+7 (800) 333-17-63

Сколько стоит защита от DDoS-атак и что скрывает низкая цена

Большое количество компаний до сих пор не пользуются услугами профессиональной защиты от DDoS. При этом практически каждый день сообщается о новых атаках на интернет-магазины, СМИ, телеканалы и другие общественные сферы. Аналитики DDoS-Guard зафиксировали рост атак злоумышленников на 24.6% по сравнению с показателями третьего квартала 2022 года. Одна из основных причин нежелания использовать услуги по защите от DDoS-атак — высокая стоимость. Другая и не менее важная — сложность технологии и отсутствие понимания, как она работает и за что предстоит платить. Ситуация осложняется тем, что на рынке существует значительный разброс в ценах на услуги защиты — от дорогостоящих решений до подозрительно дешевых. В этой статье мы разберем, из чего складывается стоимость защиты, что на нее влияет и что может скрывать низкая цена.

Обложка статьи: Сколько стоит защита от DDoS-атак

Из чего складывается стоимость защиты от DDoS-атак

Факторы, которые влияют на цены на защиту от DDoS-атак, могут меняться в зависимости от конкретного поставщика услуги. Далее рассмотрим самые основные и распространенные из них.

 

1. Трафик и пропускная способность сети

Один из основных ценовых факторов — это объем и стоимость сетевого трафика, который будет обрабатываться провайдером защиты во время атаки. Чем больше емкость сети требуется для защиты от DDoS-атак, тем выше будут издержки провайдера.

2. Уровень защиты

Существуют разные уровни защиты от DDoS-атак, начиная от базовых фильтров до более продвинутых систем обнаружения и смягчения атак. На конечную стоимость влияет возможность обеспечить безопасностью не только сетевой (L3) и транспортный уровень (L4) модели OSI, но и уровень приложений (L7). Чем тщательнее провайдер защиты исследует поступающий из сети Интернет трафик — от внешнего заголовка сетевого уровня до содержимого пакета на уровне приложения — тем больше ему требуется вычислительных ресурсов, которые должны находится в достаточном количестве и постоянной готовности обрабатывать трафик в режиме реального времени.

3. Типы атак

Стоимость также может зависеть от типов DDoS-атак, которые будет отражать защита. Ряд провайдеров повышают стоимость услуги за более сложные и объемные атаки, тем самым перекладывая риски на клиента при относительно низком ежемесячном платеже.

4. Местоположение центров очистки

Географическое расположение центров очистки трафика также влияет на стоимость.  Наличие собственной геораспределенной сети фильтрации связано с большими затратами на обслуживание оборудования в дата-центрах и поддержании доступности узлов сети. Если провайдер обладает большим количеством точек присутствия в разных городах по всему миру — это гарантирует его клиентам высокий уровень доступности, а также быструю скорость загрузки контента. У защищаемых сайтов повышаются позиции в поисковой выдаче и конверсии.

5. Сервисный уровень (SLA)

Наличие гарантированного уровня обслуживания может повысить стоимость услуги, но обеспечивает более надежную защиту и доступность вашего онлайн-сервиса. Это соглашение будет гарантировать клиенту высокий уровень качества услуги — минимальные задержки и джиттер (отклонение от среднего значения времени доставки пакета), а также опишет права и обязанности сторон. SLA есть у большинства сервисов, однако многие из них написаны для галочки и по факту ни к чему не обязывают поставщика услуги.

DDoS-Guard обеспечивает своим клиентам 99,95% доступности сервисов, а также гарантирует параметры доставки трафика в пределах своей сети. 

6. Техническая поддержка

Оперативный центр технической поддержки провайдера защиты — это квалифицированные специалисты и отлаженные процессы. Провайдер с собственным центром реагирования на инциденты (SOC) в состоянии оказывать помощь своим клиентам 24/7 не только оперативно, но и профессионально — не запрашивая от клиента лишнюю информацию и не заставляя его ждать. 

