Описание и условия предоставления услуги «Защита от DDoS-атак (Qrator), Защита веб-приложений (Qrator)». Приложение № 1.CRS.2.
Версия 250324
Последнее обновление: 24 марта 2025 г.
Вступление в силу: 3 апреля 2025 г.
1. Общая информация и описание Услуг
1.1. Услуга «Защита от DDoS-атак (Qrator)» — Услуга по защите от атак отказа в обслуживании или DDoS-атак сервисов 1 Заказчика, доступных по протоколам HTTP, HTTPS или иным прикладным протоколам, подверженным DDoS-атакам.
1.2. Услуга «Защита веб-приложений (Qrator)» — Услуга по фильтрации веб-трафика для защиты от атак, направленных на эксплуатацию уязвимостей WEB-приложений (функция Web Application Firewall, WAF). Услуга «Защита веб-приложений (Qrator)» предоставляется Заказчикам только совместно с услугой «Защита от DDoS-атак (Qrator)».
1.3. Услуги предоставляются в сотрудничестве с ООО «Эйч-эль-эль» (Qrator Labs, далее – Партнер).
1.4. Услуги предоставляются на базе облачного решения Партнера по защите от DDoS-атак и атак, направленных на эксплуатацию уязвимостей WEB-приложений, реализованного с помощью отдельной инфраструктуры облачной платформы Партнера, включающей более десяти центров обработки данных (ЦОД) по всему миру, в том числе три ЦОД в России (далее – Облако Партнера). Сеть Облака Партнера спроектирована и построена в расчете на работу под постоянным воздействием большого числа DDoS-атак. Узлы фильтрации Облака Партнера подключены к каналам крупнейших магистральных Интернет-провайдеров США, России, Западной и Восточной Европы, Юго-восточной Азии. Таким образом, в отличие от сетей операторов хостинга (особенно, виртуального), сеть Облака Партнера спроектирована в расчете на экстремальные нагрузки, и атака 2 на один из ресурсов, защищаемых Облаком Партнера, никак не влияет на работоспособность других защищаемых ресурсов (сайтов, WEB-приложений). В рамках Услуги «Защита веб-приложений» Облако Партнера обеспечивает как противодействие DDoS-атакам, так и защиту от хакерских атак, направленных на эксплуатацию уязвимостей сервисов Заказчика.
1.5. Услуги по фильтрации трафика заключаются в объявлении сервером или виртуальной машиной Заказчика фильтрующего Облака Партнера путем внесения соответствующих записей в описание DNS-зоны, к которой принадлежит сервер или виртуальная машина Заказчика. На фильтрующем Облаке Партнера происходит последовательное выполнение следующих операций с данными, передаваемыми на сервер с FQDN сервера Заказчика:
прием передаваемых на FQDN сервера (или виртуальной машины) Заказчика, на котором функционируют его защищаемый сервис, запросов (прием входящего трафика);
анализ структуры запросов (анализ входящего трафика) на предмет наличия последовательностей данных, способных повлечь некорректное функционирование защищаемого сервиса Заказчика;
отсечение запросов, содержащих последовательности данных, нарушающие корректное функционирование защищаемого сервиса Заказчика (очистка входящего трафика от вредоносной составляющей);
перенаправление входящего трафика, очищенного от вредоносной составляющей, (легитимного трафика) на реальный IP-адрес сервера или виртуальной машины Заказчика, на котором функционирует его защищаемый сервис.
1.6. После подключения Услуги «Защита веб-приложений (Qrator)» трафик Заказчика постоянно, вне зависимости от наличия атаки, поступает в сеть облака Партнера и анализируется им. Легитимный («очищенный») трафик перенаправляется на защищаемый сервис Заказчика, размещаемый в Инфраструктуре. Такая схема работы позволяет узлам фильтрации Партнера сформировать профиль трафика, который является нормой для каждого сервиса Заказчика в отдельности, и в случае любых отклонений реагировать на это.
1.7. Передача легитимного (очищенного) трафика от Облака Партнера до Инфраструктуры осуществляется с использованием выделенного оптического канала связи, организуемого и поддерживаемого силами Исполнителя и Партнера. Указанный канал изолирован от сети Интернет и построен на базе резервированных оптических линий связи.
1.8. Для обеспечения возможности работы WAF в составе услуги «Защита веб-приложений (Qrator)» необходима передача и загрузка в Облако Партнера закрытых ключей шифрования SSL/TLS, используемых Заказчиком для организации защищенного доступа к сервисам заказчика с использованием протокола HTTPS.
