Чем отличаются провайдеры друг от друга? Погружаемся в детали
В современном цифровом мире, где онлайн-присутствие стало неотъемлемой частью бизнеса и повседневной жизни, важно обеспечить надежную и безопасную работу веб-ресурсов. От выбора гипервизоров для виртуализации серверов до защиты от DDoS-атак, а также поддержки сертификатов безопасности и соблюдения стандартов в обработке платежных данных — каждый шаг в этом процессе играет решающую роль. В данной статье мы рассмотрим ключевые аспекты различных типов услуг, необходимых для обеспечения безопасности, эффективности и надежности работы веб-проектов.
Используемые гипервизоры
Гипервизор — это специализированное программное обеспечение, предназначенное для создания, запуска и управления виртуальными машинами (ВМ). Оно позволяет одновременно запускать несколько операционных систем на одном физическом компьютере или сервере.
Гипервизор, также известный как виртуальный монитор машин (VMM), обеспечивает логическую изоляцию ВМ друг от друга и назначает им необходимые виртуальные ресурсы, такие как vCPU, RAM и место на диске. Каждая виртуальная машина функционирует независимо от остальных, что означает, что сбой на одной из них не влияет на работу остальных.
Перейти к обзору IaaS Global Cloud 2024
На данный момент в корпоративном секторе наиболее распространены 4 гипервизора первого типа:
- VMware ESXi построен на базе ядра Linux и предоставляет широкие возможности, поддерживает крупные виртуальные машины и имеет платные и бесплатные версии.
- Hyper-V — гипервизор от Microsoft, работает под управлением Windows Server, поддерживает разные гостевые ОС.
- KVM — открытый гипервизор, встроенный в ядро Linux, легкий и не требователен к ресурсам, обеспечивает стабильность и поддерживает различные ОС.
- Xen — также открытый гипервизор с хорошей стабильностью и производительностью, поддерживает несколько ОС в качестве гостевых.
Помимо этого, довольно часто используют гипервизоры второго типа:
- VMware Workstation — платформа виртуализации, подходящая для Linux и Windows. Имеет коммерческую и бесплатную версии (с поддержкой только одной гостевой ОС).
- VMware Fusion — гипервизор, специально разработанный для MacOS.
- Oracle VirtualBox — часто рассматривается как альтернатива Workstation, полностью бесплатен и работает на Windows, Linux и MacOS.
Отдельного внимания в нынешних условиях заслуживают российские платформы виртуализации — РУСТЭК, vStack, Альт Сервер Виртуализации и другие. Обзор рынка и рейтинг данных решений доступен по ссылке.
Уровни защиты от DDoS
Защита сети от DDoS представлена двумя уровнями:
- Базовый (L3-L4 защита),
- Оптимальный (L3-L7 защита).
На уровне L3-4 OSI, который включает в себя сетевой и транспортный уровни, DDoS-атаки могут быть в форме TCP SYN, UDP, ICMP Flood, DNS, и NTP Amplification. Эти атаки генерируют большой объем трафика, что может привести к перегрузке сетевых интерфейсов и ухудшению доступности и производительности веб-сайтов или онлайн-сервисов.
На уровне L7 OSI, который представляет уровень приложений, DDoS-атаки направлены на уязвимости критически важных частей приложений и недостатки в логике и обработке данных. Эти атаки могут выглядеть как легитимный трафик веб-сайта и обходить фильтрацию на более низких уровнях.
Например, атаки могут включать в себя бесконечные запросы формы авторизации с вводом случайных логинов и паролей или повторяющиеся запросы в поисковой строке на сайте с динамическими страницами. Это может привести к перегрузке физических ресурсов сервера, а также усложнить обнаружение и отражение атак из-за возможности злоумышленников произвольно изменять паттерны атак.
Поддержка сертификатов Let’s Encrypt
SSL-сертификат Let’s Encrypt представляет собой бесплатный инструмент безопасности, который обеспечивает надежную защиту вашего веб-ресурса. SSL (Secure Sockets Layer) — это специализированный протокол безопасности, который гарантирует безопасную передачу данных между сервером вашего веб-сайта и браузером пользователя.
Получение SSL-сертификата настоятельно рекомендуется как поисковыми системами, так и разработчиками популярных браузеров. Сайты без SSL-сертификата имеют низкий рейтинг и могут быть плохо обработаны поисковыми роботами.
