Описание Услуги
Услуга «Услуга защиты веб-приложений от DDoS-атак (услуга 3.2.2)» (далее - Услуга) предназначена для обнаружения и предотвращения компьютерных атак типа «отказ в обслуживании», направленных на информационные ресурсы Потребителя, размещенные в рамках платформы ЕЦП «ГосТех», опубликованные в сети Интернет и доступные по протоколам HTTP/HTTPS.
Объектом Услуги является сетевой входящий и исходящий трафик к веб-приложениям Потребителя услуг.
Единицей расчета Услуги является защита Исполнителем сетевого входящего и исходящего трафика к веб-приложениям Заказчика или Потребителя услуг в объеме не более 100 Мб/с (каждую секунду входящего трафика) за один календарный день.
Для начала оказания услуги защиты веб-приложений от DDoS атак (услуга 3.2.2) Заказчику необходимо предоставить Исполнителю ключи шифрования, полученные от Потребителя услуг, для терминации TLS-соединений.
В рамках оказания Услуги Исполнителем обеспечивается решение следующих задач:
- фильтрация вредоносного трафика, обнаружения и фильтрации аномального сетевого трафика атак Denial-of-Service (DoS) атак;
- анализ HTTPS-запросов с предоставлением ключей шифрования (при предоставлении ключей шифрования и при направлении в нее данных о запросах при обработке трафика компонентами Услуги);
- осуществление функции HTTP redirect (при наличии ключей шифрования, использования метода проксирования HTTP);
- автоматическое перераспределение нагрузки сетевого трафика между защищаемыми серверами веб-приложения в случае отказа на стороне Заказчика, если доступен хотя бы один из серверов;
- формирование отчетов о произошедших инцидентах, включающих в себя данные о количестве и составе заблокированных IP-адресов, тип кибератаки и ее показатели.
В случае непредоставления ключей шифрования или использования алгоритмов, не поддерживаемых системой, фильтрация приложения может осуществляться только до уровня 4 модели OSI или с помощью метода передачи данных о веб-трафике в формате лога в зашифрованном соединении на систему Исполнителя для последующего анализа после обработки трафика компонентами Услуги.
С целью начала пользования Услугой Потребитель услуг (при необходимости в сопровождении специалистов Исполнителя) либо Исполнитель самостоятельно (получив аутентификационную информацию от Потребителя услуг) осуществляет перевод трафика на IP-адреса, предоставленные Исполнителем, посредством корректировки DNS-записи типа А и привязки доменного имени приложения к выделенному Исполнителем IP-адресу.
Отчет об оказании услуг по защите платформы «ГосТех» в части услуги защиты веб-приложений от DDoS атак включает два раздела: «Общая информация» и «Результаты блокировки атак DDoS».
Раздел «Общая информация» содержит следующую информацию:
- полоса тарифицируемого трафика;
- общее количество обработанных запросов;
- статистика по входящему, исходящему, пропущенному трафику;
- информация по уязвимости сетевых ресурсов к возможным DDoS-атакам из сети Интернет;
- активность фильтрации с распределением по дням с указанием продолжительности нахождения IP-адресов в чёрном списке.
Раздел «Результаты блокировки атак DDoS» содержит следующую информацию:
- перечень встретившихся аномалий на трафике с указанием временного интервала;
- максимальный размер черного списка IP;
- максимальное число запросов в секунду;
- максимальные значения по трафику: входящий, пропущенный, исходящий, отфильтрованный;
- статистика значений трафика: входящий, пропущенный, исходящий, отфильтрованный;
- статистика геораспределения IP-адресов атакующих.
В случае превышения объема входящего или исходящего трафика в 100 Мбит/с Исполнитель должен не позднее 8 рабочих часов с момента фиксации превышения уведомить уполномоченных представителей Заказчика о превышении, при этом Услуга продолжает оказываться Исполнителем, но без обязательного соблюдения целевых показателей, указанных в таблице, содержащей целевые показатели при работе с инцидентами работоспособности Услуги, в отношении Мбит/с, превышающих объем в 100 Мбит/с.
Услуга может являться источником событий для мониторинга защищенности и реагирование на инциденты информационной безопасности, реализуемого при заказе услуги «Мониторинг защищенности и реагирование на инциденты информационной безопасности (услуга 3.2.4)».
Услуга оказывается как сервис, использует мощности Исполнителя и не требует выделения ресурсов от Заказчика или Потребителя услуги. Услуга представляет собой совокупность технологий сканирования и экспертов Исполнителя.