Клиент
Tilda – платформа для создания сайтов, интернет-магазинов и посадочных страниц. Тильда позволяет создавать проекты профессионального уровня без знания кода. В основе платформы — модульный редактор. Достаточно добавить несколько блоков на страницу, заменить в них контент и сразу опубликовать собственный проект.
Именно этот принцип и был реализован в услуге, которую специалисты DDoS-Guard разработали для решения поставленной клиентом задачи. Также для компании был важен широкий набор функциональных возможностей, экспертная поддержка и соответствие искомого решения требованиям безопасности и надежности.
DDoS-Guard является крупнейшим провайдером безопасности с широкой линейкой продуктов по обеспечению защиты от DDoS-атак, доставке контента и веб-хостинга. В рамках предоставляемых услуг компания использует собственные уникальные разработки, созданные экспертами в области больших данных и ИИ. Компания обладает собственной геораспределенной сетью фильтрации, общая канальная емкость которой более 3,2 Tbps.
Описание ситуации
Tilda искали решение, которое бы помогло реализовать «зонтичную» защиту от DDoS-атак на инфраструктуру сервиса. Каждая такая атака подвергает серьезному испытанию работоспособность оборудования, которое отвечает за функциональность десятков тысяч пользовательских сайтов.
В случае, если система не выдержит массированной атаки, это может означать для клиентов проблемы с ведением бизнеса и убытки на период отказа системы в обслуживании. Отсюда цели: нивелировать риски возникновения ситуации отказа системы через гибкое распределение нагрузки трафика (балансировку) и реализовать максимально понятный и удобный для клиента интерфейс массового управления прокси.
Задача
Стандартное решение по обеспечению защиты от DDoS-атак для Tilda не подходило в силу специфики сервиса. Уже значительный и постоянно растущий объем сайтов, которые нужно защитить, требовал обеспечить возможность единой настройки без необходимости заниматься микроменеджментом.
Клиенту было необходимо, в числе прочего:
- Иметь возможность быстро изменить защищенный IP на конкретном сервисе;
- Получить решение по балансировке, которое бы обеспечивало бесперебойность работы для основной массы доменов;
- Приобрести возможность быстрой массовой миграции для доменов;
- Использовать собственный дизайн и наполнение технических страниц об ошибках для пользователей.
Существующая концепция не отвечала запросам Tilda, и для реализации задачи по защите клиентов платформы потребовалось разработать собственное универсальное решение, используя современные тенденции облачных технологий. Теперь эта услуга доступна каждому.
Решение
Проблему с глобальной защитой клиентских сайтов для Tilda полностью решил модуль Global Proxy. Этот компонент в услуге по защите сайта позволяет задавать правила фильтрации сразу для множества доменов по умолчанию в несколько нажатий, а также по желанию клиента задавать исключения из правил.
Модуль Global Proxy предназначен для крупных проектов с сотнями и тысячами сайтов, которым часто требуется вносить изменения и оперативно добавлять новые записи проксирования. Услуга значительно экономит время клиента по настройке прокси, максимально автоматизируя процесс: новые домены могут добавляться сразу с одинаковыми настройками (кастомными или по умолчанию) в рамках одной услуги.
В качестве выделенных адресов могут быть предоставлены не только отдельные IP-адреса, но и целые сети, в том числе /24 и более. Функционал позволяет назначать в качестве защищенных как адреса из адресного пространства DDoS-Guard, так и собственные сети клиентов. Направление на услугу Global Proxy сразу множества адресов позволяет держать на одном адресе меньше сайтов пользователей и разгрузить производительность.
Отзыв клиента
Команда Tilda высоко оценила разработанную услугу:
«Благодаря DDoS-Guard мы получили надежный и удобный инструмент для защиты сайтов наших пользователей. Большинство операторов защиты привязывают настройки к конкретному домену, нам такой вариант не подходит. DDoS-Guard доработали систему и теперь настройки защиты выставляются на всю услугу сразу. Это позволяет быстро перенастраивать окружение под потребности, быстрее реагировать на инциденты. Очень удобна возможность привязать к услуге собственную сеть, что позволяет уменьшить количество сайтов на одном IP адресе».
Преимущества Global Proxy
- Легкое управление практически любым количеством доменов
- Все домены могут обрабатываться по одному общему правилу
- Единая статистика по всем доменам
- Широкая настраиваемость сервиса
- Автоматический бесплатный SSL сертификат для всех доменов
- Настраиваемые страницы ошибок (Custom pages)
- Геоблокировка (Geo-blocking)
- Возможность управления Protected IP (которые выданы клиенту в рамках данной услуги) и Target IP
- Балансировка целевых IP-адресов
Как работает услуга
Клиент в личном кабинете Global Proxy может одним нажатием задать стандартный набор правил фильтрации для всех новых доменов, которые регистрируются в системе, указывать целевой IP и защищенный IP.
