Максимальная стоимость решений для облачного хостинга (AWS, Azure, Google Cloud и т. д.)
Кто-нибудь знает о теоретических расходах наихудшего случая при использовании экземпляров (например, EC2) для размещения некоторого общедоступного контента? Я имею в виду, что стоимость самого экземпляра может быть оценена, но что произойдет, если злонамеренный объект начнет загрузку со скоростью, на порядок превышающей нормальную (например, через ботнет). За исходящий трафик взимается плата, и его нельзя контролировать, если это специально не реализовано хостом, что случается редко, давайте будем честными. Думаю, в какой-то момент сработает защита от DDoS и тому подобное, но это также может занять некоторое время.
Насколько я понимаю, ни один облачный провайдер не поддерживает жесткие ограничения бюджета (они охотно избегают этого, в свою очередь, это означает, что это должно стоить клиентам значительную сумму), поэтому у меня вопрос: думал ли кто-нибудь об этом или даже испытывал такие сценарии? Есть ли какая-либо техническая защита от облачного провайдера или это полностью оставлено на усмотрение пользователя?
Странно, что в CS мы всегда говорим о наихудшей сложности, но, очевидно, это не относится к деньгам ...
С точки зрения Azure
Вы можете установить бюджеты, и если ваши затраты превышают эти ограничения, он может запускать рабочие процессы, которые отключаются, уменьшаются, уведомляются вы, все, что вы действительно хотите.
В этом сценарии установлен ежемесячный бюджет в 1000 долларов для подписки. Кроме того, установлены пороги уведомлений для запуска нескольких согласований. Этот сценарий начинается с порогового значения стоимости 80%, которое остановит все виртуальные машины в группе ресурсов Необязательно. Затем при достижении порога 100% стоимости все экземпляры ВМ будут остановлены. Чтобы настроить этот сценарий, выполните следующие действия, выполнив действия, описанные в каждом разделе этого руководства.
https://docs.microsoft.com/en-us/azure/billing/billing-cost-management- бюджет-сценарий
Таким образом, есть способы контролировать свои расходы, прежде чем они выйдут из-под контроля по какой-либо причине.
Я могу говорить только об AWS - вы можете использовать AWS Shield , управляемую защиту от DDoS-атак .
Она бывает двух видов
] Стандарт AWS Shield , который включен по умолчанию и предназначен для защиты других клиентов , когда ваши сервисы подвергаются DDoS-атакам.
AWS Shield Advanced - это платный сервис, предназначенный для защиты ваших сервисов от DDoS.
С AWS Shield Advanced клиенты бесплатно получают AWS WAF и AWS Firewall Manager. дополнительная плата за использование ресурсов, защищенных AWS Shield Advanced. Кроме того, вы получаете « защиту от DDoS-атак для масштабирования», функцию, которая защищает ваш счет AWS от скачков использования на вашем AWS Shield Advanced с защитой EC2, эластичной балансировкой нагрузки (ELB), Amazon Ресурсы CloudFront, AWS Global Accelerator и Amazon Route 53 в результате DDoS-атаки.
(Основные моменты - мои)
Таким образом, с AWS Shield Advanced ваш счет за использование будет ограничен в случае DDoS.
Очевидно Shield Advanced требует затрат и не годится для небольших или любительских развертываний. С другой стороны, эти мелкомасштабные сервисы вряд ли станут объектом атаки DDoS, и если они представляют собой архитектуру, вероятно, не выдержат нагрузки и сбоя, эффективно остановив DDoS и защитив ваш счет.
Как всегда , это компромисс - либо вы хотите сохранить свои услуги во время DDoS-атак и готовы платить за них, либо вы предпочитаете защищать свой кошелек за счет снижения стоимости услуг. К сожалению, у вас не может быть и того, и другого.
У Azure и GCP могут быть службы, похожие на Shield, я не знаю. Если они это сделают, они, скорее всего, тоже будут стоить дорого. Общие компромиссы действительны независимо от вашего облачного провайдера.
Надеюсь, что это поможет :)
В Azure
, если вы говорите о публичном доступе статического контента, вы, вероятно, захотите использовать Azure CDN. Он содержит бесплатную базовую защиту от DDoS-атак: https://docs.microsoft.com/en-us/azure/cdn/cdn-ddos
Если вы говорите о динамически генерируемом контенте, вы можете использовать Application Шлюз должен иметь единую точку для управления доступом. Эта служба может быть дополнительно защищена с помощью Azure DDoS: https://docs.microsoft.com/en-us/azure/virtual-network/ddos-protection-overview
В Google Cloud вы можете устанавливать бюджеты и оповещения о бюджете:
После того, как вы установили сумму бюджета, вы устанавливаете пороговые правила для предупреждений о бюджете. которые используются для запуска уведомлений по электронной почте. Письма с оповещениями о бюджете помогают вы будете в курсе того, как ваши расходы отслеживаются по сравнению с вашим бюджет. Вы также можете использовать бюджеты для автоматизации ответов по контролю затрат.
Каждый раз, когда вы получаете электронное письмо с предупреждением о бюджете, вы можете предпринять некоторые действия, чтобы не тратить слишком много денег.
Чтобы заранее оценить свои будущие расходы, вы можете использовать Google Cloud Pricing Calculator.
GCP также предлагает вам WAF Google Cloud Armor:
- Защита от DDoS-атак и WAF в масштабе Google
- Обнаружение и смягчение атак на ваши рабочие нагрузки балансировки нагрузки в облаке
- Смягчение OWASP Top 10 риски и помочь защитить рабочие нагрузки локально или в облаке
Кроме того, вы можете анализировать свою сеть с помощью журналов потоков VPC и контролировать свою облачную инфраструктуру с помощью встроенного облачного мониторинга и Облачное ведение журнала.
Вы можете использовать бессерверную службу (функции Lambda или Azure) в качестве системы доставки контента, там вы можете реализовать некоторые функции ограничения скорости и систему временного запрета IP-адресов, а затем направить все это через CloudFlare и его логику защиты от DDoS, хотя это похоже на решение газового завода, оно, по крайней мере, обеспечивает подход «белого ящика» ко всей службе CDN.