- בלוג
- שילוב מושלם בין CDN ל-WAF: איך לשפר אבטחה וביצועים יחד
שילוב מושלם בין CDN ל-WAF: איך לשפר אבטחה וביצועים יחד
שילוב מושלם בין CDN ל-WAF: איך לשפר אבטחה וביצועים יחד
פורסם ב 18-05-2025
CDN? ו-WAF? ביחד? למה?
לפחות, זאת השאלה שחלקכם בוודאי שואלים. הרי מרבית בעלי האתרים רואים שרתי CDN כמרכיב אשר מסייע (רבות!) להאיץ את טעינת האתרים שלהם במקומות מרוחקים מהשרת המרכזי, בעוד שבעלי אפליקציות הרשת (והאתרים) יודעים כי מערכת WAF נועדה להגן על אותן אפליקציות מתעבורת רשת זדונית. על הנייר, נשמע שכל אחת מהן משרתת מטרה אחרת, גם כשהן פועלות.
עם זאת, פעולה משולבת של שתי המערכות, כאשר הן פועלות יחד, מקנה הרבה יותר תועלות ממה שנראה בתחילה. התועלת הזו מתבטאת, בשורה התחתונה, ב-הקלה על השרת המרכזי. הקלה זו מתקבלת בשני רבדים:
- שרתי ה-CDN “לוקחים” חלק ניכר מתעבורת הנתונים שבמקור אמורה הייתה להתבצע בין השרת הראשי לבין הגולשים/משתמשים/לקוחות.
- מערכת ה-WAF חוסמת, בצורה חכמה, תעבורה נכנסת זדונית (וכזו החשודה כזדונית). בנוסף לכך, היא מצמצמת התקפות מוצלחות.
תועלות אלו יוצרות מספר יתרונות עסקיים:
טעינה מהירה יותר של האתר – עומס מופחת על השרת הראשי מאפשר לו להריץ את האתר/יישום מהר יותר. הרצה זו מתבטאת, בקצה השני, כפעולה מהירה יותר של המרכיבים אשר אינם נמצאים במטמון של שרתי ה-CDN, וביכולת להשתמש ביותר רוחב פס על מנת “למסור” את הנתונים הללו למשתמשים.
טעינה מהירה יותר הוכחה כאחד הגורמים המרכזיים להישארותם של גולשים באתר ו/או לשימושם ביישום רשת. הישארות זו מביאה ליותר תעבורת רשת, יותר חשיפה וליחס המרה גבוה יותר.
פחות תקלות – ככל ששרת (וכל מכשיר אחר, למעשה) נאלץ להתמודד עם יותר עומס, כך הסיכוי לתקלות ו/או עיכובים גָּדֵל. בהתאם, ככל שהשרת “פנוי” יותר, כך הסיכוי לתקלות קָטֵן. משמעותן של פחות תקלות היא פחות סיכוי שהשרת לא יהיה זמין, וכמובן, פחות “בזבוז” של זמן על פניות לתמיכה של ספק השירות.
שכבת הגנה נוספת – נציין זאת בהמשך, אבל שרתי CDN מקנים שכבת הגנה נוספת (בעיקר כנגד התקפות DDoS) על זאת שמספקת מערכת WAF. ככל שהאתר/יישום והשרת מוגנים יותר, כך גם הנתונים הקריטיים בהם הם מחזיקים, וכך לבעלים יש יותר שקט נפשי.
עכשיו, בואו נרחיב קצת…
מה זה CDN?
CDN – מערכת להעברת/הפצת תוכן (Content Delivery Networ) – היא רשת של שרתים מבוזרים, אשר מחזיקים בעותק מהמטמון של אתר/יישום. שרתים אלה פזורים ברחבי העולם ב”מחלפי אינטרנט” (IXP) או בנקודות בהן מתרכזת תעבורת אינטרנט רבה (PoPs). תפקידם הוא להנגיש את המטמון של האתר או היישום לגולשים ולמשתמשים, אשר נמצאים במיקום גיאוגרפי מרוחק מהשרת הראשי המאחסן ומריץ אותו. כך, טעינת הנתונים הנמצאים במטמון מתבצעת מהר יותר, ללא הצורך במסעות רחוקים של חבילות נתונים הלוך וחזור.
טעינה מהירה היא לא התועלת היחידה שניתן להפיק משרתי CDN. הם גם מורידים עומס רב מהשרת הראשי, בכך שהם “מתמודדים” עם העברת נתוני המטמון בהם הם מחזיקים, במקום שהשרת הראשי יצטרך לעשות זאת.
