Прямой защищённый стык — новая норма безопасности

Прямой защищённый стык — новая норма безопасности

Около года назад произошел киберинцидент, о причинах которого не писали газеты и журналы, но при этом их активно обсуждали эксперты по информационной безопасности. Этот случай во многом изменил подход крупных отечественных организаций к защите от сетевых угроз.

Как вы помните, летом 2024 года на финансовый сектор шли массированные ковровые DDoS-атаки политически мотивированных хакеров. В числе прочего ими был атакован один крупный российский банк. Злоумышленники тогда решили «зайти» через провайдера кредитной организации. Атака была мощной, защита от DDoS-атак едва выдерживала нагрузку, а деградация сервисов наблюдалась не только у самой кредитной организации — тяжело приходилось и ее облачному и интернет-провайдеру, поскольку из-за этой атаки с проблемами столкнулись и другие его клиенты.

И тогда провайдер выбрал спасительное для себя и остальных своих клиентов решение — он просто отключил кредитную организацию от интернета. В итоге хактивисты добились своей цели даже без увеличения мощности атаки — банк «лег», в интернете появились множественные жалобы клиентов, об ужасной атаке хактивистов написали многие СМИ. 

Статей и комментариев с объяснением причин успеха атаки нигде не было, но через теорию семи рукопожатий в узкие круги ИБ-специалистов информация о ней все же просочилась. Стало очевидным, что для обеспечения непрерывности работы сервисов необходим сквозной SLA (соглашение об уровне сервиса) между телеком-оператором и провайдером очистки трафика, который обеспечивает не просто интернет, а канал с гарантированной защитой от DDoS-атак, и не просто облако, а инфраструктуру, которая не ляжет под атакой и не будет отключена в случае больших нагрузок. 

Так, руководитель департамента информационной безопасности МКБ Вячеслав Касимов ранее в интервью Cnews говорил, что банк больше не работает с обычными интернет-провайдерами, потому что они показали несостоятельность своей защиты во время атак в начале 2022 года. По его словам, теперь МКБ использует услуги только тех провайдеров, которые вместе с интернет-каналом предоставляют сервисы очистки трафика. А это возможно лишь в ситуации коллаборации игроков рынка телекома и защитников от DDoS-атак. 

Обеспечить вышеописанный сквозной SLA, в частности, позволяют «прямые защищенные стыки» (Security Direct Connect (SDC)), которые возможны как раз при коллаборации ответственного за прокладку оптоволоконного кабеля игрока из телекома и сервис-провайдера защиты от DDoS-атак.

В случае защищенного стыка данные попадают в облако через оптоволоконный кабель прямого соединения, за прокладку и обслуживание которого отвечает телеком-компания. Но это не стандартный прямой стык, который сам по себе давно не являются ноу-хау. Фишка SDC в том, что «стык» работает в связке с центром очистки от DDoS-атак и фильтрует проходящий по нему трафик и служит для доставки чистого трафика после центра очистки. Это особенно актуально для улучшения SLA для веб-сервисов и приложений на L7 фильтрации, так как обычно доставка очищенного трафика по такой схеме осуществляется через публичный интернет по технологии reverse-proxy. То есть речь буквально о физической коммутации, когда одна сторона волокна подводится к облачной инфраструктуре провайдера, а другая — к защищенной сети. В случае с SDC интернет-провайдер заключает SLA-соглашение с клиентом, полностью берет на себя ответственность и гарантирует доставку данных от центра очистки до облака, и от облака до конечного пользователя, то есть на всем пути следования трафика.

При SDC полностью исключается возможность атак на адреса защищаемых ресурсов в случае их компрометации, так как все задействованные IP-адреса веб-ресурсов в этом случае не внешние, как в случае с открытыми сетевыми протоколами, а внутренние. То есть даже если хакеры узнают их в результате утечки, инициированной бывшим сотрудником компании, через механизмы социальной инженерии, случайно опубликованные в сети файлы конфигурации системы или по иным причинам — они не попадут на ресурс никак, кроме как через центр очистки трафика. 

Это очень важный момент поскольку, зная IP-адрес, злоумышленники могут, например, отправлять запросы на поиск DNS, при этом заменяя IP-адрес источника на адрес жертвы. Таким образом, хакеры заполняют канал сервера-жертвы огромным объемом ответов от публичных DNS-серверов. Также с помощью скомпрометированных IP-адресов злоумышленники могут применить механизмы усиления DDoS. Например, спуфинг, при котором происходит подмена происходит в изменении адреса отправителя, чтобы скрыть настоящий адрес атакующего.

Безопасное соединение обеспечивается именно за счет отсутствия передачи трафика по открытым каналам, в результате совместной работы с провайдером интернета создается полностью изолированная сеть. Это, в свою очередь, гарантирует максимальную степень защиты от DDoS-атак. Из возможных непредвиденных рисков здесь — только физическое повреждение оптоволоконного кабеля. 

Кроме того, благодаря «прямому стыку» клиенты облака могут воспользоваться не только услугами центра очистки трафика. Если сервис-провайдер предлагает также продукты для защиты от так называемых продвинутых ботов или от целевых атак (WAF), то при наличии прямого стыка подключения дополнительных ИБ-решений возможно в кратчайшие сроки.

Разницу наличия и отсутствия прямого стыка можно пояснить на примере.  Представим, что в облаке разместился сайт интернет-магазина. У этого магазина подключена защита от DDoS, но не используется «прямой защищенный стык». В этом случае при атаке на IP-адреса сайт магазина могут легко «положить», скорость трафика — «зарезать» и т. д., при этом ни облачный, ни ИБ-вендор защиты от атак не смогут повлиять на ситуацию. В случае с переходом на SDC эти проблемы решит SLA с интернет-провайдером.   

И если в России SDC пока еще не широко распространены, и бизнес лишь сейчас к этому приходит, то ведущие мировые ИТ-гиганты, например, Amazon уже несколько лет предоставляет масштабируемые вычислительные мощности в облаке, используя эту технологию. Совершенно очевидно, что SDC — это то, что уже стало новой нормой и потому прямые защищенные стыки будут пользоваться все большим спросом.