В материале приводится сравнение популярных на российском рынке отечественных и зарубежных сервисов по защите от DDoS-атак. В результате детального анализа каждого из решений были отобраны более 70 критериев, по которым проводилось сопоставление. В сравнении участвуют Kaspersky DDoS Prevention, StormWall, Qrator, Ростелеком-Solar Anti-DDOS, DDoS-Guard Protection, CloudFlare DDoS Protection и Incapsula by Imperva. Результаты сравнения помогут потребителям выделить для себя наиболее важные особенности сервисов с учетом специфики своих задач и инфраструктуры.
- Введение
- Методология сравнения сервисов по защите от DDoS-атак
- Сравнение сервисов по защите от DDoS-атак
- 3.1. Общие сведения
- 3.2. Техническая поддержка
- 3.3. Тестовый период
- 3.4. Инфраструктура
- 3.5. Доступные типы подключаемой защиты
- 3.6. Возможности сервисов
- 3.7. Дополнительные опции
- 3.8. Система оповещения и отчётность
- 3.9. Лицензирование
- Выводы
Введение
Исходя из регулярных сводок новостей о киберинцидентах, может показаться, что в нынешнем 2019 году ситуация с DDoS в мире если не решена совсем, то, по крайней мере, сильно улучшилась в сравнении с 3-4 годами ранее. Мировые эксперты рапортуют о снижении активности атакующих по некоторым направлениям и прогнозируют если не спад, то как минимум стагнацию в вопросах DDoS. Однако внимательным читателям постоянно попадаются новости вроде нейтрализации волны атак на сервис QIWI в январе или усиления DDoS-активности с использованием IoT-протокола CoAP в феврале. Согласно мартовскому отчету Ростелекома, в 2018 году произошел рост количества DDoS-атак почти в 2 раза, а мощности самой крупной из них — почти в 10 раз. При этом страдают чаще всего сферы игровой индустрии и электронной коммерции. Развитие теневого бизнеса по организации DDoS-атак не тормозят даже спецоперации правоохранительных органов, которые заканчиваются реальными «посадками», такими, например, как арест владельцев популярного ресурса Webstresser.org в 2018 году.
За примерами далеко ходить не нужно. Июнь 2019 года: сразу две нашумевшие в России DDoS-атаки. Первая — нападение на интернет-ресурсы Рособрнадзора в процессе сдачи школьниками ЕГЭ, о чем сообщила пресс-служба ведомства 01.06.2019 г. Следом, 20 июня 2019 г., ведущая «Прямой линии с Владимиром Путиным» заявила о том, что call-центр программы подвергся DDoS-атаке, из-за чего некоторые звонки россиян проходили со сбоями.
Тезис о том, что рано расслабляться, подтверждается выводами отчета по DDoS-атакам Лаборатории Касперского за 1 квартал 2019 г. Общее количество нападений увеличилось на 84%, а число длительных (более 60 минут) сеансов DDoS повысилось ровно вдвое. Средняя продолжительность возросла в 4,21 раза, причем в сегменте крайне длительных атак рост составил даже 487%.
Между тем, стоимость организации DDoS на теневых площадках остается просто смешной. Например, по цене среднего бургера (от 350 руб.) можно заказать «сервис» — атаку мощностью 125 Гбит/с с выделенной тех. поддержкой 24х7. Такие данные приводят в своей статье представители Qrator Labs.
Цифровизация всех бизнес-сфер, уход в облака тех компаний, которые пару лет назад отвергали даже мысли о «connected»-технологиях, а также распространение умных устройств — все это провоцирует злоумышленников на создание новых методов проведения DDoS-атак. Как бы нелепо ни звучали заголовки прессы в духе «умные чайники атаковали сервисы правительства страны», все это — уже нынешняя реальность.
Для защиты от DDoS-атак применяются два подхода. Первый — приобретение и развертывание «железки» - программно-аппаратного комплекса в собственной инфраструктуре. Второй — выбор подходящего сервиса, провайдер которого позаботится об очистке трафика от чрезмерной вредоносной активности вместо вас.