טעינה מהירה והפחתת עומסים הם לא היתרונות היחידים שמספקת מערכת CND. לכשעצמה, המערכת כוללת היבטי אבטחה בלתי מבוטלים, כמו נטרול התקפות מניעת שירות (DoS ו-DDoS), הסוואת כתובת ה-IP האמיתית של השרת הראשי, וסיוע לביצוע תקשורת על גבי פרוטוקול SSL\TLS.
אם אתם מעוניינים לדעת עוד על שרתי CDN, אתם מוזמנים לקרוא את המאמר שכתבנו בנושא.
מה זה WAF?
מערכת WAF (ר”ת Web Application Firewall) היא למעשה חומת-אש לאפליקציות רשת. היא מסננת את כל תעבורת הנתונים הנכנסת (וחלק מתעבורת הנתונים היוצאת), המיועדת ליישומים שפועלים באמצעות חיבור לרשת. הרשת יכולה להיות רשת האינטרנט, או רשת פנימית כלשהי, כמו הרשת הארגונית בעבודה.
מערכות WAF פועלות באמצעות סטים מוגדרים של כללים. סטים אלה יכולים להיות מוגדרים על ידי המשתמש, או להגיע כסטים “מוכנים מראש” מטעם יצרן המערכת (או מטעם גורם אחר). בדומה למערכת חומת-אש רגילה, הן מהוות מעין שומר סף או מתווך, שממיין את הנתונים הנכנסים והיוצאים דרך פרוטוקול HTTP/HTTPS, ומאשר רק לאלה הבטוחים ליישומי הרשת לעבור.
מערכות WAF מגינות מפני סוגים רבים של התקפות, כמו: הרעלת קבצי עוגיות (Cookie Poisoning) הזרקות SQL, התקפות XSS, התקפות מניעת שירות (DoS ו-DDoS), ועוד.
ב-Jetserver, אנו מספקים שירותי WAF מבוססת ענן של ModSecurity. אנו משתמשים במערכי חוקים שונים ומגוונים, ביניהם OWASP Core Rule Set (CRS), Imunify360 ו-Comodo.
אל דאגה, כתבנו בהרחבה גם על מערכות WAF, לכל מי שסקרן או חדש בתחום.
איך ליישם שילוב של CDN עם WAF בצורה נכונה?
נכון, אפשר פשוט להשתמש בשתי המערכות במקביל, וליהנות מהיתרונות של כל אחת בנפרד על אותו השירות. עם זאת, יישום נכון של המשלב את שתי המערכות יחדיו, יביא לתוצאה היותר רצויה של פעולה מסונכרנת ומתואמת.
ניתן להשיג זאת באמצעות הצעדים הבאים:
שימוש בשירות המשלב מערכת CDN עם מערכת WAF
ישנן כמה חברות אשר כוללות את שתי המערכות במסגרת אותו השירות/מוצר.
שתי הסיבות לבחירה בשירות המשלב את שתי המערכות הן ברורות:
- מוצרים המשלבים את שתי המערכות תוכננו על מנת להקנות פעולה הרמונית של שתיהן. כלומר, לא רק שהן פועלות ביחד ובצורה יותר יעילה, אלא שהמשתמש לא צריך לדאוג להתנגשויות (למרות שהן נדירות) ולהתאמות שונות של ההגדרות.
- כאשר שתי המערכות נמצאות תחת “מטרייה” של שירות אחד, יותר קל לנהל את שתיהן ביחד.
אנו מקנים ללקוחותינו אפשרות לבחור באחת משתי מערכות CDN המשלבות מערכת WAF בשירותיהן: Cloudflare ו-Sucuri. לדעתנו, הן מקנות את השירות המשולב באופן מעולה, יעיל ונוח.
ישנן עוד מספר מוצרים קיימים בשוק המשלבים את שתי המערכות בצורה נאותה, כמו Imperva.
הגדרת כללי מטמון (Cache Rules) נכונים
כללי מטמון הם הכללים שאנו מגדירים למערכות המטמון בהן אנו משתמשים, הקובעים איך, מתי, האם והיכן ישמר המטמון. הגדרות לא נכונות יכולות לפגוע בתפקודו של אתר, לפחות במצבים מסוימים.
דוגמה טובה לכך היא חנות מקוונת. אם לא יוגדרו כללי מטמון בצורה נכונה ומדויקת, ייתכן מצב בו לקוח יוסיף מוצר ל”עגלה” – אך המוצר לא יופיע שם. זאת מאחר ואין הגדרה ש”תשמור” את הרכיבים הרלוונטיים במטמון בחלק זה של האתר. התוצאה – האתר והעסק נפגעים, מפני שהלקוח לא יכול לרכוש כלום (או יכול לקנות רק פריט אחד, ללא האפשרות להוסיף אותו ל”עגלה” ולהמשיך לעיין בחנות).
