Как выбрать защиту от DDoS: облако, провайдер, on-prem или гибрид?
Время чтения: 7-9 минут. Сложность: средняя/выше средней
DDoS-атаки давно перестали быть редкой проблемой только для крупных компаний. Сегодня с ними сталкиваются интернет-магазины, SaaS-сервисы, банки, производственные компании и даже корпоративные сайты. При этом ошибка часто возникает уже на первом шаге: бизнес пытается выбрать “лучший продукт”, хотя на практике важнее выбрать правильную модель защиты.
Ошибка в выборе архитектуры — одна из самых частых причин, почему защита не работает в момент атаки . У заказчика есть минимум четыре модели построения защиты: облачная защита (MSSP/scrubbing-центр), защита от интернет-провайдера, on-prem решение на своей площадке и комбинированная (гибридная) модель .
DDoS-атаки бывают разными. Одни направлены на то, чтобы “забить” канал большим объёмом трафика. Другие бьют по приложениям: перегружают сайт, API, личный кабинет или авторизацию. Есть и многоуровневые сценарии, когда атака идёт сразу по нескольким направлениям.
Именно поэтому защита от DDoS — это не просто фильтр на границе сети. Это архитектура, которая должна учитывать:
Ошибка в выборе архитектуры — одна из самых частых причин, почему защита не работает в момент атаки . У заказчика есть минимум четыре модели построения защиты: облачная защита (MSSP/scrubbing-центр), защита от интернет-провайдера, on-prem решение на своей площадке и комбинированная (гибридная) модель .
DDoS-атаки бывают разными. Одни направлены на то, чтобы “забить” канал большим объёмом трафика. Другие бьют по приложениям: перегружают сайт, API, личный кабинет или авторизацию. Есть и многоуровневые сценарии, когда атака идёт сразу по нескольким направлениям.
Именно поэтому защита от DDoS — это не просто фильтр на границе сети. Это архитектура, которая должна учитывать:
- пропускную способность каналов;
- критичность сервисов;
- допустимую задержку;
- требования к конфиденциальности данных;
- наличие собственной ИБ- или ИТ команды;
- бюджет на внедрение и сопровождение.
1. Защита от интернет-провайдера
"Дешево и сердито"
Услуга от интернет-провайдера — самый простой способ получить начальную защиту. Фильтрация выполняется на стороне оператора связи: ещё до того, как трафик дойдёт до вашей площадки.
Услугу защиты от DDoS от интернет-провайдера чаще всего используют как базовый рубеж. Он помогает от массовых volumetric-атак, когда задача злоумышленника — просто перегрузить канал. Для небольших компаний или не слишком критичных сервисов этого может быть достаточно.
Плюсы здесь очевидны: подключение простое, стоимость обычно ниже, чем у MSSP, а иногда защита уже входит в тариф. Но и возможности ограничены. Провайдерская защита редко даёт глубокую кастомизацию, плохо помогает против сложных L7-атак и в ряде случаев сводится к грубому blackholing, когда вместе с вредоносным трафиком сбрасывается и трафик реальных пользователей.
Когда нужно выбрать защиту от провайдера?
Услуга от интернет-провайдера — самый простой способ получить начальную защиту. Фильтрация выполняется на стороне оператора связи: ещё до того, как трафик дойдёт до вашей площадки.
Услугу защиты от DDoS от интернет-провайдера чаще всего используют как базовый рубеж. Он помогает от массовых volumetric-атак, когда задача злоумышленника — просто перегрузить канал. Для небольших компаний или не слишком критичных сервисов этого может быть достаточно.
Плюсы здесь очевидны: подключение простое, стоимость обычно ниже, чем у MSSP, а иногда защита уже входит в тариф. Но и возможности ограничены. Провайдерская защита редко даёт глубокую кастомизацию, плохо помогает против сложных L7-атак и в ряде случаев сводится к грубому blackholing, когда вместе с вредоносным трафиком сбрасывается и трафик реальных пользователей.
Когда нужно выбрать защиту от провайдера?
- Малый бизнес без выделенного ИТ-отдела. Розничные точки, небольшие офисы, которым нужно «чтобы просто работало» без настройки политик безопасности.
- Низкая критичность сервисов. Сбросы легитимного трафика при включении очистки допустимы.
- Нужен базовый уровень защиты от объемных атак. Провайдер блокирует простые DDoS-атаки на своем уровне, не допуская переполнения канала.
2. Облачная защита (MSSP / scrubbing-центр)
Как работает scrubbing-центр
При облачной защите от DDoS трафик перенаправляется (через BGP или DNS) в облачный центр очистки, где отсекается вредоносный трафик, а легитимный трафик возвращается к вам .
Когда это лучший выбор?
Но есть и ограничения. Облако означает зависимость от провайдера услуги, от его SLA, скорости реакции, общей загрузки оборудования и каналов. Кроме того, возможны дополнительные задержки, а уровень контроля над фильтрацией обычно ниже, чем в локальной инфраструктуре. Важно выстроить надежный маршрут доставки очищенного трафика.
При облачной защите от DDoS трафик перенаправляется (через BGP или DNS) в облачный центр очистки, где отсекается вредоносный трафик, а легитимный трафик возвращается к вам .
Когда это лучший выбор?