Совершенно очевидно, что у «хороших парней» работы меньше не станет, и именно поэтому сервисы по нейтрализации DDoS-атак активно развиваются, предлагая клиентам новые современные технологии защиты и разнообразные дополнительные опции. Чтобы разобраться, на какие базовые характеристики стоит обратить внимание при выборе подобного рода услуг в первую очередь, а какие параметры призваны расширить стандартное представление об этих сервисах, мы как раз и подготовили детальное сравнение.
К сожалению, универсального решения, подходящего любой компании, сегодня нет. Именно поэтому важно понимать, чем один продукт отличается от другого. Данное сравнение следует рассматривать как базисное. Во всех тонкостях работы сервисов по защите от DDoS-атак зачастую трудно разобраться даже профессионалам, не говоря уже о потенциальных клиентах. Еще сложнее сравнить возможности решений между собой. Стоит понимать, что в рамках этого материала мы не сравниваем эффективность или удобство того или иного решения. Для этого необходимо проводить масштабные тесты в условиях, приближенных к «боевым», что требует несоизмеримо больших затрат — как на разработку методик сравнения, так и на их воплощение.
Для детального ознакомления с отдельными сервисами по защите от DDoS-атак советуем почитать подробные обзоры решений от разных вендоров на нашем сайте.
Методология сравнения сервисов по защите от DDoS-атак
Сразу оговоримся, что сравнение нацелено на компании, предоставляющие именно услуги по защите от DDoS-атак, и не охватывает производителей on-premise решений, которые приобретаются и разворачиваются в инфраструктуре заказчика в виде программно-аппаратных комплексов. Кроме того, в сравнение не попали «реселлеры», то есть компании (например, провайдеры или ЦОД), которые перепродают решения по защите от DDoS других производителей по партнерской модели или под white label.
Краеугольным камнем любого сравнения является набор критериев, по которому оно проводится. Их количество зависит от ряда факторов: от глубины исследования, от степени различий между системами, которую мы хотим подчеркнуть. В то же время важно не только количество выбранных в рамках сравнения критериев, но и развернутые ответы по каждому из них, так как сравниваемые системы могут серьезно различаться даже на этом уровне. Следуя такому принципу, мы отобрали более 70 критериев, сравнение по которым упростит выбор сервисов по защите от DDoS-атак. К некоторым из критериев были добавлены пояснения.
Для удобства все сравнительные критерии были разделены на следующие категории:
- Общие сведения
- Техническая поддержка
- Тестовый период
- Инфраструктура
- Доступные типы подключаемой защиты
- Возможности сервисов
- Дополнительные опции
- Система оповещения и отчетность
- Лицензирование
Для участия в сравнении было отобрано семь наиболее известных и распространенных в России сервисов по защите от DDoS-атак:
Российские:
- Kaspersky DDoS Prevention
- StormWall
- Qrator
- Ростелеком Anti-DDOS
- DDoS-Guard Protection
Зарубежные:
- CloudFlare DDoS Protection
- Incapsula by Imperva
Все производители перечисленных выше систем активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации. В приведенном сравнении мы не делали их итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из систем наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.