1.9. Общая архитектура решения Услуги приведена ниже на Рис.1:
Рисунок 1: Общая архитектура решения Услуги
1.10. В составе Услуги «Защита от DDoS-атак (Qrator)» осуществляется 3:
подключение к услуге;
фильтрация трафика от DDoS-атак на всех уровнях;
фильтрация HTTPS-трафика от DDoS-атак на прикладном уровне при условии предоставления (раскрытия) Заказчиком закрытых ключей шифрования SSL/TLS для их загрузки в Облако Партнера;
перевод сервиса Заказчика на использование протокола HTTPS 4 с использованием бесплатных закрытых ключей шифрования SSL/TLS от Let’s Encrypt, загружаемых в Облако Партнера;
передача очищенного трафика от Облака Партнера до размещаемого у Исполнителя сервиса Заказчика с использованием выделенного оптического канала связи;
балансировка трафика сервиса Заказчика между узлами Облака Партнера, а далее – распределение трафика между сервисами Заказчика, функционирующими в Инфраструктуре, по определенному алгоритму;
мониторинг производительности защищаемого сервиса Заказчика с оповещением по электронной почте о возникающих проблемах в его работе;
предоставление доступа к системе мониторинга трафика в режиме реального времени посредством Личного кабинета;
сбор и отображение подробной статистики по трафику сервиса Заказчика в Личном кабинете;
предоставление ежемесячных подробных отчетов об инцидентах в формате PDF.
1.10.1. Для подключения Услуги «Защита от DDoS-атак (Qrator)» Заказчик должен выбрать тарифный план на основании предполагаемой полосы вредоносного трафика, гарантированной доступности защищаемых сервисов и необходимой дополнительной функциональности:
| Наименование тарифного плана |
Professional (Pro) |
Business (Bsns) |
Corporate (Corp) |
|---|---|---|---|
| Включена полоса фильтрации вредоносного (нежелательного) трафика, до: | 10 Гбит/сек | 50 Гбит/сек | 500 Гбит/сек |
| Включено трафика в тарифный план | 10 Мбит/с | ||
| Гарантированная доступность сервисов в месяц, не менее | 97% | 99% | 99,5% |
| Тарифицируемый трафик | легитимный | ||
| Оплата полосы трафика сверх включенного в тарифный план, за каждый Мбит/с | тарифицируется дополнительно | ||
| Фильтрация HTTPS с использованием приватных ключей Клиента | включено | ||
| Предоставление сертификатов Let's Encrypt | включено | ||
| Активная проверка доступности площадок клиента | Не предусмотрено | включено | |
| Фильтрация HTTPS без использования приватных ключей | Не предусмотрено | включено | |
| Доступ к API | Не предусмотрено | включено | |
| Прямое подключение в существующий стык с инфраструктурой Исполнителя QDC (Qrator Direct Connection) | Не предусмотрено | включено | |
| Дополнительные услуги | Professional (Pro) | Business (Bsns) | Corporate (Corp) |
| Предоставление IP-адресов (сверх 1 IP-адреса, включенного в тарифный план), ежемесячно | тарифицируется дополнительно | тарифицируется дополнительно | тарифицируется дополнительно |
| Базовая балансировка очищенного трафика между IP-адресами (не более двух апстримов по алгоритму Round-robin) | включено | ||
| Балансировка очищенного трафика между IP-адресами Заказчика QLB (Qrator Load Balancing), ежемесячно | Не предусмотрено | тарифицируется дополнительно | |
| Услуга защиты Websockets (проксирование TCP соединений), ежемесячно | тарифицируется дополнительно | включено | |
| Подключение к инфраструктуре Исполнителя посредством анонса сетевых префиксов Заказчика по протоколу BGP, ежемесячно | Не предусмотрено | тарифицируется дополнительно | |
| Предоставление выделенного порта на оборудовании Исполнителя для организации ВОЛС QDP (Qrator Dedicated Port), ежемесячно | Не предусмотрено | тарифицируется дополнительно | |
| Фильтрация трафика по геозонам, ежемесячно | Не предусмотрено | тарифицируется дополнительно | |
| Отказоустойчивый DNS10, ежемесячно | тарифицируется дополнительно | ||
| Отказоустойчивый DNS10+, ежемесячно | тарифицируется дополнительно | ||
| Отказоустойчивый DNS100, ежемесячно | тарифицируется дополнительно | ||
| Отказоустойчивый DNS100+ | тарифицируется дополнительно | ||
| Защита от ботов, ежемесячно, за каждый Мбит/сек (руб.) | Не предусмотрено | тарифицируется дополнительно | |
| Кэширование контента CDN 100, стоимость за 1Тбайт (до 100 Тбайт включительно) | тарифицируется дополнительно | ||