Эти правила можно гибко настраивать и задавать списки IP-адресов, на которые они распространяются, выбрать тип соединения DDoS Guard с веб-сервером, настроить при желании редирект HTTP на HTTPS, задать HSTS и его срок. Для оптимизации в личном кабинете доступна активация кэширования, а также (после его включения) дополнительные параметры уровня сжатия Gzip/Brotli и эвристической рекомпрессии.
Для Global Proxy используется так называемый пассивный балансировщик, что подразумевает что система не выполняет самостоятельно запросы для проверки доступности, а мониторит соединения посетителей сайта и ориентируется на их статусы при принятии решений о доступности целевых серверов.
Каждый отдельно взятый узел фильтрации принимает решение о доступности/недоступности целевого независимо, опираясь на собственные ошибки подключения. Это позволяет максимизировать эффективность и скорость работы.
Сервер считается недоступным, если было зафиксировано заданное в настройках количество последовательных сбоев, интервал между которыми не больше заданного периода. Если с последнего сбоя прошло больше времени, чем заданный период, сервер считается восстановившим работоспособность.
Настраиваемые страницы ошибок (Custom Pages)
Клиент в рамках услуги «Custom pages» может настроить показ широкого спектра страниц ошибок, которые могут видеть пользователи при переходе на домен. Пользовательские страницы ошибок помогают привести страницы-«заглушки» в соответствие бренду (стилю) клиента. Удобный интерфейс позволяет загрузить их прямо из личного кабинета DDoS-Guard.
Доступны следующие кастомные страницы:
- CAPTCHA (определяет, является ли пользователь человеком или ботом);
- Geo-blocking (для пользователей из заблокированного региона);
- JS Challenge (выводится при первом заходе на сайт, также защищает от вредоносных скриптов, не поддерживающих JavaScript)
Балансировка
В рамках реализации Global Proxy для Tilda была переработана и усовершенствована до полного соответствия потребностям клиента услуга балансировки – алгоритм, согласно которому определяется порядок распределения запросов между доступными целевыми IP-адресами. На практике это помогает избежать чрезмерной нагрузки на сервер путем перенаправления входящего потока трафика на другие серверы.
Для балансировки может применяться любое количество серверов, процесс выполняется путем распределения запросов между IP адресами целевых серверов. Их доступность проверяется с помощью http/https запросов. В личном кабинете задаются клиентом максимальное количество ошибок соединения, время ожидания и страница проверки.
Клиенту доступна также функция назначения серверам определенных весов балансировки вместо равномерного распределения запросов, которое работает по умолчанию. Таким образом, можно регулировать, как распределяется поток клиентов между серверами в кластере, например, если они не одинаковы по мощности и предпочтительно на один из них направлять больше трафика. Вес балансировки каждого сервера задается в личном кабинете.
Клиент может выбрать из трех доступных методов балансировки.
Round Robin — алгоритм кругового обслуживания. Каждый запрос перенаправляется на сервер в цикличном порядке. Этот вариант подходит, когда все сервера работают без сохранения состояний (stateless), или если клиенту достаточно базового варианта балансировки.
IP Hash — сервер обрабатывающий запрос, выбирается из статической таблицы по IP-адресу отправителя и получателя. Этот вариант оптимален для тех случаев, когда необходимо сохранять соединение между конкретным пользователем и конкретным бекэндом. Но при изменении количества серверов все хэши будут пересчитаны.
Rendezvous Hash — определяет порядок между серверами для каждого пользователя. Этот вариант следует выбирать, когда хочется сохранять связь между пользователем и бэкэндом, но происходит регулярное изменение количества работающих бэкэндов.
Наш опыт
DDoS-GUARD предоставляет сервис защиты от кибератак многим организациям, как в России, так и за рубежом. Наша команда постоянно изучает актуальные технические проблемы и новые вектора, по которым проводятся атаки ботов, формирует актуальные решения по систематическому их отражению. Мы сами разрабатываем и внедряем свои продукты, непрерывно совершенствуя их качество и функциональность. Многолетний опыт и активное взаимодействие с корпоративными клиентами и государственными заказчиками позволяет нам гарантировать клиентам не только профессиональное построение эффективной системы информационной безопасности, но и разработку индивидуальных решений, отвечающих потребностям заказчиков.