Сравнение сервисов по защите от DDoS-атак
Общие сведения
| Параметр сравнения | Kaspersky DDoS Prevention | StormWall | Qrator | Ростелеком Anti-DDOS | DDoS-Guard Protection | CloudFlare DDoS Protection | Incapsula by Imperva |
| Производитель | АО «Лаборатория Касперского» | ООО «СТОРМ СИСТЕМС» (Россия), StormWall s.r.o. (Европа) | ООО «Эйч-Эль-Эль» | ПАО «Ростелеком» | ООО «ДДОС-ГВАРД» | Cloudflare, Inc. | Imperva, Inc. |
| Целевой сегмент | Крупный, средний бизнес, государственный сектор | Все сегменты | Средний и крупный бизнес | Крупный и средний бизнес, государственный сектор | Физические лица, крупный, средний и малый бизнес, государственный сектор | Все сегменты | Крупный и средний бизнес |
| Штаб-квартира | Россия, Москва | Россия, Москва | Москва, Россия | Россия, Москва | Россия, Ростов-на-Дону | США, Сан-Франциско | Израиль, Тель-Авив |
| Веб-сайт | kaspersky.ru | stormwall.pro | qrator.net/ru | rt-solar.ru | ddos-guard.net | cloudflare.com | my.imperva.com |
| Российские лицензии в области связи и защиты информации | ФСТЭК ТЗКИ №0039, ФСТЭК СЗКИ №0026, ФСБ №0010666 — Разработка и производство шифровальных средств, ФСБ №0010665 — Разработка и производство средств защиты конфиденциальной информации, ФСБ №0109859 — Создание средств защиты информации, содержащей сведения, составляющие ГТ | РКН №177914 — Телематические услуги связи, РКН №177913 — Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации | Нет | ФСТЭК ТЗКИ №0813, ФСТЭК СЗКИ №1682, ФСБ №0001028 — Разработка и производство шифровальных средств, РКН №166733 — Телематические услуги связи, РКН №166728 — Услуги связи по передаче данных | ФСТЭК ТЗКИ №3357, ФСБ — Разработка и производство шифровальных средств, РКН №146547 — Телематические услуги связи, РКН №146546 — Услуги связи по передаче данных | Нет | Нет |
| Сертификаты на услугу (или продукты, на базе которых оказывается услуга) | ФСТЭК №3318 до 26.12.2020 РД НДВ(4), ТУ |
Нет, оказываемые услуги согласно законодательству не подлежат сертификации | Нет, оказываемые услуги согласно законодательству не подлежат сертификации | Сертификат соответствия качества услуги ИНТЕРЭКОМС от 30.05.2017 | Нет, оказываемые услуги согласно законодательству не подлежат сертификации | ISO27001:2013 PCI DSS 3.2 AICPA SOC 2 Type II |
PCI DSS AICPA SOC 2 Type II ISO 27001 |
| Сроки подключения услуги | 1 сутки— для любого типа подключения. Точное время зависит от скорости выполнения настроек на стороне клиента. | От 10 минут — защита сайта или IP, от 1-2 часа — защита по BGP | От 15 минут до 1 часа в случае использования адресного пространства Qrator, от 30 минут до 1 суток в случае использования адресного пространства заказчика | От 30 минут — подключение защиты канала (если есть подключение к сети «Ростелеком»), от 30 минут — с использованием платформы NGENIX через DNS | От 15 минут — защита сайта, хостинг, VDS, 2 часа — защита сети | От 15 минут | 1 сутки — стандартное время, определяется скоростью применения настроек DNS |
| Языки интерфейса клиентского портала | Русский, Английский | Русский, Английский | Русский, Английский | Английский, Русский (для магистральной защиты с использованием Arbor — только английский) | Русский, Английский | Английский, Немецкий, Китайский, Испанский, Японский | Английский |
| Бесплатный тариф | Нет | Нет | Нет | Нет | Да | Для персональных веб-сайтов | Нет |
