search

Altinn / altinn-broker

Formidlingstjenesten
5 stars 0 forks source link

Tidsnok levering av meldinger iht. SLA med aktuelle mottakere, uavhengig av belastning på systemet #85

Open erikhag1 opened 1 year ago

erikhag1 commented 1 year ago

Users view

Title: Tidsnok levering av meldinger iht. SLA med aktuelle mottakere, uavhengig av belastning på systemet User role(s): Avsender Users value statement(s):

Vendors view

Description

High level features (capabilities):

### User stories
- [ ] Robusthet mot Denial of Service angrep
- [ ] Automatisk skalering av kapasitet ut fra belastning
- [ ] Separate kjøremiljøer (f.eks. for Politiet, slik at de ikke påvirkes av f-eks. Kartverket)
- [x] Ytelsestesting ved utvikling
- [x] Monitoring med dashboards og automatisk varsling

Item attributes

Note: Automatically updated properties, not intended for change by you;)

Issue type: epic Concept no: 26 Stage: Onboarding ArchiConceptID: id-2e2196af63484a069954fa697971b033 _GithubIssueID: IkwDOIwEQMM5vYMwq

erikhag1 commented 1 year ago

Denial of Service (DoS) og Distributed Denial of Service (DDoS) angrep er forsøk på å overvelde en tjeneste, nettsted eller nettverksressurs slik at den blir utilgjengelig for legitime brukere. Her er noen løsninger og metoder for å beskytte mot slike angrep:

Brannmur og IDS/IPS: Moderne brannmurer og inntrengningsdeteksjonssystemer/inntrengningsforebyggingssystemer (IDS/IPS) kan identifisere og blokkere DDoS-trafikk basert på kjente signaturer og trafikkmønstre.

Trafikkanalyse: Ved å overvåke nettverkstrafikken kan uvanlige trafikkmønstre oppdages tidlig, noe som kan indikere et pågående DDoS-angrep.

Rate Limiting: Dette begrenser antall forespørsler en server vil akseptere innenfor en bestemt tidsramme fra en enkelt IP-adresse. Dette kan forhindre at systemet blir overveldet av for mange forespørsler fra en angriper.

Content Distribution Network (CDN): CDNs kan distribuere trafikken over et globalt nettverk av servere. Dette kan hjelpe med å avlaste trafikk fra en enkelt kilde og beskytte mot DDoS-angrep ved å distribuere trafikken.

Anycast nettverkstoppologi: Dette sprer innkommende trafikk over flere steder, noe som kan hjelpe med å avlaste og redusere effekten av et DDoS-angrep.

DDoS beskyttelsestjenester: Det finnes mange tjenesteleverandører som spesialiserer seg på å beskytte mot DDoS-angrep. De kan avlede trafikk, filtrere den og sende bare legitim trafikk til målserveren.

Redundans: Ha flere servere i forskjellige geografiske områder. Hvis en server blir angrepet, kan trafikken omdirigeres til en annen server.

Overprovisjonering: Ha mer båndbredde tilgjengelig enn du normalt trenger. Dette kan gi deg mer tid til å gjenkjenne og svare på et DDoS-angrep før ressursene blir overveldet.

Oppdatering av sikkerhetspatcher: Hold alle systemer oppdaterte med de nyeste sikkerhetsoppdateringene for å beskytte mot kjente sårbarheter som kan utnyttes i DDoS-angrep.

Nødplan: Ha en plan klar for hvordan du skal håndtere et DDoS-angrep. Dette inkluderer kommunikasjon med kunder, omdirigering av trafikk, og kontakt med ISP eller DDoS beskyttelsestjenester.

Det er viktig å merke seg at ingen enkelt løsning vil gi fullstendig beskyttelse mot DDoS-angrep. En flerlags tilnærming, hvor flere av de ovennevnte metodene kombineres, vil gi den beste beskyttelsen.

ToreMasoy commented 1 year ago

Vi må ha en løsning der årsaken er soleklar i de tilfeller vi ikke leverer tidsnok. Viktig for at vi skal kunne påpeke at feilen skyldtes treghet hos mottaker eller avsender dersom det var årsaken. Også viktig for at vi skal kunne lære av det for å forbedre produktet.

tomshag commented 1 year ago

Separate kjøremiljøer vil ha noe påvirkning av opprettelse og maintenance av transaksjons-statistikk da denne ikke lenger vil være samlet.