Od ledna má distributor Zebra systems, který se zabývá v podstatě IT bezpečnostními řešeními, v nabídce další “kus”. Jde o “pračku” síťového provozu formou služby. Ptali jsme se Michala Hebedy, který má toto řešení u Zebra systems na starosti.
Přišli jste na český trh s IT bezpečnostním řešením Cloudflare. Jak byste jej nejstručněji charakterizoval? V čem se odlišuje od konkurence, která zde už je?
Toto řešení bych přirovnal k takové „výhybce“, která veškerý provoz, jenž směřuje na naše servery, přehodí jinou cestou přes datacentra Cloudflare. Těch je více než 200 ve více než 100 zemích světa a pro většinu uživatelů nižší dopravní zpoždění než 100 ms. Abych zůstal u železniční terminologie, tak cesta přes tato datacentra je něco jako TGV. Tedy k cíli, zdrojovému serveru, se požadavek dostane mnohem rychleji. Navíc, před vstupem na tuto rychlodráhu, dojde k profiltrování provozu a jeho vyčištění od všeho špatného, jako jsou DDoS útoky, aktivity botnet sítí a podobně.
Množství datacenter a jejich rychlé propojení pomocí anycastové sítě zajišťuje, že při zahlcení jednoho datacentra jeho roli okamžitě převezmou datacentra jiná. Celková kapacita tohoto řešení je přes 50 Tb/s což je řádově více, než dosud zaznamenané útoky.
Teče příchozí provoz pres pračku neustále, nebo je nutná integrace s detekci na straně zákazníka pro nárazové mitigace? Jak se Cloudflare v praxi nasazuje a jak dlouho to trvá? Kde je nejbližší uzel?
Provoz přes tuto výhybku, nebo chceme-li pračku, teče neustále a v reálném čase dochází k detekci nebezpečných aktivit. Cílové servery jsou tedy stoprocentně ochráněny jak před těmito riziky, tak před případným přetížením.
Nasazení Cloudflare je velmi jednoduché – vše probíhá v cloudu přes jednoduché webové rozhraní a na straně zákazníka se nic neinstaluje. Jediné, co musí zákazník na své straně připravit, je omezení příchozího provozu pouze ze serverů Cloudflare. Vlastní změna pak proběhne po přesměrování záznamů DNS.
Je nutno poskytnout SSL certifikáty pro https provoz? Jaké jsou podporované další protokoly?
Ano, je nutné správně nastavit certifikáty SSL, aby byla pro uživatele komunikace vždy důvěryhodná a bezpečná. Cloudflare však umí tuto práci s certifikáty výrazně zjednodušit a převzít roli správce certifikátů SSL. Podporována je celá škála protokolů, včetně těch moderních jako je HTTP/3 s podporou Quic.
Když jde o cloudovou službu, jak se funkčně odlišuje anti-DDoS řešení Cloudflare od on-site řešení, která jsou také k dispozici?
Jako odpověď na tuto otázku vám nabídnu jednoduché přirovnání: Představte si, že máme uzavřenou vládní oblast, kam nechceme vpustit útočníky, a do které vedou třeba jen dvě silnice. Zřídíme na nich kontrolní stanoviště – firewally. Kapacita a schopnost těchto check pointů může být jakákoliv, ale nám to nebude nic platné, když přijíždějící vozidla zahltí obě silnice. Pak se ani ministerský předseda do té čtvrti neodstane a zůstane stát v zácpě.
Analogicky je to s on-site řešeními – chrání dobře, ale se zahlcením příchozích linek si nemají jak poradit. V tomto je cloudové řešení jedinečné a pro uživatele naprosto transparentní.
Pro jaký typ a velikost zákazníků se Cloudflare hodí?
Jde o dvě základní skupiny zákazníků, případně “dva v jednom”. Jednak se hodí pro všechny, kdo nechtějí být DDoS paralyzováni. Jednak ale i pro ty, kteří musejí počítat s nárazovým provozem a možností zahlcení. Typicky mohu jmenovat nedávné přihlašování k očkování proti Covidu nebo sčítání obyvatelstva, pro který má Cloudflare “Waiting room”, což je jakýsi buffer, mezipaměť síťového provozu, která sice odezvu zákazníkům, v tomto případě obyvatel ČR, trochu zpomalí, ale nedovolí provoz shodit, zablokovat. Další následky zahlcení a DDoS ponechme na informovanosti čtenářů, případně na míře jejich obrazotvornosti. Jen bych ještě připomenul nedávné útoky DDoS na FC Slavia Praha, nebo magistrátu sítě úřadu v Olomouci.
Řešení Cloudflare je vhodné pro každého, komu by potíže s přístupem z internetu na jeho servery přinesly problémy. Ať už jde o přímé finanční dopady, třeba když mu vypadne e-shop, nebo dopady reputační, třeba když mu nefunguje oficiální web nebo portál. To může potkat organizaci jakéhokoliv typu, tedy i státní správu, školství a průmysl. Problémy mohou být různého rázu, třeba zahlcení v důsledku DDoS útoku, nebo jen přetížení z důvodu příliš velkého zájmu. V nedávné minulosti jsme tu měli několik takových případů, kdy oběťmi masivních DDoS útoků se stal například Magistrát města Olomouc nebo weby předních sportovních klubů. Nestabilitu při nárazovém masivním provozu jsme mohli vidět po spuštění webu na sčítání obyvatelstva nebo registraci k očkování.
Jaká je cenová politika Cloudflare? Je nějaký cenový rozdíl za provoz pod útokem a bez útoku?
S každým zákazníkem probíhá analýza jeho provozu a dle počtu chráněných domén, objemu dat, množství legitimních požadavků a zvolených funkcí je vypracován cenový model. Společnost Cloudflare ke svým zákazníkům přistupuje naprosto transparentně, takže je nečekají žádná překvapení v podobě zvýšeného účtu po proběhlém útoku a nárůstu komunikace. Částka je paušální, založená na průměrných číslech objemu dat a počtu legitimních požadavků. Nelegitimní provoz se do toho vůbec nepočítá. Pochopitelně, že v případě nárůstu legitimního provozu, jako například nějaká marketingová akce, rozvoj eshopu apod., přijde na řadu dohoda o navýšení plánu.
Jednou ze služeb pak je také „Rate limiting“, který umožní nastavit maximum požadavků za časovou jednotku.
Kde lze službu Cloudflare objednat? Jaká je minimální doba smluvního závazku pro obě strany?
Kontrakt se uzavírá na minimálně na rok a lze jej platit měsíčně nebo ročně.
Cenová hladina začíná přibližně na 3000 dolarech měsíčně, takže to není řešení pro malý nezávislý e-shop, ale spíše pro větší hráče, u nichž je možno zabránit mnohem větším škodám.
Prodej probíhá přes naši síť partnerů, požadavky lze směrovat také přímo na Zebra systems.