| Способы оплаты услуги | Продажа через партнёров, безналичный банковский перевод | Безналичный банковский перевод на российскую или европейскую компанию, банковская карта, PayPal, Qiwi, WebMoney | Безналичный банковский перевод | Безналичный банковский перевод | Банковская карта, Биткоины, Perfect money, Webmoney, Яндекс.Деньги, безналичный банковский перевод | Безналичный банковский перевод, банковская карта |
Продажа через партнёров, безналичный банковский перевод |
Техническая поддержка
| Параметр сравнения | Kaspersky DDoS Prevention | StormWall | Qrator | Ростелеком Anti-DDOS | DDoS-Guard Protection | CloudFlare DDoS Protection | Incapsula by Imperva |
| Дежурная смена реагирования на атаки 24х7 | Да | Да | Да | Да | Да | Да | Да |
| Наличие русскоязычной технической поддержки | Да | Да | Да | Да | Да | Да | Нет |
| Техническая поддержка 24х7 по телефону | Да | Да | Да | Да | Да | Да | Да |
| Чат технической поддержки (онлайн-помощник) | Нет | Да | Нет | Нет | Да | Да | Нет |
| Техническая поддержка в мессенджерах (Skype, Telegram и др.) | Нет | Да, по согласованию с заказчиком в Slack | Да, по согласованию с заказчиком в Skype, Telegram, Facebook, Slack, Matrix | Да, по согласованию | Да, по согласованию | Нет | Нет |
Тестовый период
| Параметр сравнения | Kaspersky DDoS Prevention | StormWall | Qrator | Ростелеком Anti-DDOS | DDoS-Guard Protection | CloudFlare DDoS Protection | Incapsula by Imperva |
| Тестовый период | Да | Да | Да | Да | Да | Да | Да |
| Требуется заключение соглашения | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| Ограничения по функционалу | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| Количество дней тестового периода (по умолчанию) | Обговаривается индивидуально с клиентом | Обговаривается индивидуально с клиентом | 10 | 14 | Обговаривается индивидуально с клиентом | 14 | 14 |
Инфраструктура
| Параметр сравнения | Kaspersky DDoS Prevention | StormWall | Qrator | Ростелеком Anti-DDOS | DDoS-Guard Protection | CloudFlare DDoS Protection | Incapsula by Imperva |
| Присутствие в ЦОД (география) | Москва, Амстердам, Франкфурт-на-Майне | Москва, Франкфурт-на-Майне, Вашингтон (Эшбурн), Гонконг, Алматы | Информация не раскрывается | Москва — магистральные очистители на уровне L3/L4 (Arbor и «Периметр») и в 22 регионах присутствия в России и СНГ (распределенные очистители на уровне L7 для платформы NGENIX) | Москва, Санкт-Петербург, Амстердам, Гонконг, Алматы, Лос-Анджелес | 185 по всему миру |
AMER Американский регион - 13 центров очистки |
| Наличие собственного (арендованного) оборудования в ЦОД | Собственное оборудование | Собственное оборудование | Собственное оборудование | Собственное оборудование в собственных ЦОД | Собственное оборудование | Собственное оборудование | Собственное оборудование |
| Поставщики услуг связи | 6 | Всего 14 | Информация не раскрывается | Собственные каналы «Ростелеком» и платформа NGENIX с более 1000 ISP по всему миру | «Ростелеком», «ТрансТелеКом», RETN, Telia, NTT, IPTP, SmartNet, NLS, MSK-IX, Data-IX, Rascom | Информация не раскрывается | NTT, Level3, PCCW, «Мегафон», «Ростелеком» и многие другие |
| Используемое оборудование и ПО для очистки трафика | Собственные разработки | Собственные разработки | Собственные разработки | ПАК Arbor Networks, ПАК «Периметр» (Гарда Технологии), ПО PT Application Firewall, ПАК NGENIX | Собственные разработки | Собственные разработки | Собственные разработки |
Доступные типы подключаемой защиты
| Параметр сравнения | Kaspersky DDoS Prevention | StormWall | Qrator | Ростелеком Anti-DDOS | DDoS-Guard Protection | CloudFlare DDoS Protection | Incapsula by Imperva |
