Конфигурации защиты

Что такое конфигурация и сколько конфигураций нужно для защиты ваших веб-ресурсов.

Что это

Конфигурация — это набор настроек, по которым система защиты обрабатывает ваш трафик.

Из чего состоит

Состав конфигурации зависит от схемы интеграции, которую вы используете.

Схема «проксирование»

В этой схеме облако Servicepipe является центром управления защитой.

Чтобы система знала, как обрабатывать запросы и куда направлять легитимный трафик, в конфигурации задаются:

Домены и сертификаты, связанные с ресурсом
Серверы-источники, куда будет передаваться очищенный трафик
Белый и чёрный списки IP-адресов
Геоограничения для разных стран
Пользовательские правила фильтрации трафика, которые вы задаёте сами
Индивидуальный профиль защиты — настройки фильтрации, сделанные для вашего сайта/приложения инженерами Servicepipe

Как система защиты использует эти настройки?

Обрабатывает запросы только к указанным в конфигурации доменам (остальные запросы отбрасывает).
Расшифровывает трафик, используя загруженные SSL/TLS-сертификаты.
Фильтрует трафик, опираясь на белый и чёрный списки, геоограничения, пользовательские правила и индивидуальный защитный профиль.
Передаёт очищенный трафик на указанные серверы-источники.

Как управлять конфигурацией?

В панели управления конфигурация обозначается как Ресурс. Вы можете самостоятельно изменить в ней:

Настройки индивидуального профиля защиты редактируют только инженеры Servicepipe. Если нужно доработать профиль — напишите в поддержку, мы поможем.

Схема «модуль Cybert + TCP Stream»

Здесь защита разделена на два этапа: сначала облако Servicepipe отсекает некорректные TCP-сессии, а затем модуль Cybert в вашем контуре блокирует вредоносные запросы.

Конфигурация содержит:

Защищённый IP — выделенный нами IP-адрес, который принимает входящие запросы клиентов к вашему ресурсу
Серверы-источники — IP-адреса ваших прокси-серверов, куда будут передаваться корректные TCP-сессии
Белый и чёрный списки IP-адресов
Геоограничения
Пользовательские правила фильтрации, которые вы настраиваете сами
Индивидуальный профиль защиты — настройки фильтрации, сделанные инженерами Servicepipe для вашего сайта/приложения

Как система защиты использует эти настройки?

Облако принимает входящий трафик на защищённый IP-адрес и отсекает некорректные TCP-сессии.
Корректные TCP-сессии попадают на серверы-источники внутри вашей инфраструктуры, где установлен Cybert и ваш SSL/TLS-сертификат.
Cybert вычленяет метаданные каждого запроса и отправляет их в облако для анализа.
Система защиты сверяет метаданные с индивидуальным профилем защиты, белым и чёрным списками, геоограничениями и пользовательскими правилами, после чего возвращает вердикт Cybert: легитимный или нет запрос.
Cybert применяет полученный вердикт — блокирует ботов или пропускает легитимный запрос к вашему ресурсу.

Как управлять конфигурацией?

В панели управления конфигурация обозначается как Ресурс. Вы можете самостоятельно изменить адреса серверов-источников, белые и чёрные списки, геоограничения и пользовательские правила.

Изменения в индивидуальный профиль защиты вносят инженеры Servicepipe. Если нужно доработать профиль — напишите в поддержку, мы поможем с настройкой.

Схема «модуль Cybert»

Приём и распределение трафика происходят целиком внутри вашей инфраструктуры. За это отвечает ваш прокси-сервер (NGINX или Angie) с установленным модулем Cybert.

Конфигурация в этом случае не содержит сетевых настроек. В неё входят только настройки, связанные с фильтрацией трафика:

Как система защиты использует эти настройки?

Модуль Cybert на вашем прокси-сервере вычленяет метаданные каждого запроса (без тела и cookie-файлов).
Cybert отправляет эти метаданные в облако Servicepipe.
Система защиты анализирует метаданные и выносит решение о легитимности запроса, опираясь на вашу политику защиты: индивидуальный профиль защиты, белый и чёрный списки, геоограничения и пользовательские правила.
Система защиты отправляет вердикт обратно Cybert.
Cybert в вашей инфраструктуре исполняет полученный вердикт — блокирует ботов или пропускает легитимный запрос.

