsanda seperti yang saya jelaskan di bagian satu dengan layanan DNS generik saya.

    Cukup log in ke konsol manajemen Route53 dan kemudian browse ke set record domain anda. Dari daftar catatan, pilih subdomain yang anda tambahkan ke Incapsula dan edit datanya di dialog Edit Record Set.

    Jika anda menggunakan CNAME, ia akan terlihat seperti ini:

    Incapsula AWS Route53 CNAME Example

    Jika anda menggunakan www. atau naked domain dan catatan A, ia terlihat seperti ini: 

    Incapsula AWS Route53 Naked Domain A Record Example

    Jika anda lebih memilih sekedar panduan visual, lihatlah  Situs demonstrasi Incapsula dan beberapa sumber yang bagus mengenai Perlindungan Incapsula DDoS untuk   AWS .

    Pertama, ada Incapsula DDoS Protection Overview (pdf) (gambar di bawah):   

    Incapsula DDoS Protection Overview Whitepaper

    Ada juga referensi rinci dan bermanfaat:

    Dan, ada juga Halaman arahan DDoS untuk host generik (non-AWS).

    Server Incapsula melakukan inspeksi paket yang kuat dan dalam untuk mengidentifikasi dan memblokir paket berbahaya berdasarkan rincian yang paling terperinci. Hal ini memungkinkan mereka untuk segera memeriksa semua atribut dari setiap paket masuk, sekaligus melayani ratusan gigabits lalu lintas dengan tarif inline.

    700+ Gbps Incapsula jaringan pusat penggosokan global meringankan serangan DDoS terbesar - termasuk banjir SYN dan amplifikasi DNS, yang dapat melebihi 100 Gbps.  Skala jaringan Incapsula pada permintaan untuk melawan serangan DDoS volumetrik besar-besaran. Iai memastikan bahwa mitigasi diterapkan di luar jaringan anda sendiri, yang memungkinkan hanya lalu lintas yang difilter untuk menjangkau host Anda.

    Segera, Incapsula akan menyediakan perlindungan infrastruktur IP individual Saya sebutkan di atas untuk pelanggan AWS. Setelah dikonfigurasi, anda bisa menggunakannya  Kelompok keamanan Amazon untuk memastikan semua lalu lintas eksternal dibatasi untuk muncul dari dalam Incapsula.  Ia menghilangkan penyerang dari luar dari mengabaikan layanan anda dengan Incapsula.dan menyerang anda secara langsung. Intinya, anda hanya mengkonfigurasi kelompok keamanan untuk membatasi oleh Incapsula alamat jaringan IP .

    Dan ya, anda tetap dapat menggunakan domain CloudFront untuk menyajikan file statis saat menggunakan Incapsula untuk mitigasi DDoS dan DNS Route 53 AWS.

    Mengelola Keamanan Situs Anda Dengan Incapsula

    Saya mengulas elemen awal ini episode satu; setelah situs anda dikonfigurasi, anda akan melihatnya tercantum di dasbor:

    Incapsula Dashboard Site List

    Pengaturan Incapsula memberi anda kendali penuh atas beragam fitur canggihnya. Anda bisa melihat konfigurasi DDoS dari Firewall Aplikasi Web (WAF) sub-menu:

    Incapsula Dashboard Settings

    Dari situ, anda bisa mengkonfigurasi perilaku DDoS anda. Dibawah Pengaturan lanjutan, ada bisa menginstruksikan Incapsula kapan dan cara menantang penyerang yang dicurigai:

    Incapsula DDoS Advanced Settings

    Anda juga dapat memasukkan alamat IP putih, URL, negara tertentu dan lainnya:

    Incapsula Whitelist Rules for DDoS

    IncapRules Filter Events dan Trigger Actions

    Area Dasbor Event membantu anda memfilter, mengidentifikasi dan memulai merespons serangan dari segala jenis, termasuk DDoS:

    Incapsula DDoS Event Filtering and Examination

    Dengan bantuan dari sini atau dari spesifikasi anda sendiri, anda dapat mengkonfigurasi peraturan untuk memfilter, mengingatkan anda dan merespon secara otomatis terhadap jenis serangan.  Mereka disebut IncapRules. Sub-menu IncapRules memberikan deskripsi lengkap tentang bagaimana mendefinisikan aturan yang lebih rinci.  

