WEDOS Protection | Technologia i innowacje

Technologia i innowacje

Jak działa ochrona WEDOS w przypadku rzeczywistych ataków

Rozwiązanie WEDOS Protection zostało opracowane przez operatorów infrastruktury, a nie w oparciu o teoretyczne modele bezpieczeństwa.

Zobacz ceny

Kontakt

Pochodzenie: Stworzone przez centrum danych, z myślą o centrach danych

Wszystkie warstwy zabezpieczeń współpracują ze sobą automatycznie, a złośliwy ruch jest filtrowany na obrzeżach sieci,
na długo przed dotarciem do infrastruktury użytkownika.

Firma WEDOS przyjęła zupełnie inne podejście. Jako operator jednej z największych w Europie platform hostingowych i DNS stworzyliśmy system zabezpieczeń , który chroni naszą infrastrukturę w rzeczywistych warunkach ataku.

Każda decyzja architektoniczna odzwierciedla to doświadczenie. System WEDOS Protection został zaprojektowany nie w oparciu o teorię, lecz o rzeczywiste doświadczenia operacyjne na dużą skalę.

Stworzony z myślą o rzeczywistych atakach. Nie jest to produkt zaprojektowany wyłącznie w teorii.

Globalna architektura Anycast

Podstawą usługi WEDOS Protection jest specjalnie zaprojektowana globalna sieć typu anycast. Nie jest ona wynajmowana od dostawcy usług chmury hiperskalowej ani tworzona z połączenia usług wielu dostawców.
Każdy punkt obecności jest w całości własnością firmy WEDOS, która również zajmuje się jego obsługą i konserwacją.

Jak to działa:

Dzięki technologii BGP Anycast ruch przychodzący jest automatycznie kierowany do najbliższego punktu dostępowego (PoP) sieci WEDOS. Ruch atakujący jest rozdzielany jednocześnie na ponad 100 lokalizacji, niezależnie od tego, skąd pochodzi i jak duży jest.

Żaden pojedynczy węzeł nie ponosi pełnego obciążenia. 
Nie ma pojedynczego punktu awarii.

Dlaczego ma to znaczenie w szerszej perspektywie:

Ataków o natężeniu rzędu terabitów nie da się powstrzymać poprzez kierowanie ruchu do jednego centrum filtrującego i liczenie na to, że jego przepustowość okaże się wystarczająca.

Powstrzymuje się je poprzez zapewnienie przepustowości rozproszonej w stopniu większym niż ten, jaki może skoncentrować atakujący.
WEDOS Anycast zapewnia taką przepustowość, dysponując jedną z najgęstszych sieci punktów dostępowych (PoP) w Europie oraz zasięgiem globalnym na najwyższym poziomie.

Filtrowanie ruchu odbywa się na obrzeżach sieci. Czysty ruch dociera do źródła. Atak nigdy.

Wielowarstwowy mechanizm zabezpieczający

WEDOS Protection działa na całym stosie OSI,
jednocześnie i automatycznie, bez konieczności ręcznego przełączania
przełączania między typami ataków.

L3/L4: Sieci i transport

W ciągu kilku sekund powstrzymuje ataki o dużej skali oraz oparte na protokołach.

Najważniejsze funkcje:

Kontrola pakietów z zachowaniem stanu i filtrowanie oparte na przepustowości

Natychmiastowe łagodzenie skutków ataków objętościowych

Zaprojektowany do obsługi ruchu o przepustowości wielu Tb/s

Brak pogorszenia jakości usług pod obciążeniem

Rodzaje zablokowanych ataków:

Ataki typu SYN flood

Ataki typu UDP flood

Ataki typu ICMP flood

Wzmocnienie sygnału w protokołach DNS, NTP i SNMP

Warstwa aplikacji L7

Wykrywa i blokuje zaawansowane ataki, które naśladują działania prawdziwych użytkowników.

Najważniejsze funkcje:

Analiza behawioralna oparta na sztucznej inteligencji

Ocena anomalii w czasie rzeczywistym

Egzekwowanie zestawu reguł OWASP

W pełni konfigurowalny silnik reguł

Rodzaje zablokowanych ataków:

Wstrzyknięcie kodu SQL

Skrypty międzywitrynowe (XSS)

Slowloris i RUDY

Ataki typu HTTP flood i credential stuffing

Obserwowalność i analizy zagrożeń

Bezpieczeństwo bez wglądu w dane nie jest prawdziwym bezpieczeństwem. WEDOS Protection zapewnia:

Panele Grafana działające w czasie rzeczywistym:
Dane dotyczące natężenia ruchu, klasyfikacja ataków, decyzje dotyczące filtrowania oraz analizy źródła ruchu – wszystko to dostępne dla operatorów i partnerów w czasie rzeczywistym.

Rejestrowanie zdarzeń na poziomie audytowym:
Każde zdarzenie związane z bezpieczeństwem jest rejestrowane wraz z pełnym kontekstem śledczym i przechowywane na terenie jurysdykcji UE.