| Кэширование контента CDN 100+, стоимость за 1Тбайт (свыше 100 Тбайт) | тарифицируется дополнительно | ||
| 10 Мбит/с предоплаченная полоса трафика сверх включенного в тарифный план | тарифицируется дополнительно | ||
| 50 Мбит/с предоплаченная полоса трафика сверх включенного в тарифный план | тарифицируется дополнительно | ||
| 100 Мбит/с предоплаченная полоса трафика сверх включенного в тарифный план | тарифицируется дополнительно | ||
| 200 Мбит/с предоплаченная полоса трафика сверх включенного в тарифный план | тарифицируется дополнительно | ||
| 300 Мбит/с предоплаченная полоса трафика сверх включенного в тарифный план | тарифицируется дополнительно | ||
| 400 Мбит/с предоплаченная полоса трафика сверх включенного в тарифный план | тарифицируется дополнительно | ||
| 500 Мбит/с предоплаченная полоса трафика сверх включенного в тарифный план | тарифицируется дополнительно | ||
1.11. В составе Услуги «Защита веб-приложений (Qrator)» осуществляется без самостоятельной тарификации:
активное сканирование сервиса Заказчика на наличие уязвимостей уровня приложений, которые могут привести к его взлому;
предоставление отчетов об обнаруженных уязвимостях уровня приложений сервиса Заказчика с рекомендациями по их устранению;
предоставление услуги «Virtual Patching» в отношении сервиса Заказчика с автоматическим отслеживанием состояния уязвимости до момента ее устранения и контролем качества устранения уязвимостей;
защита сервиса Заказчика от атак-перебора (брутфорс паролей и т.д.) - включается по запросу Заказчика);
осуществление активной проверки угроз из трафика на сервисы Заказчика;
формирование периодических отчетов.
1.12. Для подключения Услуги «Защита веб-приложений (Qrator)» Заказчик должен выбрать тарифный план на основании необходимой ему функциональности:
| Обнаружение и Защита от хакерских атак. Web Application Firewall (WAF) Технология SolidWall | ||
|---|---|---|
| Наименование тарифного плана | Elementary Partner WAF | Advisory Partner WAF |
| Включено трафика в АП | 3 Мбит/с | |
| Оплата полосы (трафика) сверх включенного в тарифный план (за 1 Мбит/с) |
тарифицируется отдельно | |
| Включенное количество защищаемых сервисов | 1 шт. | |
| Дополнительные услуги | ||
| Защита 1 дополнительного сервиса, ежемесячно | тарифицируется отдельно | тарифицируется отдельно |
| Дополнительное пространство для хранения, за 1 ТБ ежемесячно | тарифицируется отдельно | |
| Стоимость дополнительных услуг по обнаружению и блокированию сетевых атак (Professional Services WAF), ежемесячно (24ч) | тарифицируется отдельно | |
| Услуги расширенной технической поддержки, оказываемые при подключении новых сервисов Заказчика (Professional Services WAF) | тарифицируется отдельно | |
1.13. Технические характеристики Облака Партнера:
более 1000 Гбит/с пассивной полосы пропускания - детерминированная обработка IP-пакетов без установления TCP-соединения;
более 500 Гбит/с активной полосы пропускания - каждое входящее TCP-соединение обрабатывается и анализируется;
<5% ложных срабатываний в процессе отражения DDoS-атаки;
время обучения сети от момента подключения нового Заказчика - менее 2 часов:
в 33% случаев - до 4 минут;
в 60% случаев - от 5 минут до 1 часа;
время старта фильтрации атаки на «обученном» трафике – в 80% случаев до 2 минут от начала атаки;
добавленное время задержки при проксировании трафика - от 0 до 100 мс. В случае проксирования HTTP-трафика в силу использования persistent HTTP-соединений с защищаемым сервисом возможен прирост скорости работы защищаемого сервиса;
опциональная балансировка очищенного трафика между экземплярами сервиса Заказчика на основе алгоритмов: primary-backup, round-robin, iphash, а также в фиксированных пропорциях;
количество защищаемых сервисов Заказчика - неограниченно.
1.14. Для подключения к Услуге Заказчику необходимо самостоятельно:
изменить А-запись, соответствующую доменному имени защищаемого сервиса, в своей DNS-зоне, чтобы она указывала на выделенный этому сервису IP-адрес в Облаке Партнера (Qrator-IP), для отключения необходимо выполнить обратное действие;
настроить межсетевой экран (Firewall) для запрета хождения трафика на IP-адрес защищаемого ресурса с любых внешних адресов, кроме узлов Партнера;
настроить сертификаты для очистки шифрованного трафика.