- У вас ограниченный интернет-канал. Если канал 1–10 Гбит/с, а атаки могут быть 50–100+ Гбит/с, on-prem не поможет — канал «забьют» раньше, чем фильтрация начнётся .
- Нет собственной команды ИБ/сетевых экспертов. Облачный провайдер берёт на себя настройку защиты, мониторинг и реагирование на инциденты.
- Нужна защита нескольких Web-ресурсов. Такие ресурсы можно просто поставить под защиту за счет замены A-записи на DNS-сервере. Трафик пользователей быстро будет переведет в центр очистки. При этом для сервисов другого типа (мобильные приложения, DNS, видеоконференции, телефония, банкоматы) у MSSP нет эффективных профилей защиты.
Но есть и ограничения. Облако означает зависимость от провайдера услуги, от его SLA, скорости реакции, общей загрузки оборудования и каналов. Кроме того, возможны дополнительные задержки, а уровень контроля над фильтрацией обычно ниже, чем в локальной инфраструктуре. Важно выстроить надежный маршрут доставки очищенного трафика.
3. On-prem решение на своей площадке
"Полный контроль и суверенитет"
Это классическая схема: покупка аппаратных комплексов (файрволы, системы защиты от DDoS, DLP) и установка их в собственном ЦОДе.
Когда выбирать On-prem защиту от DDoS:
Это классическая схема: покупка аппаратных комплексов (файрволы, системы защиты от DDoS, DLP) и установка их в собственном ЦОДе.
Когда выбирать On-prem защиту от DDoS:
- Жесткие требования регуляторов. Для объектов критической информационной инфраструктуры (КИИ, ГИС), госструктур и силовых ведомств локальное размещение часто является обязательным требованием.
- Важны минимальные задержки. Банки, высоконагруженные цифровые платформы, игровые компании не могут допустить задержек при обработке трафика. Локальное решение обрабатывает трафик без задержек на перенаправление трафика в центр очистки.
- Критичная информация не должна покидать периметр. TLS сертификат и расшифрованный трафик, логи остаются в инфраструктуре компании. Важно для финансовых организаций и госсектора.
- Множество различных сервисов. Разделить трафик разных сервисов в отдельные политики защиты и гибко настроить правила фильтрации возможно только на собственном решении в тесном взаимодействии с владельцем защищаемого ресурса.
4. Комбинированная (гибридная) защита
"Золотой стандарт" для среднего и крупного бизнеса
Как показывает практика, большинство компаний приходят к необходимости комбинировать подходы. Гибридная архитектура позволяет перекрыть недостатки одного метода достоинствами другого. Защита на on-prem при включается сразу при начале атаки, сохраняя работоспособность NGFW, WAF и защищаемых сервисов. Облачная защита включается позже, фильтрует основной объем атаки и не допускает переполнения канала.
Когда выбирать гибридную модель:
Как показывает практика, большинство компаний приходят к необходимости комбинировать подходы. Гибридная архитектура позволяет перекрыть недостатки одного метода достоинствами другого. Защита на on-prem при включается сразу при начале атаки, сохраняя работоспособность NGFW, WAF и защищаемых сервисов. Облачная защита включается позже, фильтрует основной объем атаки и не допускает переполнения канала.
Когда выбирать гибридную модель:
- Опубликованы различные типы сервисов. Часть критичных сервисов (Web) защищать в MSSP, другие сервисы (мобильные приложения, VPN, DNS) защищать на уровне on-prem во взаимодействии с WAF, с анализом логов и расшифрованием TLS-трафика .
- Разные векторы атак. Для защиты от всех типов угроз необходимо разделять потоки: объемные атаки (volumetric) эффективно фильтруются в облаке или у провайдера, а сложные атаки на приложение (L7) и атаки с низкой интенсивностью — локальными средствами на границе сети.
- Требование отказоустойчивости. Если один уровень защиты падает или медленно активируется (характерно для MSSP и провайдера), эшелон on-premises продолжает работать.
Сравнение способов защиты от DDoS-атак
Вывод
Не существует универсального совета по построению архитектуры для защиты от DDoS.
- Защита от DDoS от провайдера даёт базовый уровень и подходит для простых сценариев. Выбирайте этот вариант, если у вас основные сервисы находятся в вашем офисе или собственном ЦОДе, подключённом к одному-двум провайдерам. Ожидаете атаки преимущественно volumetric (L3/L4), а бюджет ограничен.
- Выбирайте scrubbing-центр/MSSP, если критична защита только Web-сервисов. Важно представить полную информацию о защищаемом сервисе для детальной настройки защиты на стороне MSSP. Могут быть задержки на обнаружение атаки и на включение защиты.
- Выбирайте On-Prem antiDDoS, если закон или специфика бизнеса диктуют полный контроль над инфраструктурой и вы готовы инвестировать в оборудование и специалистов .
- Выбирайте Гибридный вариант защиты, если у вас сложная, разнородная инфраструктура и вы хотите использовать лучшие инструменты для каждой задачи, выстраивая эшелонированную оборону.
7 АПРЕЛЯ / 2026
Автор: Кривонос Алексей
По всем вопросам свяжитесь с нами любым удобным способом:
E-mail: info@sovit.net
Телефон: +7 (495) 120-25-30
E-mail: info@sovit.net
Телефон: +7 (495) 120-25-30