Входящий трафик расшифровывается внутри вашего контура, без раскрытия SSL-сертификатов и содержимого запросов. Наша система защиты (облако Servicepipe) получает только технические метаданные и подсказывает Cybert, какие запросы нужно заблокировать.

Как управлять конфигурацией?

Вы можете настроить в панели управления белые и чёрные списки, геоограничения и пользовательские правила.

Изменения в индивидуальный профиль защиты вносят инженеры Servicepipe. Если нужно доработать профиль — напишите в поддержку, поможем с настройкой.

Как работает защита

Если у вас несколько веб-ресурсов, может потребоваться отдельная конфигурация для каждого.

Ниже показано, как работает защита в зависимости от выбранной схемы интеграции и количества конфигураций.

Схемы интеграции	Количество конфигураций	Как работает защита
Проксирование Модуль Cybert + TCP Stream	Одна	Все ресурсы защищаются по единому набору правил, а очищенный трафик автоматически распределяется между всеми вашими серверами-источниками с помощью балансировки методом Round robin, sticky session или IP-hash.
Несколько	Защита работает изолированно: для каждого ресурса действует индивидуальный набор правил, а трафик направляется строго на закреплённые за ним серверы-источники.
Модуль Cybert	Одна	Трафик ко всем ресурсам обрабатывается по общим для всей конфигурации правилам защиты.
Несколько	К каждому веб-ресурсу применяется индивидуальный набор правил, прописанный в соответствующей конфигурации.

Схемы интеграции

Количество конфигураций

Как работает защита

Проксирование

Модуль Cybert + TCP Stream

Одна

Все ресурсы защищаются по единому набору правил, а очищенный трафик автоматически распределяется между всеми вашими серверами-источниками с помощью балансировки методом Round robin, sticky session или IP-hash.

Несколько

Защита работает изолированно: для каждого ресурса действует индивидуальный набор правил, а трафик направляется строго на закреплённые за ним серверы-источники.

Модуль Cybert

Одна

Трафик ко всем ресурсам обрабатывается по общим для всей конфигурации правилам защиты.

Несколько

К каждому веб-ресурсу применяется индивидуальный набор правил, прописанный в соответствующей конфигурации.

Сколько конфигураций нужно

Чтобы быстро определиться с числом конфигураций, используйте схему:

Или найдите свой вариант в тексте ниже.

Одна конфигурация

Достаточно в следующих случаях:

Один веб-ресурс (любая схема интеграции). Весь ваш трафик можно обрабатывать в рамках единых правил, поэтому одной конфигурации достаточно.
Несколько веб-ресурсов, чей трафик можно обрабатывать по единым правилам защиты (схема «модуль Cybert»). Здесь конфигурация отвечает только за фильтрацию, а балансировкой вы управляете самостоятельно, поэтому использовать дополнительные конфигурации не нужно.
Несколько веб-ресурсов, которые живут на одних и тех же серверах и чей трафик можно обрабатывать по единым правилам защиты («Проксирование» или «Модуль Cybert + TCP Stream»). Если у разных ресурсов (например, сайта и его зеркал) общий бэкенд и идентичные настройки защиты, их можно объединить в одну конфигурацию.

Несколько конфигураций

Используйте, если у вас:

Несколько веб-ресурсов, которые живут на разных серверах («Проксирование» или «Модуль Cybert + TCP Stream»). Вам нужно столько конфигураций, сколько существует уникальных связок «домен + серверы-источники», чтобы трафик каждого ресурса направлялся строго на свой бэкенд и не смешивался.
Несколько веб-ресурсов, которые живут на одних и тех же серверах, но для каждого нужны свои правила защиты («Проксирование» или «Модуль Cybert + TCP Stream»). Даже при общем бэкенде потребуется отдельная конфигурация для каждой уникальной политики защиты. Например, если для личного кабинета нужны строгие правила, а для публичных страниц сайта — «мягкие».
Несколько веб-ресурсов, для которых нужны разные правила защиты (схема «модуль Cybert»). Потребуется столько конфигураций, сколько ресурсов вы планируете защищать по индивидуальным правилам.