科技公司中流传着这样一句话:如果你付不起安全费用,你就承受不起安全漏洞。漏洞的后果可能非常昂贵,包括数据丢失、人员参与、业务恢复成本、声誉受损等等。这就是为什么大公司花费数百万美元来保护他们的数据,并花费大量时间来实施和维护数据安全程序和安全策略。当然,小企业负担不起这些,而且通常用于安全的预算有限。这时,使用安全的网络托管服务提供商的服务就变得至关重要。
虽然网站托管商不能独自负责您的网站安全,但好的网站托管商可以做很多事情来帮助您保持安全并防止最坏的情况发生。在 SiteGround,我们开发了一个集中式企业级安全系统来保护我们客户的网站、应用程序和数据。它的复杂性随着时间的推移而增加,描述它的全部内容可能非常令人不知所措,但在这篇文章中,我们将向您介绍我们如何分析和过滤进入您网站的网络流量,以及我们如何每天阻止数亿次对我们托管的网站的攻击。
有效的安全构建模块
我们的所有服务器都安装了必要的安全软件,并且每个服 律师数据库 务器都设置了本地运行的系统 – 网络流量防火墙、Web 应用程序防火墙、IDS/IPS(入侵检测/预防系统,如暴力破解预防)、元数据深度 HTTP 分析、DDOS 保护等。这些是过滤不良流量和防止暴力攻击、恶意软件注入、拒绝服务等的经典且非常有效的手段,我们非常依赖这些手段。在我们的 DevOps 工程师和系统管理员的出色管理下,这些系统不断得到改进,它们每天在我们的服务器上过
滤大约 1 TB 的不良流量和超过 3 亿个不良请求!
但是,如果这些系统仅在服务器级别独立运行,网站之间的差异 则会出现以下问题:如果黑客威胁服务器 A,即使服务器的单个安全系统可以保证服务器的安全,也无法阻止黑客尝试对服务器 B、C 等进行同样的攻击。为了确保我们所有的服务器始终受到保护,我们构建了中央安全系统,该系统不断收集和分析来自所有单个服务器安全系统的数据,并分发适用于所有机器并保护它们的智能安全规则。
集中式大数据分析
我们的中央安全系统依靠从所有其他服务器级系统接收的大数据,销售线索 分析各种攻击源,检测更大的模式,并在整个平台上阻止更多全球攻击。
Web 应用程序防火墙数据源
如上所述,每台服务器都有一个 WAF,其主要职责是保护 WordPress、Magento、Joomla、Drupal 等 Web 应用程序免受各种攻击,例如跨站点脚本 (XSS)、SQL 注入等。一旦我们意识到安全威胁(软件漏洞),我们的安全工程师就会编写一条新规则来修补它,并将该规则添加到我们的本地 WAF 中。
所有未被网络层丢弃的请求都会被服务器 WAF 过滤。如果请求符合 WAF 规则的参数,WAF 会将相关信息发送到中央安全系统。中央系统会记录并分析所有服务器上符合 WAF 规则的所有请求(例如其 IP 和其他元数据)。如果它检测到某种模式,例如来自同一 IP 地址的多个跨多台服务器的请求,中央系统将阻止该 IP 并将规则分发到我们基础设施中的所有机器。根据具体情况和规则,系统可能会限制可疑 IP 请求通过验证码进行质询,或者在特定时间段内(数小时、数天、数周甚至永久)完全限制从该 IP 到我们任何服务器的流量。
暴力破解预防流量模式
作为我们暴力破解预防策略的一部分,我们在所有服务器上部署了本地监控系统。它们监控我们托管的所有应用程序的登录尝试,并将每次失败的登录尝试报告给中央安全系统。系统会收到有关登录尝试的通知以及与之相关的所有重要安全信息,如 IP 地址、请求数量、IP 历史记录等。每 60 秒,中央安全系统会审查汇总数据并分析重复元数据的数量和频率,以寻找模式。当模式明确识别后,系统会创建分发给所有服务器的阻止规则。
例如,短时间内来自同一 IP 地址的登录尝试在一台或多台服务器上多次失败(设置不同的时间阈值以提高精度和效率)。在这种情况下,我们的系统会标记该 IP,并且将来从该 IP 向我们的任何服务器发出的请求都将接受验证码测试。
还有更多系统向我们的中央安全系统发送数据
我们通过许多其他方式向中央安全系统提供数据 – 例如监控对 FTP、EXIM、Dovecot 等服务器级服务的登录尝试;查看 WordPress 网站的 XML-RPC 流量;输入来自第三方系统的不同流量模式等等。
我们输入的相关数据源越多,数据池就越大,从而大大提高了中央安全系统的分析能力和准确性。随着时间的推移,系统有效预防攻击的能力将越来越强。
全球范围内的企业级保护
最后,以下这些数字可以帮助您了解中央安全系 构建级安全性 统所做工作的规模和效果。每天有超过2.6 亿个请求通过验证码进行挑战,但实际上只有不到 40,000 个请求通过了挑战。目前有超过 50,000 个IP 被标记为不良或可疑,其中近一半被完全阻止访问我们的服务器。这个数字每天都在变化,因为新的 IP 会因可疑活动而被标记和挑战,而之前被标记的 IP 会在成功验证或禁令到期后被清除。