Глоссарий терминов на букву D

Глоссарий терминов на букву D: гарантии, риски и проверка выбора

При построении безопасного и производительного сайта каждый термин из глоссария буквы D может стать как прочным фундаментом, так и источником неожиданных проблем. Разбираем ключевые понятия с фокусом на то, что вам гарантировано, где таятся подводные камни и как проверить провайдера, чтобы не было мучительно больно за потраченный бюджет.

DDoS-защита

Что гарантировано? Профессиональные сервисы (например, Cloudflare, Qrator) гарантируют фильтрацию трафика на уровне L3-L7 с аптаймом 99.9% при атаках до 1 Тбит/с. В контрактах прописано время реакции (SLA) — обычно от 30 секунд до 5 минут.

Какие риски скрыты? Ложные срабатывания — защита может заблокировать легитимных посетителей (например, из-за капчи или агрессивных правил). Стоимость перерасхода — если атака длится дольше лимита пакета, начнут списывать деньги по тарифу «за каждый час», что выливается в тысячи долларов. Атаки на DNS — некоторые провайдеры не фильтруют атаки на автортативные серверы, что вызывает «отскок» трафика на ваш IP.

Что проверить при выборе, чтобы не жалеть?

• Запросите результаты стресс-тестов за последние 6 месяцев — не просто «мы отбили», а детали по времени реакции и проценту ошибочных срабатываний.
• Уточните пороговые значения для автоматического включения защиты (например, 10 000 запросов в секунду — нормально или уже атака?).
• Проверьте политику отмены — можно ли расторгнуть договор без штрафа, если защита не справляется с атакой нового типа (например, HTTP/2 Rapid Reset в 2023-2024 годах).
• Потребуйте скриншоты панели управления в реальном времени — есть ли лог заблокированных запросов с IP и полезной нагрузкой.

DNS (Domain Name System)

Что гарантировано? Стандартом DNS гарантируется кэширование ответов (TTL) и запись всех запросов в журналы. Провайдеры DNS-хостинга обещают аптайм 99.99% за счёт географически распределённых серверов.

Какие риски скрыты? Кэш-отравление — если злоумышленник подменяет DNS-запись, пользователь попадает на фишинговый сайт. Задержки (latency) — из-за неправильной настройки anycast или плохого провайдера время ответа может превышать 500 мс, что убивает скорость загрузки. Необновление записей — если вы сменили IP, а TTL старый, часть трафика будет идти на мёртвый адрес до нескольких часов.

Что проверить при выборе, чтобы не жалеть?

• Изучите TLS-поддержку — поддерживает ли провайдер DNS over HTTPS (DoH) или DNS over TLS (DoT) без дополнительной платы. Без этого трафик из общественных Wi-Fi легко перехватывается.
• Проверьте скорость обновления записей — у лидеров (Cloudflare, Google Public DNS) кэш обновляется за 10–30 секунд, у дешёвых хостингов — 10–15 минут.
• Запросите журнал аудита — хранит ли провайдер логи запросов и как долго (хотя бы 30 суток). Для GDPR и регуляций РФ (152-ФЗ) это критично.
• Уточните резолвер для внутренних записей — если у вас Split DNS, убедитесь, что провайдер поддерживает зоны без публичной публикации.

CDN (Content Delivery Network)

Что гарантировано? Официально CDN гарантирует географическую близость кэша — серверы в 200+ точках мира, снижение времени загрузки статики (CSS, JS, изображения) до 50–100 мс в зависимости от региона. Payment-слои (например, у BunnyCDN) обещают автоматическую замену битых ссылок.

Какие риски скрыты? SSL-проблемы — не все poп-узлы корректно работают с резервными сертификатами, из-за чего часть посетителей (особенно из Китая или с устаревшими браузерами) видит ошибку «NET::ERR_CERT_AUTHORITY_INVALID». Устаревание контента — если TTL настроен неверно, посетители получают старую версию сайта, хотя вы уже всё обновили. Скрытые расходы на трафик — многие тарифы считают трафик отдельно для каждого poп-узла, а итоговые счета могут раздуться в 2–3 раза.