| Возможность выбора режимов постановки на защиту (on demand, always on) | On demand, Always on | Disabled, Sensor, Always on | Always on — по умолчанию, On demand — по согласованию с заказчиком | Always on — по умолчанию, как в случае магистральной защиты на Arbor и «Периметр», так и при использовании NGENIX или WAF. |
Always on, On demand (с использованием Flow Sensor в сети клиента) | Always on | On Demand, Always on |
| Защита сайта (смена A-записи DNS) | Да | Да | Да | Да | Да | Да | Да |
| Защита сети (пула IP-адресов) | Да | Да | Да | Да | Да | Да, в режиме beta-тестирования | Да |
| Защита автономной системы (ASN) | Да | Да | Да | Да | Да | Да, в режиме beta-тестирования | Да |
| Услуги защищённого от DDoS ЦОД (переезд оборудования заказчика в свой или партнёрский доверенный ЦОД) | Нет | Да, Москва (ММТС-9), Франкфурт (E-Shelter FR4), Вашингтон (Equinix DC2), Гонконг (HKcolo) | Да, более 10 партнёрских ЦОД на территории Российской Федерации, конкретная локация подбирается с учётом требований заказчика | Да | Да | Нет | Нет |
Возможности сервисов
| Параметр сравнения | Kaspersky DDoS Prevention | StormWall | Qrator | Ростелеком Anti-DDOS | DDoS-Guard Protection | CloudFlare DDoS Protection | Incapsula by Imperva |
| Фильтрация HTTPS без раскрытия ключей | Да | Да, только на сетевом уровне | Да | Да | Да | Нет | Да, только на сетевом уровне |
| Фильтрация HTTPS c раскрытием ключей | Да | Да | Да | Да, на уровне WAF или платформы NGENIX | Да | Да | Да |
| Максимальная заявляемая мощность отражения атак в режиме stateful, Гбит/с - данные со слов вендора! | 500* | 620* | 1000* | 1000* | 500* | 30000* | 6000* |
| Максимальная заявляемая мощность отражения атак в режиме stateless, Гбит/с - данные со слов вендора! | 500* | 1650* | 5000* | 5000* | 1500* | 30000* | 6000* |
| Возможность подключения экспертного сервиса | Да | Да | Да | Да | Да | Да | Нет |
| Аренда блока IP-адресов | Да | Да | Да | Да | Да | Нет | Нет |
| Возможность выделения нескольких IP для back-end | Да | Да | Да | Да | Да | Нет | Да |
| Возможность балансировки между несколькими IP для back-end | Да | Да | Да | Да | Да | Да | Да |
| Оптимизация путём поддержки «постоянных TCP-соединений» | Да | Да | Да | Да | Нет | Да | Да |
| Настройка автоматических редиректов для сайта (http-https-external) | Да | Да | Да | Да | Да | Да | Да |
| Возможность сделать «заглушку» при недоступности сайта | Да | Да | Да | Да | Да | Да | Да |
| Настройка режимов работы защиты (пассивный сенсор, нестрогий режим проверки, строгий режим проверки, CAPTCHA и т.д.) | Возможно в онлайн-режиме согласовать корректировки профилей фильтрации дежурной сменой сервиса | Disabled, Sensor, Redirect, JS validate, JS advanced validate, CAPTCHA | Автоматическая адаптация режимов под ресурс заказчика, отсутствие режимов, меняющих UI/UX ресурса | Режимы защиты зависят от способа подключения: очистка трафика Arbor или «Периметр», фильтрация трафика только на магистральных центрах, фильтрация трафика на WAF, фильтрация трафика на платформе NGENIX. | Только мониторинг, обычная проверка, усиленная проверка | Simulate, Block, Whitelist, CAPTCHA, JS Challenge | Нестрогий режим, проверка cookies, проверка JavaScript, проверка CAPTCHA |
| Фильтрация без внесения изменений в дизайн и работу страниц (без использования CAPTCHA) | Да | Да | Да | Да | Да | Да | Да |
| Кэширование выбранных типов файлов (защита от «хаброэффекта» — большого числа однотипных запросов) | Да | Да | Да | Да | Да | Да | Да |