Специалисты технической поддержки DDoS-Guard обладают инструментами, которые позволяют применять тонкие настройки и вручную фильтровать трафик. Помимо этого, эксперты помогут разобраться с функционалом и настройкой услуг защиты. Компетенция специалистов позволяет решать глубокие вопросы — от недоступности до неполадок в работе.

В команду технической поддержки DDoS-Guard входит отдел NOC — это сетевые инженеры, которые следят за состоянием сетевого оборудования. Они занимаются настройкой и обслуживанием фильтров, а также изучают входящие DDoS-атаки.

7. Наличие сертификатов

Наличие сертификатов и лицензий позволяют провайдеру предоставлять свои услуги в соответствии с законами и правилами. Они подтверждают соответствие компании определенным стандартам качества и безопасности. Специалисты, которые имеют сертификаты и лицензии, обладают необходимыми знаниями и навыками для эффективного выполнения своих обязанностей. Они обязуются соблюдать этические требования и обеспечивать безопасность клиентов. 

DDoS-Guard является аккредитованной IT‑компанией с 2014 года. Мы имеем лицензии на оказание телематических услуг, услуг связи по передачи данных и лицензию ФСТЭК, которая гарантирует наличие профессиональных и надежных средств информационной защиты. 

 

Дешевая защита от DDoS: что может скрывать низкая цена

При выборе услуги защиты может возникнуть вопрос — почему за одно и то же решение нужно платить больше, если на рынке есть предложения по более выгодной стоимости? К дешевым тарифам стоит отнестись внимательно, так как зачастую они имеют нюансы, которые скрываются за низкой стоимостью. Далее рассмотрим самые распространенные из них.

 

Ограниченная полоса фильтрации трафика 

На стоимость услуги защиты значительно влияет себестоимость трафика. Она зависит от количества каналов в сети Интернет, которые должны обеспечить достаточную канальную емкость, чтобы принять весь объем трафика для его последующей очистки.

Чтобы оптимизировать издержки, провайдеры могут экономить на полосе фильтрации. Для этого они заявляют ее наличие, однако она не способна выдержать объемные атаки и быстро заканчивается. После этого может быть два сценария: либо клиентский сервис выходит из строя, либо за предоставление дополнительных мощностей выставляется новая стоимость, которая будет гораздо выше начальной.

Еще один способ экономии — покупка канальных емкостей у магистральных провайдеров, которые искусственно занижают цены и оверселлят — повторно перепродают уже проданные вычислительные или канальные ресурсы. Такие действия негативно сказываются на конечных клиентах, так как их сервис страдает в часы наибольшей нагрузки, когда ресурсов начинает не хватать. Например, могут возникнуть разрывы соединений или частичная недоступность сервиса.

Совет: обращайте внимание на заявленный размер фильтрующей полосы и ее стоимость. Уточните у провайдера, что будет в случае, если данной полосы не хватит. Есть ли дополнительная тарификация и в каком размере.

 

Операторы связи начального уровня

На мировом рынке существует классификация операторов связи по уровням (tier), где операторы одинакового уровня обмениваются между собой трафиком на равных условиях или продают его нижестоящим.

Tier-1 или transit-free — операторы, которые соединены со всей сетью Интернет по пирингу и не платят за IP-транзит. Согласно международным отчетам, операторов Tier-1 насчитывается не больше 12 по всему миру.  

Tier-2 — операторы, которые не только обмениваются трафиком с другими провайдерами своего уровня, но и приобретают его у операторов Tier-1.

Tier-3 — операторы, которые не участвуют в пиринговых соглашениях и покупают весь объем трафика у операторов Tier-1 и Tier-2 уровней.

Стоимость услуг у провайдеров защиты, которые покупают трафик у операторов Tier-3 может быть значительно ниже, чем у тех, кто покупает у вышестоящих. В подобной ситуации могут возникнуть риски для конечных потребителей в виде зависаний и сбоев.