1.15. Услуги доступны как для сервисов Заказчика, функционирующих в Облаке Cloud.ru, так и в сторонней инфраструктуре.
1.16. Пользуясь Услугами, Заказчик подтверждает, что доменные имена, для которых подключаются Услуги, принадлежат ему на законном основании, либо он действует от имени и по поручению законных владельцев этих доменных имен.
Примечания
- 1
Здесь и далее по тексту документа под «сервисами Заказчика» подразумеваются любые сервисы, доступные по протоколу HTTP, HTTPS или иным прикладным протоколам, подверженным DDoS-атакам, в том числе, но не ограничиваясь WEB-сайтами, доменными именами, Интернет-магазинами и прочими WEB-сервисами Заказчика.
- 2
Здесь и далее по тексту документа под «атаками» подразумевается любая из атак, указанных в п.1.1. и/ или п. 1.2. Приложения № 1.CRS.2.1., если контекст не содержит иного прямо указанного значения.
- 3
Входит во все тарифные планы Услуги (без самостоятельной тарификации).
- 4
В случае если ранее для доступа к защищаемому сервису Заказчика использовался протокол HTTP.
2. Базовая функциональность и метрики Услуги
2.1. Функциональность и метрики Услуг представлены в Таблицах 3 и 4.
| Наименование Услуги | Тарифицируемые единицы | Характеристики и метрики | Допустимые значения |
|---|---|---|---|
| Защита от DDoS-атак (Qrator) | Тариф | Абонентская плата по тарифу | Professional, Business, Corporate |
| Защищаемый сервис | Дополнительный Qrator-IP | от 1 и более | |
| Легитимный трафик | Легитимный трафик сверх включенного в тариф | от 1 Мбит/с | |
| Предоплаченная полоса сверх тарифа | 10, 50, 100, 200, 300, 400, 500 Мбит/с | ||
| Защита от ботов | от 1 Мбит/с | ||
| Предоплаченная полоса защиты от ботов | 10, 50, 100, 200, 300, 400, 500 Мбит/с | ||
| Опции подключения | Фильтрация HTTPS без использования приватных ключей | Только на тарифах Business, Corporate | |
| Защита WebSocket (проксирование TCP соединений) | На всех тарифах | ||
| Подключение по протоколу BGP | Только на тарифе Corporate | ||
| Прямое подключение в существующий стык с инфраструктурой Исполнителя QDC (Qrator Direct Connection) | |||
| Выделенный порт на оборудовании | |||
| Дополнительные опции | Фильтрация трафика по геозонам | Только на тарифе Corporate | |
| Активная проверка доступности площадок Заказчика | Только на тарифах Business, Corporate | ||
| Доступ к API | |||
| Балансировка очищенного трафика между IP-адресами | Не более двух апстримов по алгоритму Round-robin | На всех тарифах | |
| Qrator Load Balancing | Только на тарифах Business, Corporate | ||
| Отказоустойчивый DNS | Отказоустойчивый DNS | DNS10, DNS10+, DNS100, DNS100+ | |
| Защита веб-приложений (Qrator) | Тариф | Абонентская плата по тарифу | Elementary, Advisory |
| Защищаемый сервис | Дополнительный сервис | от 1 и более | |
| Легитимный трафик | Легитимный трафик сверх включенного в тариф | от 1 Мбит/с |
| Наименование услуг | Elementary Partner WAF | Advisory Partner WAF |
|---|---|---|
| Описание услуг по обнаружению и блокированию сетевых атак, включенных в тарифный план | ||
| Блокирование атак | Блокируются отдельные вредоносные запросы и ответы | |
| Возможные способы обнаружения атак | Атаки выявляются следующими способами:
|
Атаки выявляются следующими способами:
|
| Хранение данных | Сохраняются события безопасности, а также вредоносные запросы и ответы |
Сохраняются следующие данные:
|
| Доступ к интерфейсу управления SolidWall WAF | Доступ к личному кабинету с базовым функционалом. Поддерживаются
следующие функции:
|
Доступ к личному кабинету с расширенным функционалом. Поддерживаются
следующие функции:
|
| Предоставление возможности интеграции SolidWall WAF с внешними системами | Не предусмотрено в тарифе | Предоставляется возможность интеграции с использованием механизмов SYSLOG или REST API (включается по запросу) |
| Предоставление автоматизированных отчетов | Предоставляются следующие виды отчетов:
|
Предоставляются следующие виды отчетов:
|
| Консультирование Клиентов по вопросам использования Услуг WAF | Консультирование Клиентов по следующим вопросам:
|
Консультирование Клиентов по следующим вопросам:
|
| Услуги базовой технической поддержки, оказываемые при подключении новых Клиентов | При подключении осуществляются следующие настройки (выполняются с
применением машинного обучения):
|
При подключении осуществляются следующие настройки (выполняются с
применением машинного обучения):
|
| Услуги базовой технической поддержки, оказываемые в процессе эксплуатации SolidWall WAF |
|
|
| Дополнительные услуги по обнаружению и блокированию сетевых атак (Professional Services WAF) | ||
| Услуги расширенной технической поддержки, оказываемые при подключении новых сервисов Заказчика |
|
|
3. Тарификация Услуги
3.1. Тарификация услуги состоит из двух компонентов – фиксированной абонентской платы (статичная тарификация) и переменной части, рассчитываемой на основании фактического использования полосы трафика.