| Настройка белых и черных списков (URL, IP, импорт списков) | Да (белые/черные списки IP, управляются через WEB-интерфейс или WEB-API) |
Да | Да | Да | Да | Да | Да |
| Коридор гарантируемой доступности, в зависимости от тарифа (SLA), % | 98-99,95% | 98 — 99,9% | 97-99,9999% | 99,5% | 99,5-99,9% | 100% | 99,999% |
| Компенсация при невыполнении SLA | До 100% стоимости за расчётный период | Вычисляется в % от платежа за расчётный период | 100% стоимости за расчётный период | 100% стоимости за расчётный период | От 100% стоимости услуги | 2500% стоимости за расчётный период | 100% стоимости за расчётный период |
| Заявленное время реакции на DDoS-атаку | Немедленно — для Always On, до 15 минут — для On Demand | 1-2 секунды — для пакетного флуда в автоматическом режиме, 1-2 минуты — для HTTP-флуда, в автоматическом режиме, до 15 минут — в ручном режиме | До 4 секунд — для атак уровней L2-L4, от 3 до 180 секунд — для атак уровней L5-L7 (в зависимости от выбранного заказчиком варианта развёртывания) | До 1 минуты — в автоматическом режиме, до 15 минут — в ручном режиме, немедленно — демпфирование атаки избыточными ресурсами платформы NGENIX | До 5 минут | Немедленно | 3 секунды |
| Заявленный процент ложных срабатываний под атакой (от легитимного трафика) | 2%, превышение считается невыполнением SLA |
0,5%, превышение считается невыполнением SLA |
5%, превышение считается невыполнением SLA |
0%, превышение считается невыполнением SLA |
Не более 2% | 0%, превышение считается невыполнением SLA |
0%, превышение считается невыполнением SLA |
| Защита от сканирования | Да, только в режиме Always on | Да, при подключённой опции WAF | Нет | Нет | Нет | Да, только в режиме Always on | Да, только в режиме Always on |
| Защита от ботов | Да | Да | Да | Да | Нет | Да | Да |
| Предоставляется промежуточный SSL-сертификат для сайта (платно, бесплатно) | Да, бесплатно | Да, бесплатно | Да, бесплатно | Да, бесплатно — Let's Encrypt, платно — любой другой, включая автоматический выпуск и поддержку |
Да, бесплатно | Да, бесплатно Comodo или Digicert | Да, бесплатно |
| Используемые механизмы фильтрации атак SYN flood | SYN-PROXY, SYN-COOKIES, Intentional SYN Drop | Фильтрация в симметричном и ассиметричном режимах. Используемые методы — SYN-PROXY, SYN-COOKIES, фильтрация по RFC, собственные разработки | SYN-PROXY, распределённое отслеживание TCP-соединений | Проверка возможности установления соединения источником, расширенные варианты SYN-PROXY | Не раскрываются | Не раскрываются | Не раскрываются |
| Используемые механизмы фильтрации атак DNS Water Torture | Filtering DNS cache | Force TCP, а также фильтрация на уровне L3-L4 (ограничение числа запросов с 1 адреса, GeoIP, черные/белые списки и т.д.) | Truncated response, анализ истории DNS-запросов | Возможность загрузить файл зоны и пропускать только запросы на валидные домены (с помощью комплекса «Периметр») | Не раскрываются | Не раскрываются | Не раскрываются |
| Защита от атак типа Direct to Origin | Да, при подключении с использованием BGP | Да, реализуется путём защиты ресурсов (включая веб) без смены IP-адреса с помощью подключения с использованием BGP | Да | Да, при подключении к сети «Ростелеком» | Да | Да | Да |
| Фильтрация на уровне приложений (L7) | Да | Да | Да | Да, на уровне WAF проприетарными методами на платформе NGENIX и базовыми средствами магистральной защиты | Да | Да | Да |
* - данные по максимальной заявленной мощности отражения DDoS-атак указаны со слов производителей. Проверка указанных значений авторами сравнения не производилась.
