Přeskočit na hlavní obsah

Obrana digitální pevnosti: jak AWS chrání globální bankovnictví před DDoS útoky.

Vydáno

V dnešní digitální době, kdy se bankovní operace stále více přesouvají na internet, se rozšiřuje i oblast hrozeb. Zejména DDoS  útoky se staly postrachem digitálních podniků, jejichž cílem je narušit služby a podkopat důvěru. Co kdyby však existoval štít, digitální strážce, který by se těmto útokům postavil? AWS, cloudový gigant, se svou robustní sadou nástrojů určených k ochraně, mitigaci a zajištění odolnosti. Prozkoumejme reálný scénář, kde pochopíme, jak AWS prakticky chrání proti DDoS útokům ve světě retailového online bankovnictví.

Představte si rušný den v online světě retailového bankovnictví. Najednou se rozezní varovné signály, protože se spustí masivní útok DDoS. Útočníci nasadí smrtící kombinaci: volumetrické útoky zaplavující síť, útoky vyčerpávající stavy, které extrémně vytěžují prostředky serverů, a útoky na aplikační vrstvě zaměřené na konkrétní zranitelnosti.


Síťová vrstva (OSI vrstva  3)

Dálnice digitálního věku, která je vytváří bezpečnou trasu pro doručení paketů.

Bezpečnostní komponenty a mitigace útoků:

  • AWS Shield: standardní AWS Shield se jako strážce vrhá do akce a zmírňuje hlavní sílu útoku. Od ohromující rychlosti 100 Gb/s výrazně omezuje nápor.

  • Amazon Route 53: i uprostřed chaosu je Route 53 robustní, škálovatelná, aby zvládla až 100 miliard dotazů denně a zajistila, že uživatelé najdou svou digitální cestu.

  • Přeshraniční převzetí provozu služeb při selhání: AWS umožňuje nastavit provoz aplikací ve více geografických regionech. V případě DDoS útoku zaměřeného na určitý geografický region může být provoz přesměrován do jiného nezasaženého regionu, čímž je zajištěna nepřetržitá dostupnost. Tím se nejen zajistí záloha během útoků, ale také se rozloží zátěž, takže je pro útočníky obtížnější zaměřit se na jediný bod selhání.


Transportní vrstva (OSI vrstva 4)

Spolehlivý kurýr, který zajišťuje, aby data putovala od začátku do konce bez zádrhelů.

Bezpečnostní komponenty a mitigace útoků:

  • AWS Shield: obrana se stupňuje, odráží běžné útoky na transportní vrstvě a snižuje objem útoků na zvládnutelnější úroveň.

  • Security Groups: nenápadní hrdinové, kteří filtrují škodlivý provoz, fungují jako první linie obrany a dále snižují sílu útoku.


Aplikační vrstva (OSI vrstva 7)

Hlavní komunikační uzel, kde dochází k interakci mezi uživateli a vysokoúrovňovými API bank.

Bezpečnostní komponenty a mitigace útoků:

  • AWS WAF: útočníci jsou stále mazanější a zaměřují se na zranitelnosti aplikací, a proto se systém WAF zapojuje do akce, filtruje škodlivé požadavky a chrání nedotknutelnost bankovní aplikace.

  • Amazon API Gateway: spravuje provoz a zajišťuje, že backend zůstane nepoškozený a bude reagovat.

  • CloudFront: rozděluje zátěž a zajišťuje, že i když jsou jedny dveře zablokované, mnoho dalších zůstane otevřených a bude sloužit uživatelům.






Dále za hranicemi API Gateway:

  • Elasticita a automatické škálování: jednou z hlavních ochran proti DDoS útokům je schopnost dynamického škálování zdrojů. Služby AWS, jako jsou EC2 a RDS, lze nastavit tak, aby se automaticky škálovaly na základě poptávky. Během DDoS útoku je tak zajištěno automatické přidání zdrojů pro zvládnutí zvýšené zátěže, čímž se zabrání přetížení systému a případným výpadkům.

  • AWS Lambda: strážce, který zajišťuje, že i když proklouzne několik nepoctivých požadavků, jsou zadrženy, čímž se zabrání poškození legitimních požadavků.

  • Amazon RDS / DynamoDB: i pod tlakem zaručují, že data zůstanou dostupná, rychlá a efektivní.


Monitoring, alerting a rychlá reakce na incidenty:

  • Amazon CloudWatch a AWS CloudTrail: bdělé oči, které jsou vždy ve střehu, připravené přizpůsobit se a reagovat na jakýkoli prudký výkyv nebo anomálii.

  • AWS Shield Advanced DRT: elitní jednotka, která je vždy v pohotovosti a zajišťuje, že ať se stane cokoli, digitální dveře banky zůstanou pro její klienty otevřené.


Vlastnosti Super-Scaleru oproti tradičním bankovním datovým centrům:

Infrastruktura podporující naše digitální operace musí být nejen bezpečná, ale také přizpůsobivá. Super-scaler vlastnosti, jako jsou ty, které nabízí AWS, přinášejí bezkonkurenční schopnost škálovat, přizpůsobovat se a vyvíjet. Tyto cloudové infrastruktury jsou navrženy tak, aby zvládaly obrovské množství provozu, dynamicky přidělovaly zdroje a rozdělovaly zátěž v rámci globální sítě.