דוגמה נוספת היא בעת מילוי טופס מקוון. יתכנו מצבים בהם ממלא הטופס יאלץ לנטוש אותו לזמן מה מסיבה כלשהי, או בטעות. אם כללי המטמון לא הוגדרו נכון, ממלא הטופס יצטרך להתחיל מההתחלה – המידע שמילא לא יישמר. אם הוא חייב למלא את הטופס, התוצאה תהיה בזבוז זמן שלו, וייתכן שגם של בעלי האתר. היה והוא לא חייב למלא את הטופס, ייתכן שינטוש אותו לגמרי, ובעלי האתר הם שיפסידו – הרי לא מעלים טופס סתם.
לכן, הקפדה על הגדרת כללי מטמון נכונים ומדויקים צריכה לקבל עדיפות גבוהה. הדבר נכון במיוחד לגבי אתרים ויישומים התלויים ב”זיכרון” ושמירה של מידע כלשהו הקשור לגולש/לקוח.
הפעלת WAF בהתאם לסוג האתר
לא כל סוגי האתרים צריכים את אותה רמה של הגנה. או, אם להתמקד יותר בנושא בו אנו דנים כעת, לא כל סוג אתר צריך את אותן הגדרות ב-WAF. אם נעשה השוואה גסה, הרי שלרכיבה על אופנוע הייתם מתמגנים בקסדה סגורה, מעיל רכיבה ונעליים ממוגנות לכל הפחות, בעוד שלרכיבה על אופניים הייתם עוטים קסדה פתוחה בלבד (ואולי מגיני ברכיים).
במילים אחרות, מוטב להתאים את ההגנה שמספקת מערכת ה-WAF בה אתם משתמשים לסוג האתר או היישום עליהם ברצונכם להגן. לדוגמה, אתרי תדמית, המכילים מספר פרטי קשר ואולי מידע על העסק, לא יזדקקו לאותה רמת אבטחה שמצריך אתר מסחר שנבנה על בסיס WooCommerce.
הביאו בחשבון את מטרת האתר, המידע שהוא מאחסן, המידע שניתן להשיג במקרה של חדירה, ועד כמה קריטי יהיה אם תיאלצו “להוריד” את האתר מהשרת ולשים העתק או גיבוי במקומו.
נסו לחשוב על כך גם מבחינת משאבים: אתר תדמית לרוב ישתמש בשרת בעל משאבים מוגבלים יותר, כמו שרת שיתופי. ככל שרמות ההגנה וחוקי החסימה גדלים, כך גם צריכת המשאבים מהשרת. אתרי מסחר, בלוגים, פלטפורמות עבודה ופיתוח – כל אלה יתאפיינו במספיק משאבים כדי לא לקרוס תחת עומס ההגנות.
בדיקת סטטיסטיקות ולוגים באופן קבוע
יישום נכון של כל שיטה כולל גם ניטור של התוצאות באופן רציף. מומלץ לבדוק לעיתים קרובות איזה סוג של מתקפות נחסמות על ידי מערכת ה-WAF. נתון זה יכול לסייע מאוד למשתמש, שכן, על פיו ניתן לשנות סדרי עדיפויות, להוסיף/לערוך מערכי חוקים, ולהתמגן טוב יותר.
מומלץ גם לוודא אילו קבצים בדרך כלל מוגשים משרת הקצה (השרת הראשי). אם קבצים אלה אינם נמצאים במטמון אבל הגישה אליהם שכיחה, תמיד אפשר להגדיר את שמירתם על שרת ה-CDN הרלוונטי (או על כולם, אם מדובר ביותר מגישה מאיזור אחד). כך, ניתן להפחית אף יותר את העומס על השרת הראשי ולספק למשתמשים טעינה מהירה יותר.
לסיכום
שימוש משולב במערכת WAF ובמערכת CDN, מרכז את היתרונות של שתיהן לכדי פעולה מהירה, יעילה, ובטוחה יותר של השרת הראשי. המערכות מסייעות הן להפחתה בעומס על השרת הראשי, והן להאצה גבוהה אף יותר של של פעולת השרת, באמצעות הורדת העומס הנגרם בשל חיבורים מרובים ובשל תעבורת נתונים זדונית ומתקפות סייבר.
לבסוף, כאשר השילוב בין שתי מערכות מתבצע נכון, כולם יכולים להרוויח ממנו – אתרי תדמית קטנים, חנויות, בלוגים, פורומים, וכיוצא בזה.
אם אתם מעוניינים לשדרג את האתר שלכם עם מערכת WAF ומערכת CDN, נשמח לעזור לכם לבחור את המערכות המתאימות ביותר עבורכם, להגדיר אותן ולסייע לכם בתהליך הניטור.
למידע נוסף ולכל דבר אחר, צרו איתנו קשר.