Integracja z systemami SIEM:
Eksport ustrukturyzowanych logów zgodny ze standardowymi platformami SIEM, umożliwiający scentralizowane zarządzanie bezpieczeństwem.

Wymiana informacji o zagrożeniach:
Wzorce ataków obserwowane na platformie WEDOS stanowią podstawę dla reguł wykrywania na całym świecie, tworząc efekt sieciowy, którego skuteczność rośnie wraz ze skalą działania.

Kontakt

Architektura szyfrowania

Kontrola L7 wymaga tymczasowego odszyfrowania ruchu TLS. Na większości platform odbywa się to w ramach wspólnej infrastruktury, w której obowiązują nieprzejrzyste zasady przetwarzania danych.

W ramach usługi WEDOS Protection odszyfrowywanie odbywa się wyłącznie na dedykowanym sprzęcie w certyfikowanych centrach danych w UE, w środowisku odizolowanym od wspólnych obciążeń. Ruch jest ponownie szyfrowany przed przekazaniem do serwera źródłowego. Żadna odszyfrowana treść nie jest przechowywana. Żadna strona trzecia nie ma dostępu do procesu odszyfrowywania ani do jego wyników.

Dla podmiotów zajmujących się przetwarzaniem wrażliwych danych osobowych, dokumentacji finansowej lub informacji podlegających regulacjom nie jest to drobny szczegół operacyjny. Jest to warunek konieczny.

Obserwowalność i analizy zagrożeń

Dla podmiotów zajmujących się przetwarzaniem wrażliwych danych osobowych, dokumentacji finansowej lub informacji podlegających regulacjom nie jest to drobny szczegół operacyjny. Jest to warunek konieczny.

Nie ma umowy SLA z dostawcą, za którą można by się schować

Żadna strona trzecia nie ma dostępu do ruchu w sieci ani do logów

Żaden zagraniczny organ prawny nie ma jurysdykcji w odniesieniu do Państwa danych

Pełna odpowiedzialność platformy wobec naszych klientów i partnerów

Jeśli coś wymaga naprawy, naprawiamy to.
Gdy pojawia się nowe zagrożenie, reagujemy na całej platformie, a nie dopiero po rozwiązaniu zgłoszenia u dostawcy.

Wypróbuj ochronę WEDOS

Kompleksowa ochrona
w jednym rozwiązaniu

JA4 Fingerprinting
– identyfikacja klientów nowej generacji

JA4 to nowoczesna metoda identyfikacji klientów oparta na ich zachowaniu podczas komunikacji TLS. W odróżnieniu od starszego podejścia JA3 nie generuje ona jedynie skrótu, lecz uporządkowany i czytelny dla człowieka odcisk (np. wersję TLS, zestawy szyfrów, rozszerzenia lub protokoły).

Dzięki temu można skuteczniej wykrywać osoby atakujące. Nawet jeśli zmieniają one adresy IP lub identyfikatory User-Agent, ich narzędzia nadal generują ten sam ślad. WEDOS Protection analizuje te ślady na początkowym etapie nawiązywania połączenia (podczas uzgadniania TLS), co pozwala na powstrzymanie zagrożeń jeszcze przed przetworzeniem jakiegokolwiek żądania HTTP.

Umożliwia to również wymianę informacji o zagrożeniach w ramach całej platformy. To, co zostanie wykryte u jednego klienta, pomaga chronić wszystkich pozostałych.

Inteligentny silnik reguł

Każda strona internetowa lub usługa narażona jest na różnego rodzaju ataki. Dlatego WEDOS Protection umożliwia precyzyjne dostosowanie reguł do konkretnych potrzeb – na poziomie domeny, strony oraz interfejsu API.

Reguły mogą uwzględniać wiele czynników, takich jak adres IP, lokalizacja geograficzna, zachowanie użytkownika, odcisk palca JA4 czy częstotliwość żądań. Pozwala to na dokładniejsze odróżnienie ruchu legalnego od ataków.

Poziom ochrony można łatwo dostosować, korzystając z różnych poziomów egzekwowania – od trybu normalnego po agresywną ochronę w przypadku ataku. Zmiany są natychmiast wdrażane w całej sieci. W przypadku większych wdrożeń reguły można również zarządzać i stosować zbiorczo.

Ochrona DNS i DNSSEC

System DNS stanowi fundamentalną część Internetu, ale jest również częstym celem ataków. Usługa WEDOS Protection chroni system DNS przed przeciążeniem (ataki typu DNS flood), ogranicza nadmierny ruch i zapobiega nadużyciom w atakach typu amplification.

Obejmuje to również pełną obsługę protokołu DNSSEC, co gwarantuje, że odpowiedzi DNS są autentyczne i nie zostały zmienione podczas przesyłania.

Ochrona DNS w WEDOS nie jest dodatkiem. Opiera się ona na naszej własnej, rozbudowanej infrastrukturze DNS, która jest nieustannie testowana w rzeczywistych warunkach, w tym w obliczu aktywnych ataków.

Zacznij chronić swoje usługi