Совет: уточните у выбранного поставщика защиты, у кого из магистральных операторов он покупает трафик. Это открытая информация и она может быть указана на сайте провайдера. Если у вас достаточно базовых технических навыков, посмотрите, с кем из магистральных операторов у поставщика защиты подняты BGP-сессии и кому он анонсирует свои префиксы. Используйте для этого специальные онлайн-сервисы, например bgp.tools.

 

Тарификация за нелегитимный трафик

Провайдер может предлагать низкую стоимость услуги защиты, которая действительно будет таковой, но до первой мощной атаки. В случае превышения полосы пропускания автоматически вводится тарификация за фильтрацию вредоносного трафика. В конце месяца клиент получит значительно возросший счет за оказание услуги. Также дополнительная тарификация может идти за счет предоставления услуги CDN, при этом основная стоимость защиты будет значительно ниже.

При знакомстве с оператором защиты, обратите внимание на информацию о наличии тарификации на сайте провайдера или уточните у менеджера, есть ли дополнительная тарификация за услуги, чтобы избежать дополнительных расходов.

DDoS-Guard не взимает дополнительную плату за отраженные атаки. Услуга CDN бесплатно предоставляется на всех тарифах защиты от DDoS-атак без скрытых платежей и переплат. 

 

Недобросовестное соблюдение соглашения об уровне обслуживания (SLA)

Как правило, провайдеры защиты от DDoS-атак гарантируют работу защищаемых сервисов 24/7, а также соблюдение SLA, в которые вводят параметры джиттера —  разброс минимального и максимального времени прохождения пакета IP. Однако, из-за экономии и решения покупать трафик у операторов Tier-3, поставщики защиты сталкиваются с тем, что они не способны пропускать через свою сеть трафик во время мощных DDoS-атак. Такая ситуация связана с фактическим отсутствием проданного объема ресурсов и несоответствием  заявленному SLA у некоторых магистральных операторов. Провайдер защиты покупает у них дополнительные канальные емкости, но из-за того, что операторы сами занимаются перепродажей, гарантии качества услуги и доступности сервиса они не могут оказать.

 

Экономия на фильтрующем оборудовании

При DDoS-атаках идет серьезная нагрузка на фильтрующее оборудование. Если оно не способно их выдержать, велика вероятность потери пакетов данных из-за недостатка вычислительных ресурсов. Провайдеры, которые не справляются с большим объемом мусорного трафика и не могут позволить себе достаточное количество оборудования для фильтрации, обращаются к сторонним поставщикам. Это влечет за собой ряд последствий. Например, чтобы переключить поток трафика, который идет защитнику от его клиентов и требует очистки, нужно время. В этот промежуток будут страдать сервисы, которым обещали доступность 24/7. Если этот клиент имеет свою сеть пользователей и обеспечивает их услугами — например, сайт авиакомпании, покупка билетов какое-то время будет недоступна. Из-за отсутствия оборудования, а также сложной цепочки перепродажи фильтрации провайдером защиты, могут страдать все, кто завязан в этом процессе.

Цепочка перепродажи фильтрации и трафика — иллюстрация DDoS-Guard
Цепочка перепродажи фильтрации и трафика провайдером защиты (вариант экономии)

 

Низкая пакетная емкость систем фильтрации трафика 

Мощности систем фильтрации должно быть достаточно не только для покрытия имеющихся у провайдера канальных ресурсов (Гбит/с), но и потенциально возможных пакетных атак (млн пакетов в секунду). Для этого следует рассматривать самые негативные сценарии DDoS-атак, в том числе атаки пакетами минимальной длины, и иметь возможность справиться с ними. Для защиты от такой DDoS-атаки критически важна пакетная емкость. Частая ситуация — когда провайдер защиты заявляет, что может отфильтровать N терабит/с, умалчивая при этом о пакетной емкости.

Этот нюанс особенно важен игровым серверам, которых атакуют UDP-флудом. При таком типе атаки важно, чтобы защита могла отфильтровать множество UDP-пакетов и доставить клиенту легитимные. Если экономить на покрытии фильтрующих мощностей, возникнет ситуация, при которой провайдер защиты располагает достаточным объемом каналов, но при этом не может обеспечить фильтрацию, обработку и очистку большого объема трафика.