Наличие SSL-сертификата можно проверить, обратившись к адресной строке браузера. Если ресурс обладает сертификатом, то перед его адресом будет «закрытый зеленый замочек», иногда с указанием компании-владельца. В отсутствие SSL-сертификата «замочек» будет открытым или красным, либо браузер предупредит о небезопасности ресурса. Некоторые браузеры вообще не открывают веб-ресурсы без SSL-сертификата.
Существуют различные виды SSL-сертификатов, отличающиеся сложностью проверки, методом шифрования данных, уровнем доверия и стоимостью. Однако SSL-сертификат Let’s Encrypt выдается абсолютно бесплатно и при этом обеспечивает эффективную защиту данных. Это объясняет его широкую популярность среди владельцев небольших веб-ресурсов.
Сертификат PCI DSS
PCI DSS (Стандарт безопасности данных индустрии платежных карт) — это нормативный документ, созданный Visa и MasterCard, который регулирует обработку и защиту данных банковских карт. Любая компания, которая собирается принимать и обрабатывать данные банковских карт на своем веб-сайте, должна соответствовать требованиям PCI DSS.
Существует четыре уровня сертификации PCI DSS, которые отличаются по количеству обрабатываемых транзакций:
- Уровень 4. Позволяет обрабатывать до 20 тысяч транзакций в год. Для получения сертификата необходимо ежеквартальное сканирование внешних адресов на наличие уязвимостей (ASV-сканирование) и заполнение самооценочного вопросника (SAQ).
- Уровень 3. Позволяет обрабатывать от 20 тысяч до 1 миллиона транзакций в год. Для сертификации требуется как ежеквартальное ASV-сканирование, так и заполнение SAQ.
- Уровень 2. Позволяет обрабатывать от 1 миллиона до 6 миллионов транзакций в год. Для получения сертификата необходимо ежеквартальное ASV-сканирование и заполнение SAQ. После 30 июня 2012 года для заполнения SAQ на этом уровне потребуется либо тренировка сотрудников, либо привлечение сертифицированной компании-аудитора (PCI QSA).
- Уровень 1. Сертификация по уровню 1 проводится только с участием независимого аудитора (QSA) и позволяет обрабатывать более 6 миллионов транзакций в год. Процесс сертификации включает в себя аудит информационной инфраструктуры компании, разработку рекомендаций и документов, необходимых для соответствия стандарту, а также консультационную поддержку при внедрении.
Перейти к обзору IaaS Global Cloud 2024
Количество точек присутствия CDN
CDN (Content Delivery Network) — это географически распределенная сеть, способствующая быстрой передаче контента пользователям веб-сервисов и сайтов. CDN-серверы стратегически размещаются для минимизации времени отклика.
PoP (точка присутствия) — это кэширующий сервер, входящий в CDN и расположенный в определенном месте. Также известен как Edge (крайний узел).
Распределение контента через CDN проходит следующим образом:
- Вынос статики на отдельный домен, например static.example.com, который становится источником контента (origin).
- Создание дополнительного домена cdn.example.com для работы через CDN-сервер.
- Подключение CDN у провайдера, предоставив информацию о доменах.
- Настройка CNAME записи у регистратора DNS, связывающей домен cdn.example.com с доменом CDN-провайдера.
- Внесение изменений на веб-сайте, замена домена для статического контента на cdn.example.com.
Пользователи получают HTML-страницу с основного домена, а статический контент, например изображения, загружается из CDN по адресу cdn.example.com. CDN не хранит контент, а кэширует его для быстрой загрузки с ближайшего сервера.
Заключение
В современном мире информационных технологий выбор подходящих типов услуг играет ключевую роль в обеспечении безопасности и эффективности работы веб-ресурсов. В данной статье были рассмотрены различные аспекты этого выбора, начиная от выбора гипервизоров и уровней защиты от DDoS, заканчивая поддержкой сертификатов Let’s Encrypt и соблюдением стандарта PCI DSS.
Изучение различных гипервизоров позволяет компаниям выбирать наиболее подходящий инструмент для виртуализации своей инфраструктуры, учитывая требования по производительности и безопасности. Аналогично, понимание уровней защиты от DDoS-атак позволяет эффективно предотвращать возможные угрозы безопасности для веб-ресурсов, особенно в условиях активного онлайн-трафика.
Поддержка сертификатов Let’s Encrypt и соблюдение стандарта PCI DSS становятся неотъемлемой частью работы в онлайн-сфере, гарантируя безопасность обработки платежных данных и доверие пользователей. Вместе с точками присутствия, которые обеспечивают быстрый доступ к контенту для пользователей в разных регионах, эти услуги формируют надежную и защищенную среду для работы веб-проектов, способствуя их успешному развитию и росту.