Дополнительные опции
| Параметр сравнения | Kaspersky DDoS Prevention | StormWall | Qrator | Ростелеком Anti-DDOS | DDoS-Guard Protection | CloudFlare DDoS Protection | Incapsula by Imperva |
| Услуги CDN (Content delivery network) | Нет | Да | Да | Да | Да | Да | Да |
| Межсетевой экран уровня веб-приложений (WAF) (собственный, партнёрский) | Нет, но возможна интеграция с решением WAF заказчика | Да, партнёрский SolidWall WAF | Да, партнёрский Wallarm, возможна интеграция с решением WAF заказчика | Да, партнёрские PT Application Firewall или Wallarm | Нет, запуск собственного WAF намечен на Q4 2019 | Да, собственный WAF | Да, собственный WAF |
| Услуга нагрузочного тестирования | Нет | Да | Да | Да, по согласованию | Да | Да | Нет |
| Защита DNS | Да | Да | Да | Да | Да | Да | Да |
| Выделенные каналы MPLS VPN L2 | Да | Да | Да | Да | Да | Нет | Нет |
| Возможность самостоятельно управлять фильтрацией трафика (включение/отключение/изменение параметров митигации) | Нет | Да | Нет | Да, по согласованию | Да | Да | Да |
| Управление услугами через API | Да | Да | Да | Да, по согласованию | Да | Да | Да |
| Наличие API для интеграции с другими системами (zabbix, биллинг) | Да | Да | Да | Да, при подключении WAF или на платформе NGENIX | Да | Да | Да |
| Возможность интеграции с решениями на стороне заказчика | Да, с использованием публичного API, для любых целей заказчика | Да, есть возможность интеграции с любым DDoS-сенсором. В комплекте с услугой защиты сети по BGP предоставляется собственный DDoS-сенсор вместе с настройкой, который автоматизирует процесс подключения. | Да, с использованием публичного API, для любых целей заказчика | Да | Да | Да | Да |
| Предоставление данных о трафике клиента не во время атаки | Да | Да | Да | Да | Да | Да | Да |
Система оповещения и отчётность
| Параметр сравнения | Kaspersky DDoS Prevention | StormWall | Qrator | Ростелеком Anti-DDOS | DDoS-Guard Protection | CloudFlare DDoS Protection | Incapsula by Imperva |
| Отправка периодических отчётов на почту | Да | Да, на тарифе Enterprise | Да | Да | Да | Да | Да |
| Оповещения по почте при атаках | Да | Да | Да, по согласованию с заказчиком | Да | Да | Да | Да |
| Оповещение ответственных сотрудников при атаках (звонок, мессенджер) | Да | Да, на тарифе Enterprise | Да | Да | Да | Да | Да, через интеграцию со сторонними сервисами |
| Экспорт отчётов | Да | Да | Да | Да | Да | Да | Да |
| Аналитика по трафику в личном кабинете | Да | Да | Да | Да | Да | Да | Да |
Лицензирование
| Параметр сравнения | Kaspersky DDoS Prevention | StormWall | Qrator | Ростелеком Anti-DDOS | DDoS-Guard Protection | CloudFlare DDoS Protection | Incapsula by Imperva |
| Описание политики лицензирования | Стоимость зависит от числа защищаемых ресурсов (внешних MIPKO) и усреднённого объёма легитимного трафика | При формировании цены играют роль легитимная пропускная способность (по 95-му перцентилю), уровень обслуживания, а также количество доменов под защитой — конкретное или без ограничений (при защите сайтов). Объем атак и их количество не учитывается | Тарифицируется легитимный превалирующий трафик, оплата за расчётный период (от месяца и более) | Тариф устанавливается в зависимости от количества слоёв фильтрации. На уровне магистральной защиты Arbor или «Периметр» ежемесячный платёж зависит от полосы подключения, на уровне WAF — установлено ограничение по максимальному количеству запросов, на уровне платформы NGENIX — от фактического объёма легитимного трафика. | Стоимость зависит от количества защищаемых доменов, уровня технической поддержки, дополнительных опций, либо от объёма легитимного трафика | Количество доменов, общий трафик (чистый), количество http(s) запросов | Учитывается ряд параметров, в частности, полоса пропускания очищенного http(s) трафика, кол-во приложений, add-on'ы |
| Тарифные планы (ссылка) | По запросу | stormwall.pro | qrator.net | По запросу | ddos-guard.net | cloudflare.com | По запросу |
| Ценовая политика (стоимость среднего тарифа), руб/мес. | 100 000 | 25 000 | 60 000 | 33 400 | 9 000 | 255 000 | Не раскрывается |
| Перепродажа услуги под white label с возможностью создавать брендированные личные кабинеты | Нет | Да, предоставляется API | Да | Нет | Да | Да | Нет |
Выводы
Сервисы по защите от DDoS-атак — еще один сегмент нашей отрасли ИБ (наряду, например, с антивирусами), в котором отечественные игроки чувствуют себя уверенно на мировом рынке. Сотрудники представленных в сегодняшнем сравнении компаний являются признанными экспертами в этой области.
