Yandex DDoS Protection в Virtual Private Cloud
Yandex DDoS Protection — это компонент сервиса VPC для защиты облачных ресурсов от DDoS-атак. DDoS Protection предоставляется в партнерстве с Curator.
Активация сервиса Yandex DDoS Protection для ВМ или сетевых балансировщиков позволит вам эффективно бороться с атаками, направленными на исчерпание емкости канала и вычислительных ресурсов ваших ВМ. Такие атаки отличаются широкой полосой пропускания и большим количеством пакетов в секунду. Организация этих атак относительно проста: чаще всего они подразумевают отправку большого количества пакетов TCP SYN (SYN Flood) или трафика прикладных протоколов на основе UDP (DNS, NTP, SSDP, CLDAP и многие другие).
Для предотвращения таких атак сервис DDoS Protection:
- постоянно анализирует весь входящий трафик;
- обнаруживает описанные выше аномалии на сетевом и транспортном уровне;
- автоматически отсекает нежелательный трафик, когда его количественные показатели угрожают работоспособности вашего сервиса в Yandex Cloud.
Защита от DDoS применяется к публичным IP-адресам виртуальных машин, сетевых балансировщиков и хостов баз данных. Защиту можно включить только в момент создания облачного ресурса или при резервировании статического адреса. При этом защита не ограничивает работу с IP-адресами: защищенный адрес можно сделать статическим и зарезервировать. Если виртуальную машину с защищенным динамическим адресом остановить, при следующем запуске ее адрес поменяется, но останется под защитой.
Ширина полос пропускания паразитного и очищенного трафика не ограничены. Тарифицируется каждый гигабайт очищенного входящего трафика.
Обратите внимание, что при включении DDoS Protection рекомендуется уменьшить значения MTU и TCP MSS.
Необходимо учитывать, что данный сервис не предназначен для защиты сайтов и мобильных приложений от DDoS-атак более высокого уровня, которые используют:
- валидные TCP-соединения;
- HTTP и HTTPS-запросы;
- узкие места атакуемого приложения.
При подключении базовой защиты (Yandex DDoS Protection) необходимо настроить порог срабатывания механизмов защиты на уровне L3-L4. Порог соответствует объему легитимного трафика на защищаемый ресурс. Для настройки обратитесь в техническую поддержку.
Если вам требуется защита на прикладном уровне, вы можете запросить подключение расширенной защиты через техническую поддержку.
Расширенная защита
Расширенная защита работает на 3, 4 и 7 уровнях модели OSI. Помимо этого вы сможете отслеживать показатели нагрузки, параметры атак и подключить Solidwall WAF в личном кабинете Curator.
При подключении расширенной защиты (Advanced Yandex DDoS Protection) рекомендуется отключить базовую защиту (Yandex DDoS Protection). После отключения защиты у виртуальной машины изменится публичный IP-адрес.
Чтобы включить расширенную защиту, обратитесь в техническую поддержку или заполните форму. При запросе сообщите характеристики услуги и легитимного трафика.
Характеристики услуги:
- Количество ресурсов (сайтов, доменов, сервисов), которые требуется защитить.
- Нужно ли подключение WAF (Web Application Firewall) — да или нет.
- Требуется ли защита сервисов с шифрованием (SSL/TLS/HTTPS) — с раскрытием шифрования или без.
- Время простоя, критичное для бизнеса.
- Нужна ли организация выделенного канала для повышения SLA — да или нет.
Характеристики легитимного трафика:
- Максимальные значения объемов входящего и исходящего трафика приложения.
- Максимальный рейт пакетов (PPS).
- Максимальный рейт запросов (RPS).
Также желательно приложить:
- Карту-схему сетевой инфраструктуры: расположение площадок, аплинки, внутреннее устройство от граничного роутера до приложения.
- Пример статистики по трафику (скриншоты графиков) за суточный интервал.