Hyppää sisältöön

Kuinka sinun tulisi varautua palvelunesto­hyökkäyksiin?

Ukrainan sodan vuoksi myös Suomessa kyberhyökkäysten riski on kasvanut. Erilaista haittaliikennettä ja murtautumisyrityksiä näkyy palvelimilla jatkuvasti, mutta palvelunestohyökkäykset ovat selkeästi yleisin tapa häiritä verkkoliikennettä. Palvelunestohyökkäys (DDoS, distributed denial-of-service) tarkoittaa sitä, että yksittäiselle verkkosivustolle ohjataan merkittävä määrä liikennettä. Tavoitteena on kuormittaa palvelua niin paljon, ettei se pysy pystyssä. Tässä artikkelissa käymme läpi, miten palvelunestohyökkäykseen varautuminen on mahdollista.

Jaakko Alajoki, 24.03.2022

Palvelunestohyökkäykset tehdään yleensä kaapatuilta tietokoneilta ympäri maailman. Hakkerit hyödyntävät kaapattuja koneita ja muodostavat keinotekoista liikennettä haluamilleen verkkosivustoille. Tällaista kaapattujen koneiden joukkoa kutsutaan bottiverkoksi. Koska hyökkäävät koneet ovat sinänsä ihan tavallisia tietokoneita, liikenne näyttää palvelimen näkökulmasta vain siltä, että sivustolle on tullut yhtäkkinen käyttäjäryntäys. Tällaiseen palvelunestohyökkäykseen varautuminen on mahdollista, mutta se ei ole ihan yksinkertaista.

Meidän toteuttamamme sivustot ovat nopeita. Käytössä on tehokkaat palvelimet, joita voidaan tarvittaessa skaalata suorituskykyisemmäksi. Palvelintason välimuisti huolehtii siitä, että sivulataukset ovat nopeita. Käytännössä palvelunestohyökkäys voidaan suunnitella kuitenkin niin laajaksi, että melkein mikä tahansa palvelinympäristö voidaan kaataa. Palvelinten skaalaus onkin yleensä aika huono tapa suojautua hyökkäyksiltä. Tarvitaan jotain älykkäämpää ja järeämpää.

Tarjoamme palvelunestohyökkäykseen varautumiseen ja suojautumiseen Cloudflare-palvelua. Cloudflare on maailmanlaajuisesti yksi käytetyimmistä työkaluista palveluiden vikasietoisuuden, tietoturvan ja suorituskyvyn parantamiseen.

Cloudflare voidaan periaattessa ottaa käyttöön minkä tahansa verkkopalvelun kanssa. Se ei ota kantaa toteutusteknologiaan ja se asennetaan tarjoamaan suojaa julkisen internetin ja verkkopalvelun väliin.

Palvelunestohyökkäykseen varautuminen Cloudflarella – kolme tärkeää toimintoa verkkosovellusten suojaukseen:

  1. Suojan DDoS-hyökkäyksiä vastaan. Cloudflare hajauttaa palvelun verkkoliikenteen 250:een eri fyysiseen sijaintiin. Tällaista laajaa palvelinsalien verkkoa on hyvin vaikea saada polvilleen palvelunestohyökkäyksillä. Mikäli palveluusi kohdistetaan palvelunestohyökkäys, hajaantuu liikenne globaalisti. Mikäli yksi palvelinsali kaatuisi, latautuisi sivustosi edelleen muiden salien kautta. Tämä ratkaisu edustaa puhtaasti raakaa voimaa. Mukana on kuitenkin myös älyä, kuten seuraavasta kohdasta huomaamme.
  2. DDoS-hyökkäyksiltä suojaa osaltaan myös palomuuri (WAF, web application firewall). Palomuuri osaa tunnistaa haittaliikenteen ja sulkea liikenteen hyökkäävältä taholta. Tässä massasta on hyötyä: Cloudflare tarjoaa palveluitaan globaalisti ja kaikki asiakkaat hyötyvät samoista rajauksista. Jos bottiverkko onnistutaan sulkemaan Applen sivustolla, niin Cloudflaren ansiosta myös sinun sivustosi on turvassa tältä hyökkäykseltä. Palomuuri tarjoaa lisäksi monia muitakin automaattisia suojauksia, kuten esimerkiksi vihamielisten kirjautumisyritysten tunnistamisen ja sensitiivisen tiedon urkkimisen tunnistuksen. Palomuuriin voi tehdä myös asiakaskohtaisia asetuksia, joilla voidaan huomiota kunkin palvelun erityistarpeet.
  3. Hajautetun sisältöjen jakelun eli CDN-ratkaisun (content delivery network). CDN-palvelua on hyvä havainnollistaa esimerkin avulla. Miettikää, jos Suomen ainoa R-Kioski olisi Helsingin rautatieasemalla. Jos rovaniemeläinen haluaa ärräkahvinsa, olisi hänen ensin matkustettava Suomen halki, mikä ottaa oman aikansa. Lisäksi sillä Suomen ainoalla steissin ärrällä olisi luultavasti jonkin verran jonoa. Sen takia kioskeja onkin ympäri maan, ja tismalleen samaa kahvia saa myös Rovaniemen R-Kioskilta. CDN toimii samoin. Kun lataan kuvan WordPress-sivustolle, Cloudflare huolehtii siitä, että siitä tehdään kopio Australiaan. Kun australialainen lataa verkkosivusi, hänen kuvansa tulee läheltä. Tällä on parhaimmillaan merkittävä vaikutus latausnopeuksiin.

Mielenrauha toki maksaa, eikä Cloudflare ole internetin halvin työkalu. Vaikka sen perusversio on ilmainen, tarvitaan yrityksille käytännössä Business-paketti, jonka kustannus on tällä hetkellä 200 euroa kuukaudessa. Business-paketti edellyttää, että yrityksen nimipalvelut ovat Cloudflaren hallinnassa. Tämä voi muodostua ongelmaksi, jos DNS-palveluita ei haluta siirtää kaikkineen uudelle palveluntarjoajalle.

Me autamme sinua Cloudflaren käyttöönotossa, kun haluat olla palvelunestohyökkäykseen varautuneena ja suojata palvelusi . Ole meihin rohkeasti yhteydessä!

Haku