По данным платформы TAdviser, российский рынок облачных инфраструктурных сервисов в 2024 году вырос на 36,3 % и достиг 165,6 млрд рублей, при этом ключевым драйвером стали решения для искусственного интеллекта — до 80 млрд рублей рынка пришлось на аренду GPU‑ресурсов. Бизнес идёт в облака не ради модного тренда: аренда ресурсов действительно дешевле, чем покупка железа, проще в сопровождении и позволяет масштабироваться за пару минут.
Но рост популярности сделал облака приоритетной — и очень удобной — мишенью для злоумышленников. Массовые DDoS-атаки накрывают сразу сотни компаний, а их интенсивность порой превышает пропускную способность магистральных операторов. В такой среде можно полагаться только на проверённых партнёров и чёткое распределение ответственности.
Кто отвечает за безопасность в облаке на самом деле
Публичное облако — это не «всё включено». Оно работает по модели shared responsibility: за то, чем управляет провайдер, отвечает провайдер; за то, чем управляете вы, отвечаете вы.
- IaaS. ITGLOBAL.COM обеспечивает безопасность на уровне своей инфраструктуры, включая физический доступ к серверам и виртуализацию, а вот гостевые ОС, приложения, пользователи и их доступы уже под вашим контролем.
- PaaS. Добавляется ответственность провайдера за саму платформу (БД, контейнеры, middleware).
- SaaS. Максимум обязательств ложится на провайдера: клиенту остаётся заботиться только о данных и их корректном использовании.
К сожалению, даже при многоуровневой защите полностью исключить риск нельзя — целенаправленный и технически подготовленный атакующий может всё же найти уязвимость. Но чем сильнее и грамотнее выстроена оборона, тем выше шансы: атаку получится вовремя обнаружить, отреагировать на неё быстрее, а злоумышленнику придётся потратить больше ресурсов и времени на попытку обхода защиты.
L3/L4 и сетевая устойчивость
На базовом уровне ITGLOBAL.COM закрывает атаки, бьющие по сетевой инфраструктуре дата-центров: защищаются IP-префиксы, точки выхода в интернет, маршрутизация трафика. Здесь помогают высокая избыточность каналов и многопоточная фильтрация.
Однако те IP-адреса, которые вы получили в аренду и распределяете между своими сервисами (overlay-сеть), уже находятся под вашей юрисдикцией. Если атакуют именно их, без дополнительной защиты не обойтись.
L7 и защита приложений
Злоумышленники научились экономить ресурс: вместо того чтобы «заливать» каналы, они генерируют лавину HTTP-запросов к конкретным страницам или API-эндпоинтам. Облачный провайдер обезопасит свои собственные порталы управления, личные кабинеты и API, но не ваши сайты или мобильные бекенды. Их устойчивость–целиком ваша зона ответственности.
Связка ITGLOBAL.COM и StormWall
При росте угроз со стороны DDoS-атак компании всё чаще подключают специализированные решения в дополнение к базовой защите облачного провайдера. На практике один из самых эффективных подходов — это интеграция облачной инфраструктуры ITGLOBAL.COM с платформой DDoS-защиты StormWall.
Такая связка позволяет реализовать многоуровневую систему фильтрации: — на уровне дата-центра мы обеспечиваем защиту префиксов и интернет-каналов, — StormWall подключается как внешняя сеть очистки, которая принимает весь входящий трафик, отфильтровывает вредоносный и передаёт в облако только легитимные запросы.
Сценарий внедрения включает участие трёх сторон: заказчика, инженеров ITGLOBAL.COM и специалистов StormWall. Совместно:
- определяются критичные для бизнеса сервисы и IP-адреса;
- настраивается маршрут трафика через облако защиты;
- проводится первичный анализ сетевого профиля, по результатам которого задаются параметры фильтрации.
Благодаря использованию Anycast-сетей и глубокой фильтрации на периферии, атаки отражаются до того, как достигнут инфраструктуру в облаке. При этом бизнес-процессы остаются доступными, а конечные пользователи не ощущают перебоев.
Такой подход позволяет использовать преимущества облака без компромиссов по безопасности — особенно в условиях, когда количество и мощность DDoS-атак продолжает расти.
Как выглядит путь подключения защиты для вашего проекта
Сначала формируется рабочая группа. В неё входят все стороны: вы, инженеры ITGLOBAL.COM и специалисты StormWall. Такой формат позволяет быстро согласовать технические детали, не теряя время на пересылку писем и уточнений между разными сторонами.
Затем команда определяет, какие именно сервисы наиболее важны для бизнеса и какие IP-адреса задействованы. Эти данные ложатся в основу маршрута: как пойдёт трафик, где он будет фильтроваться и какие схемы переключения будут задействованы в случае атаки.
После этого начинается период наблюдения. StormWall не включает фильтрацию сразу, а сначала изучает трафик в «мирное время»: строит профиль поведения пользователей, фиксирует объёмы, географию, частоту запросов. Это необходимо, чтобы в будущем не блокировать легитимные обращения.
Когда baseline готов, фильтр активируется. При первом же всплеске аномальной активности система автоматически перенаправляет поток на очистку, удаляет вредоносные запросы и пропускает только безопасный трафик обратно в облако ITGLOBAL.COM. Всё это происходит без участия человека — и без влияния на работу ваших сервисов.
Почему важно действовать до атаки
Подключение защиты «на горячую» возможно, но всегда сопряжено с цейтнотом: бизнес уже простоял, команду лихорадочно собирают с разных смен, а настроечные шаги приходиться сжимать до минимума. Когда же фильтр интегрирован заранее, DDoS-атака превращается в форму планового трафика — система просто выполняет свою работу, а пользователи продолжают пользоваться сервисом.
Вместо вывода
Доступность стала такой же KPI, как выручка или NPS. Чем активнее бизнес использует облака, тем более заманчивой мишенью он становится для DDoS. Партнёрство ITGLOBAL.COM и StormWall закрывает вопрос «как защититься» уже на этапе проектирования: провайдер отвечает за фундамент, StormWall — за отражение ударов, а вы развиваете продукт, не отвлекаясь на дежурства по безопасности.
Предыдущая статья
