Jak funguje ochrana WEDOS při reálných útocích
Služba WEDOS Protection byla navržena provozovateli infrastruktury a nevychází z teoretických bezpečnostních modelů.
Původ: Vyvinuto datovým centrem pro datová centra
Všechny ochranné vrstvy spolupracují automaticky a škodlivý provoz je filtrován na okraji sítě,
, dlouho předtím, než se dostane do vaší infrastruktury.
Společnost WEDOS zvolila opačný přístup. Jako provozovatel jedné z největších hostingových a DNS platforem v Evropě jsme vyvinuli vlastní systém ochrany , který chrání naši infrastrukturu v reálných podmínkách útoku.
Každé architektonické rozhodnutí odráží tuto zkušenost. Řešení WEDOS Protection nevychází z teorie, ale z praktických zkušeností z rozsáhlého nasazení.
Vyvinuto s ohledem na reálné útoky. Není to jen teoretický návrh.
Globální architektura Anycast
Základem služby WEDOS Protection je speciálně vybudovaná globální síť typu anycast. Nejedná se o síť pronajatou od hyperscaleru ani o síť sestavenou z řešení různých poskytovatelů.
Každý bod přítomnosti je plně ve vlastnictví společnosti WEDOS, která jej také provozuje a udržuje.
Jak to funguje:
Díky technologii BGP Anycast je příchozí provoz automaticky směrován do nejbližšího bodu připojení (PoP) společnosti WEDOS. Útočný provoz je rozložen na více než 100 lokalit současně, bez ohledu na to, odkud pochází nebo jak velký je.
Žádný jednotlivý uzel nenese plnou zátěž.
Neexistuje žádný jediný bod selhání.
Proč je to důležité v širším měřítku:
Objemové útoky v řádu terabitů nelze zastavit tím, že se provoz přesměruje do jediného filtračního centra a bude se doufat, že jeho kapacita bude stačit.
Zastaví se tím, že se zajistí větší distribuovaná kapacita, než jakou dokáže útočník soustředit.
WEDOS Anycast tuto kapacitu poskytuje díky jedné z nejhustších sítí přístupových bodů (PoP) v Evropě a špičkovému globálnímu pokrytí.
K filtrování provozu dochází na okraji sítě. Čistý provoz se dostane k vašemu zdroji. Útok nikoli.
Modul víceúrovňové ochrany
WEDOS Protection funguje napříč celým OSI modelem,
současně a automaticky, aniž by bylo nutné ručně
mezi typy útoků.
L3/L4: Sítě a přenos
Zastaví masivní útoky a útoky založené na protokolech během několika sekund.
Hlavní funkce:
Zablokované typy útoků:
L7 – aplikační vrstva
Rozpoznává a blokuje sofistikované útoky, které napodobují chování skutečných uživatelů.
Hlavní funkce:
Zablokované typy útoků:
Sledovatelnost a informace o hrozbách
Bezpečnost bez přehledu není žádná bezpečnost. WEDOS Protection nabízí:
Architektura šifrování
Kontrola L7 vyžaduje dočasné dešifrování TLS provozu. Na většině platforem k tomu dochází na sdílené infrastruktuře s nejasnými zásadami pro nakládání s daty.
V rámci služby WEDOS Protection probíhá dešifrování výhradně na specializovaném hardwaru v certifikovaných datových centrech v EU, odděleném od sdílených úloh. Provoz je před předáním na původní server znovu zašifrován. Žádný dešifrovaný obsah se neukládá. Žádná třetí strana nemá přístup k procesu dešifrování ani k jeho výstupům.
Pro provozovatele, kteří nakládají s citlivými osobními údaji, finančními záznamy nebo regulovanými informacemi, nejde o bezvýznamný provozní detail. Jedná se o nezbytnou podmínku.
Sledovatelnost a informace o hrozbách
Pro provozovatele, kteří nakládají s citlivými osobními údaji, finančními záznamy nebo regulovanými informacemi, nejde o bezvýznamný provozní detail. Jedná se o nezbytnou podmínku.
Když je třeba něco opravit, opravíme to.
Jakmile se objeví nový způsob útoku, reagujeme na něj napříč celou platformou, a ne až poté, co bude vyřešen ticket u dodavatele.
Komplexní ochrana
v jediném řešení
JA4 Fingerprinting
Identifikace klientů nové generace
JA4 je moderní metoda identifikace klientů na základě jejich chování při TLS komunikaci. Na rozdíl od staršího přístupu JA3 nevytváří pouze hash, ale strukturovaný a pro člověka čitelný otisk (např. verzi TLS, šifrovací sady, rozšíření nebo protokoly).
Díky tomu je možné útočníky spolehlivěji odhalit. I když útočníci střídají IP adresy nebo User-Agenty, jejich nástroje stále generují stejný otisk. WEDOS Protection tyto otisky vyhodnocuje již během počáteční fáze připojení (TLS handshake), což umožňuje zastavit hrozby ještě před zpracováním jakéhokoli HTTP požadavku.
Umožňuje také sdílení informací o hrozbách napříč celou platformou. To, co je zjištěno u jednoho zákazníka, pomáhá chránit všechny ostatní.
Inteligentní modul pro zpracování pravidel
Každý web nebo služba čelí různým typům útoků. Proto služba WEDOS Protection umožňuje nastavit pravidla přesně podle potřeby, a to na úrovni domény, stránky i API.
Pravidla mohou kombinovat více faktorů, jako jsou IP adresa, geolokace, chování návštěvníků, otisk JA4 nebo frekvence požadavků. To umožňuje přesnější rozlišení mezi legitimním provozem a útoky.
Úroveň ochrany lze snadno nastavit pomocí různých úrovní vynucení, od běžného provozu až po agresivní ochranu během útoku. Změny se okamžitě promítnou do celé sítě. V případě rozsáhlejších nasazení lze pravidla spravovat a aplikovat i hromadně.
Ochrana DNS a DNSSEC
Služba DNS je základním prvkem internetu, ale zároveň i častým terčem útoků. Služba WEDOS Protection chrání DNS před přetížením (DNS floody), omezuje nadměrný provoz a zabraňuje zneužití při amplifikačních útocích.
Zahrnuje také plnou podporu protokolu DNSSEC, která zajišťuje, že odpovědi DNS jsou autentické a nebyly během přenosu pozměněny.
Ochrana DNS u společnosti WEDOS není doplňkovou službou. Je postavena na naší vlastní rozsáhlé infrastruktuře DNS, která je průběžně testována v reálných podmínkách, včetně aktivních útoků.
Soulad s předpisy a certifikace
ISO 27001
Certifikovaný
GDPR
Navrženo s ohledem na dodržování předpisů
Kompatibilní s NIS2
Architektura
Právní předpisy EU
Příslušnost
24/7
Monitorování a reakce na incidenty