Naproti tomu tradiční privátní neelastická bankovní datová centra jsou sice robustní, ale často postrádají agilitu a škálovatelnost, kterou nabízejí super-scalery. Mohou se stát jedinými body selhání a jejich statická povaha je může činit zranitelnějšími vůči cíleným útokům. Ve světě, kde přizpůsobivost může znamenat rozdíl mezi odolností a zranitelností, nabízí přístup založený na super-scaleru prozíravé řešení, které zajišťuje, že naše digitální pevnosti zůstanou nejen odolné, ale také se budou neustále vyvíjet.

V této digitální bitvě zajišťuje vícevrstvá obrana AWS, že i při nejzuřivějším DDoS útoku zůstane bankovní aplikace neochvějně fungovat. Každá vrstva, každá komponenta, přispívá ke snížení dopadu útoku, zajišťuje nepřerušenou službu a zachovává důvěru uživatelů.

Kromě technické vyspělosti nabízí AWS také finanční polštář díky funkci "ochrany finančních zdrojů" ve službě Shield Advanced. Ta zajišťuje, že zatímco naše obrana je v provozu, naše náklady neočekávaně nestoupnou, což poskytuje nejen technickou, ale i finanční odolnost tváří v tvář nepřízni osudu.

Lukas Benda

Lukáš Benda

Certifikovaný AWS solutions architekt cloudových řešení s více než 20 lety praxe v oblasti podnikového softwaru. Specializuji se na navrhování robustních, serverless systémů a modernizaci podnikových architektur. Pojďme podpořit růst vašeho podnikání pomocí inovativních cloudových řešení.

Zajímá vás transformace vašeho podnikání pomocí cloudu? Ozvěte se a probereme, jak můžeme spolupracovat.

📞: 775 491 827

📧: lukas.benda@boldpivot.cz

LinkedIn: https://www.linkedin.com/in/luke-ben/

Komentáře

Okomentovat

Populární příspěvky z tohoto blogu

Za hranice DevOps 1.0: Proč je BizDevOps pro SaaS společnosti nezbytností?

Vydáno
Přechod od tradičního DevOps k BizDevOps představuje zásadní tektonický zlom ve filozofii, která pečlivě integruje hluboké pochopení potřeb zákazníka s agilitou vývoje softwarových služeb a jejich provozu. Je to revoluce, která je stejně kontroverzní jako stěžejní a dramaticky rozšiřuje základy toho, co dnes běžně chápeme jako efektivní dodávku softwaru. Jádrem našeho článku je zásadní otázka: Mohou organizace, které jsou zakořeněné v ustáleném rytmu DevOps 1.0, přijmout rozsáhlé organizační, technologické a názorové změny potřebné pro BizDevOps?  Tunelové vidění technologických specialistů Ve světě softwaru-jako-služby (SaaS) stojí mladý DevOps specialista Luboš na kritické křižovatce. Vyzbrojen skvělými dovednostmi v oblasti kódování a rozsáhlými znalostmi cloudových architektur se Luboš s jistotou a lehkostí orientoval v technických aspektech své profese. Jak se však před ním rozprostřela krajina SaaS plná nesčetných výzev a komplikací, Luboš se potýkal s problémy, které nebylo ...
Okomentovat
Pokračování Zde »

The OpenAI Dilemma: A Business Model That Can't Scale

Vydáno
Right now, OpenAI dominates the GenAI conversation much like Apple did in the early days of the Mac and iPhone—an exclusive, high-cost, high-curation model with strict control over its product lifecycle. This approach works brilliantly in the short term, creating the illusion of scarcity-driven value and a premium user experience. But in the long run, the cracks in this model start to show. Let’s look at three fundamental weaknesses of OpenAI’s current trajectory: 1. A Structural Bottleneck: Over-Reliance on Search and Static Training OpenAI's most urgent problem is its full dependence on internet search to provide users with up-to-date knowledge. At first glance, this might seem like an advantage—it makes ChatGPT appear "live" and relevant. But in reality, it's a massive strategic liability for several reasons: Search is an external dependency – OpenAI doesn’t own the sources it retrieves from (Google, Bing, or specialized databases). It relies on external...
Okomentovat
Pokračování Zde »

Integrating HATEOAS, JSON-LD, and HAL in a Web-Scale RAG System

Vydáno
  The intersection of Hypermedia as the Engine of Application State (HATEOAS), JSON for Linked Data (JSON-LD), and Hypertext Application Language (HAL) presents a novel approach to enhancing Retrieval-Augmented Generation (RAG) systems. By leveraging these standards, we can streamline and potentially standardize the interaction of Large Language Models (LLMs) with knowledge graphs, thus facilitating real-time data retrieval and more effective training processes. Leveraging HATEOAS HATEOAS principles are crucial for enabling dynamic navigation and state transitions within RESTful APIs. In the context of RAG systems, HATEOAS allows LLMs to interact with APIs in a flexible manner, discovering related resources and actions dynamically. This capability is essential for traversing knowledge graphs, where the relationships between entities can be complex and varied. By providing hypermedia links in API responses, HATEOAS ensures that LLMs can effectively navigate and utilize the knowledge...
Okomentovat
Pokračování Zde »