    Incapsula InCap Rules

    Menambah dan mengelola Daftar Aturan cukup mudah:

    Incapsula List of Incap Rules

    IncapRules memungkinkan anda untuk memanfaatkan jangkauan keseluruhan kemampuan komunikasi lalu lintas Incapsula. Dengan mereka, anda dapat membuat kebijakan khusus berdasarkan konten header HTTP, geolokasi, dan banyak lagi.

    Sintaks IncapRules bergantung pada deskriptif-bernama 'Filter' dan satu set operator logika. Gabungan ini digunakan untuk membentuk aturan keamanan (alias 'Pemicu') yang mengarah ke salah satu 'Tindakan' yang telah ditentukan. Berikut adalah beberapa contohnya:

    Pada gambar ini, kami mengonfigurasi aturan untuk meminta cookies jika lebih dari 50 sesi aktif sambil memungkinkan aktivitas yang lebih tinggi dari alamat IP tertentu atau bot Google Search.

    IncapRules Example Filter

    Untuk mengatasi serangan brute force, anda dapat menerapkan aturan yang relatif sederhana, untuk membatasi jumlah permintaan POST berikutnya ke halaman login anda. Misalnya, filter sederhana ini akan dipicu oleh lebih dari 50 permintaan POST berikutnya yang dibuat oleh pengunjung tidak manusiawi (non-browser) dalam rentang waktu tertentu:

    Begitu dipicu, peraturan tersebut bisa merespons dengan sejumlah tindakan. Dalam hal ini, aturan diatur ke  [Block Session] yang akan segera mengakhiri sesi.  Bergantian, anda bisa mengatur aksinya [Siaga], yang transparan akan memberitahu anda tentang insiden dengan email dan GUI pesan.

    Tentu saja, ambang batas tingkat generik dapat mengganggu pengalaman pengguna dengan tidak semestinya. Misalnya, anda mungkin ingin membatasi hal ini ke AP anda dan tingkat permintaan yang lebih tinggi dari biasanya.   Satu hal yang dapatanda lakukan adalah men-tweak sintaks aturan dengan filter [URL], untuk membuat aturan yang tidak akan dipicu oleh permintaan POST ke URL API:

    Saat menggunakan beberapa filter dengan berbagai operator logis (misalnya dan / atau, lebih besar / lebih kecil dari, dan, dll.) Untuk menghubungkan keduanya, set filter IncapRules menawarkan kombinasi tanpa batas - memungkinkan anda membuat kebijakan keamanan khusus untuk setiap jenis skenario.

    Anda bisa belajar lebih banyak tentang  IncapRules dan perlindungan terhadap serangan kekerasan di sini, atau merasa bebas untuk mencobanya !

    Incapsula T-Shirt

    Apa yang Akan kita Jelajahi Selanjutnya?

    Saya harap anda menikmati belajar perlindungan DdoS Incapsula. Ketika saya memberikan solusi Incapsula, saya benar-benar terkesan dengan integrasi sederhana dan beragam kemampuan proteksi yang hebat.  Jika aplikasi situs web anda mungkin rentan terhadap serangan berskala besar, perlindungan DDoS akan terbukti sangat berharga dan hemat biaya.

    Selanjutnya, saya akan menyelidiki Incapsula CDN & Optimizer secara mendalam, dimulai dengan rencana bebas, yang mencakup jaringan pengiriman konten, minimisasi, kompresi gambar, Optimalisasi TCP, Pre-Pooling dan banyak fitur lainnya.

    Silahkan kirimkan pertanyaan dan komentar anda di bawah ini. Anda juga bisa menghubungi saya di Twitter  @reifman atau email saya langsung. Anda juga bisa browsing  halaman Tutor + instruktur saya untuk membaca tutorial lain yang telah saya tulis.

    tautan yang berhubungan

    Advertisement
    Advertisement
    Advertisement
    Advertisement
    Looking for something to help kick start your next project?
    Envato Market has a range of items for sale to help get you started.