Что проверить при выборе, чтобы не жалеть?

• Проведите тест скорости из разных регионов — используйте сервисы GTMetrics или CDNPerf, не доверяйте обещаниям на сайте провайдера.
• Уточните механизм пурджа (очистки кэша) — мгновенно ли срабатывает или есть задержка в 1–2 минуты? Это критично при срочных исправлениях уязвимостей.
• Потребуйте примеры работы с сертификатами — какие CA поддерживаются, можно ли загрузить свой wildcard-сертификат.
• Проверьте политику в отношении бот-трафика — некоторые CDN при большом объёме ботов (например, AI-скраперы) блокируют аккаунт без возврата денег.

Docker-контейнеры

Что гарантировано? Докер гарантирует идентичность окружения (бери образ — и он будет работать одинаково на локальной машине и на сервере). Официальные образы Docker Hub сканируются на уязвимости (Trivy, Snyk).

Какие риски скрыты? Уязвимости в base image — даже «официальные» образы могут содержать CVE (в 2025 году найдено более 300 уязвимостей в популярных образах для Python и Node.js). Конфигурация сетки — неправильно настроенные порты или сети могут открыть доступ к базе данных через bridge-сеть. Дрейф состояний — если контейнер пишет данные на диск без томов, при перезапуске всё теряется, и восстановление невозможно.

Что проверить при выборе, чтобы не жалеть?

• Обязательно запустите сканирование образа через Docker Scout или частные инструменты (Anchore, Aqua) перед деплоем.
• Проверьте логи сборки — есть ли в Dockerfile FROM с версией (например, FROM python:3.12-slim-bookworm, а не просто FROM python). Версия без указания тега — красный флаг.
• Уточните очистку слоёв — если вы используете многоступенчатую сборку (multi-stage), убедитесь, что финальный образ минимален (без компиляторов и пакетов разработчика). Иначе размер контейнера ≥1 ГБ.
• Запросите политику отката — как вы будете возвращаться к предыдущей версии, если новый контейнер сломался? Нужна ли вам отдельная система оркестрации (Kubernetes, Swarm) или хватит простого docker-compose?

DMARC (Domain-based Message Authentication, Reporting & Conformance)

Что гарантировано? Стандарт DMARC гарантирует автоматические отчёты фишинг- и BEC-атак для вашего домена. При правильной настройке (p=reject) почтовые серверы будут отклонять письма, подделывающие ваш домен.

Какие риски скрыты? Ложные отбраковки — если SPF/DKIM настроены неидеально, можно потерять законные рассылки (например, от сервисов вроде Mailchimp). Отсутствие отчётов — маленькие почтовые провайдеры (особенно в Африке и Юго-Восточной Азии) часто игнорируют DMARC-отчёты, что создаёт слепые зоны. Сложность перехода — с p=none на p=quarantine и p=reject требуется 2–3 месяца мониторинга логов, иначе можно полностью заблокировать свою почту.

Что проверить при выборе, чтобы не жалеть?

• Используйте DMARC-валидатор (например, MXToolbox) для анализа текущих записей — нет ли ошибок в синтаксисе (лишние пробелы, неверные приоритеты).
• Убедитесь, что ваш почтовый провайдер поддерживает DMARC агрегатные отчёты (rua) и судебные отчёты о развалинах (ruf). Если нет — перейти на p=reject опасно.
• Проверьте процесс аутентификации поддоменов — если у вас есть subdomain.example.com для тестов, они тоже должны быть под DMARC, иначе их можно спамить.
• Запросите статистику за 90 дней у команды безопасности — какой процент писем с вашего домена всё ещё проходит фильтры (соотношение SPF/DKIM провалов). Без этого вы не узнаете, сколько фишинга вы пропускаете.

Глоссарий на букву D — это не просто сухие термины. Каждое из них — это точка выбора с гарантиями (аптайм, производительность) и рисками (потеря трафика, уязвимости, скрытые расходы). Проверяйте SLA, тестируйте на реальном трафике и не доверяйте самоуверенным обещаниям — тогда ваш выбор будет осознанным, а сожалений не останется.

Добавлено: 27.04.2026