Растут и показатели качества самих сервисов. Возьмем скорость подключения услуги. Она исчисляется минутами для отдельного сайта или IP-адреса, а максимальное время при наличии сложной инфраструктуры заказчика — всего сутки. Время реакции на атаку занимает считанные секунды. При любых сравнениях, традиционно, нельзя обойти стороной замеры количественных характеристик. Так, максимальная заявляемая мощность отражения атак почти у всех вендоров исчисляется уже терабитами в секунду, а фильтрация трафика производится на всех уровнях модели OSI, включая L7. Отметим почти для всех провайдеров обязательное наличие сопутствующих дополнительных опций: выпуск SSL-сертификата, подключение WAF, CDN, защита DNS, API для интеграции со сторонними продуктами.
В большинстве случаев доступна удобная техническая поддержка (в том числе в чатах и мессенджерах), которая не бросит клиентов 24х7. Любой вендор не скупится на предоставление тестового периода без ограничения функционала, в чем мы, в частности, неоднократно убеждались в наших прошлых обзорах.
Сами сервисы по защите от DDoS базируются на серьезной инфраструктуре, развернутой у большинства провайдеров услуги по всему миру, а также, как правило, на комбинации из собственных наработок плюс «железки» именитых вендоров.
Радует многообразие типов и режимов подключаемой защиты, которые рассчитаны на любые потребности заказчика. А вот услуги защищенного от DDoS ЦОД предлагает только половина из рассматриваемых вендоров.
Отдельно стоит отметить повышение требовательности к собственным сервисам и отсутствие страха брать на себя юридическую ответственность за сбои в предоставлении услуги. Невероятно, но некоторые вендоры в случае своих ошибок готовы платить клиентам суммы, кратно превышающие стоимости контрактов. Это говорит о зрелости сервисов.
В качестве дополнительных преимуществ для всех сервисов стоит отметить аналитику трафика в личном кабинете клиента, а также систему разнообразных оповещений и отчетов.
Отдельно отметим ряд интересных «фич», которые выделяют некоторых игроков рынка и являются их визитной карточкой. К таким функциям можно отнести: подключение защиты без необходимости перенаправлять пользовательский трафик, динамическое управление режимами фильтрации прямо в личном кабинете, официальные «шесть девяток» в SLA, подключение услуги «на лету».
Цена сервисов по защите от DDoS-атак в основном зависит от объема легитимного трафика и количества (типов) защищаемых ресурсов. На итоговую стоимость влияют также дополнительные опции и уровень технической поддержки. Средняя стоимость услуги (ориентировочно) составляет 77 000 руб. в месяц.
А вот сертифицировано в системе ФСТЭК пока всего лишь одно решение из рассматриваемых. Это можно объяснить неоднозначностью законодательства в этой области и ужесточением требований регулятора к разработчикам.
Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:
- Алексей Киселёв, Менеджер по развитию бизнеса, Kaspersky Russia
- Максим Белоенко, Директор по развитию бизнеса в Qrator Labs
- Иван Мирошниченко, Руководитель направления развития сервисов интернет-безопасности, Ростелеком-Солар
- Рамиль Хантимиров, Генеральный директор, StormWall
- Дмитрий Рудь, Директор по работе с клиентами, DDoS-GUARD
- Максим Бузмаков, Cистемный инженер, Netwell
- Денис Безкоровайный, Генеральный директор, ProtoSecurity
- Алексей Матвеев, Технический директор департамента Security, RRC Russia & CIS