3.2 Фиксированная абонентская плата устанавливается заранее и не зависит от продолжительности оказания услуг в расчетном периоде.
3.3. Расчет фактически используемой полосы трафика производится следующим образом:
3.3.1. В течение расчетного периода с интервалом в 1 минуту определяется среднее значение полосы трафика, при этом под полосой трафика понимается наибольшее значение между скоростью очищенного (с применением системы фильтрации) входящего трафика и исходящего трафика Информационного ресурса.
3.3.2. По завершении расчетного периода все полученные измерения сортируются, и из них исключаются 90 наибольших значений.
3.3.3. Из оставшихся измерений выбирается максимальное значение, которое округляется в меньшую сторону до целого числа Мбит/с. Полученное значение считается величиной фактически использованной полосы трафика.
3.4. Расчет ежемесячного переменного вознаграждения производится по следующей формуле:
3.4.1. Ежемесячное переменное вознаграждение = (фактически используемая полоса трафика – (трафик, включенный в тарифный план + предоплаченная полоса трафика)) × ставка оплаты за каждый Мбит/с, превышающий тарифный план.
3.4.2. В случае, если разница (фактически используемая полоса трафика – (трафик, включённый в тарифный план + предоплаченная полоса трафика)) оказывается равной нулю или отрицательной, переменное вознаграждение не начисляется.
3.5. Независимо от фактического использования, если Заказчик не использует полностью предоплаченную полосу трафика, перерасчет не производится.
4. Ограничения
4.1. Технические аспекты работы системы фильтрации трафика, за несоблюдение которых Исполнитель не отвечает, и при несоблюдении которых Исполнитель не может гарантировать обеспечение заявленного уровня качества Услуг по фильтрации трафика:
для целей фильтрации трафика предполагается, что данные из сети Интернет передаются не непосредственно на IP-адрес сервера или виртуальной машины Заказчика, а на адрес, имеющий FQDN сервера или виртуальной машины Заказчика;
в случае, если сервер или виртуальная машина Заказчика, для обеспечения стабильности и бесперебойности работы которого подключены услуги по фильтрации трафика, будет способен принимать входящий трафик от любых серверов в сети Интернет, Исполнитель не может гарантировать оказание услуги по фильтрации трафика в запрашиваемом объеме до момента полного обновления DNS-записей об адресах серверов защищаемых доменов во всей сети Интернет;
для исключения ситуации обработки сервером Заказчика вредоносного входящего трафика на сервере или в тенанте Заказчика должен быть включен или развернут межсетевой экран (Firewall), блокирующий любой входящий трафик, кроме входящего трафика с конкретного сервера Исполнителя; 5
для снижения количества вредоносного трафика, блокируемого межсетевым экраном (Firewall) Заказчика, а соответственно, для снижения нагрузки на сервер или виртуальную машину Заказчика, Заказчик обязан предпринять меры по сокрытию (неразглашению) фактических IP-адресов серверов и виртуальных машин, для которых осуществляется фильтрация трафика.
Примечания
- 5
В случае защиты виртуальной машины, размещаемой в тенанте Заказчика на базе Инфраструктуры, в качестве соответствующего межсетевого экрана (Firewall) может быть использован и соответствующим образом настроен Edge Gateway.
5. Иные условия, применимые к Услугам
5.1. Возможные виды подключения / изменения / отключения Услуг:
5.1.1. Посредством подписания Заказа;
5.1.2. Посредством совершения действий в Личном кабинете.
5.2. Возможный порядок расчётов по Услугам:
5.2.1. Постоплата.
5.3. Возможные способы оплаты / порядок пополнения Баланса:
5.3.1. Оплата в безналичном порядке на основании выставленного Исполнителем счёта.