 

Ограниченное число точек присутствия фильтрации трафика 

Провайдер защиты может экономить на расширении географии своего присутствия — точек фильтрации может быть одна или две. В таком случае он будет вынужден принимать трафик со всего интернета, а веб-ресурс его клиента может оказаться под ударом из-за условного трафика из Китая, который вместо того, чтобы пойти на очистку в Азии, попадет в Европу и окажет негативное влияние на сервисы европейских клиентов.

Совет: уточните у выбранного провайдера защиты наличие точек присутствия по миру. Отдавайте предпочтение тем, кто открыто делится информацией с клиентами и имеет расширенную географию. Это гарантирует высокое качество услуг защиты, позволяя обеспечить клиентам оптимальную фильтрацию трафика. 

 

Отсутствие ситуационных центров и отделов мониторинга трафика 

Не все провайдеры защиты имеют SOC (Security Operations Center) — Центр операций по безопасности. Это структурное подразделение с большой командой экспертов, которые 24/7 следят за работой систем защиты информации и регистрируют инциденты безопасности. Они анализируют трафик и готовы оперативно решать все возникшие проблемы.

Такая команда состоит из квалифицированных сетевых инженеров, а также специалистов по кибербезопасности, которые изучают DDoS-атаки. Защитный сервис, который имеет собственный SOC, будет надежнее, оперативнее и, как следствие, дороже. 

Совет: отдавайте предпочтение поставщикам защиты, которые имеют свой центр безопасности и развитую систему технической поддержки. Это обезопасит вас от негативного сценария, когда в экстренной ситуации веб-ресурс окажется без оперативной помощи и защиты.

 

Использование сторонних сервисов 

Есть провайдеры, которые экономят, используя сторонние решения в услугах. Другие — отдают предпочтение собственным разработкам. Услуга защиты от DDoS-атак у провайдеров, которые занимаются созданием собственных сервисов и технологий, будет стоить выше, чем у тех, кто занимается перепродажей. На стоимость услуги влияют затраты на зарплату разработчиков, обслуживание оборудования, человеко-часы и другие факторы.

Разработка собственных решений дает большое пространство для развития услуги защиты и возможность предложить клиентам индивидуальные решения, которые будут создаваться под их запросы. 

 

5 вопросов, которые стоит задать о цене провайдеру защиты

1. Узнайте у провайдера, есть ли тарификация и в каком размере:

  • за перерасход заявленной полосы пропускания;
  • за нелегитимный (атакующий) трафик;
  • за легитимный трафик и объем данных переданных по нему при защите сайта на уровне приложений (L7);
  • за сервис CDN.

Важно: при наличии дополнительной тарификации, низкая стоимость за услугу защиты на старте может перерасти в большой чек с доплатами. Фиксированная цена тарифов, в которую входят все опции — более надежный вариант.

2. Уточните у выбранного поставщика защиты, к каким магистральным сетям он подключен. Провайдеры, которые покупают трафик у операторов Tier-1 в большей степени могут гарантировать соблюдение SLA и высокий уровень качества, чем те, кто работает с Tier-2 и Tier-3.

3. Обратите внимание на географию присутствия провайдера: количество центров фильтрации и очистки трафика, а также их расположение. Эта информация будет особенно важной для тех клиентов, которым значима связность и задержки в конкретном регионе.

4. Узнайте подробнее о технологии защиты, которую предлагает провайдер — собственная ли это разработка или стороннее решение. 

5. Уточните, есть ли центр оперативной технической поддержки, есть ли сетевые инженеры и как быстро специалисты реагируют на обращения.

Читайте в телеграм-канале DDoS-Guard

Анонсы, статьи, истории и советы по кибербезопасности. Каждый месяц собираем дайджест о самых громких событиях

Подписаться