У цій статті ми розглянемо загрози та можливості Cloudflare
Технологія Cloudflare — це CDN (content delivery network — мережа доставлення контенту), яка пропонує більше можливостей, аніж стандартна CDN. Cloudflare забезпечує додатковий захист від зовнішніх атак, таких як DDoS-атаки, кешує статичні ресурси та дані вашого сайту, прискорює завантаження сайту (правда не завжди) і знижує навантаження на веб-хостинг. Це CDN, який знаходиться між Вашим доменом і Вашим веб-хостингом. Але навіть Cloudflare має свої загрози та можливості.
Що робить Cloudflare і як він працює
Cloudflare пропускає (працює як канал) увесь трафік, який потрапить на ваш сервер (на ваш сайт), щоб пройти через процес фільтрації Cloudflare. Далі на хостинг направляється лише перевірений трафік, так би мовити, чистий трафік. Cloudflare має різні рівні безпеки в залежності від спамерів і хакерів, яких ви хочете відфільтрувати ще до звернення до файлів на хостингу.
Слід враховувати, що це все-таки комерційна мережа доставлення контенту з інтегрованим захистом розподіленої відмови в обслуговуванні (DDoS). Вона може виступати зворотним проксі-сервером і сервером доменних імен для вашого веб-сайту. Вона пропонує корисний механізм переходу по IPv6, якщо ваш хостинг-провайдер не надає свій власний, рідний IPv6. Загалом звучить не погано.
Також Cloudflare — мережа доставлення контенту, яка виступає проміжним шаром (воротами) між вашим реальним хостингом і сайтом перегляду користувачів (через браузер), використовуючи ваше доменне ім’я. Це безкоштовна послуга з додатковими преміальними платними пакетами для сайтів з високим трафіком або іншими, завищеними вимогами. У Cloudflare багато дата-центрів по всьому світу, так що ваші відвідувачі будуть обслуговуватися найближчим до них дата-центром, що дозволяє швидко змінити свій веб-хостинг, не чекаючи оновлення NS серверів.
Використання Cloudflare
Ви можете використовувати Cloudflare у випадку, коли у вас обмежена пропускна здатність, занадто багато спаму, проблеми з DDoS або проблеми зі зломом сайту (наявність загроз або реальних атак). А також, якщо у вашого хостингу низька якість і проблеми з часом завантаження сайту або сайт занадто часто відключається. CloudFlare може зберігати статичні дані вашої веб-сторінки, такі як зображення, JavaScript і CSS, але не HTML.
Мережа доставлення контенту або CDN відрізняється від Cloudflare.
Ви можете використовувати альтернативне (додаткове) дзеркальне посилання CDN для передачі статичного контенту з CDN. CDN передає контент з найближчого місцеперебування, звідки подається запит, що прискорює подачу контенту. У цьому випадку браузеру не потрібно відправляти додаткову інформацію заголовку для статичного контенту, і ви можете зменшити розмір пакета, що передається, щоб прискорити час завантаження вашого сайту.
Якщо ви обслуговуєте контент CDN з того ж домену або субдомену, CDN може звільнити ваш сервер від обслуговування статичного контенту; він може обслуговувати контент з найближчого місцеперебування для кінцевого користувача, це дозволяє браузерам витягувати контент, що відповідає змісту вашого сайту, і це збільшує передачу контенту користувачеві.
Ви можете зайти на Cloudflare.com і зареєструватися для отримання безкоштовного облікового запису, додати свій домен і він автоматично визначить поточні сервери та IP-адресу поточного хосту. Досить вибрати потрібні параметри безпеки та кешу й натиснути “далі”, а потім скопіювати NS серверів, надані Cloudflare і додати їх у свій реєстратор доменних імен в налаштуваннях домену. Cloudflare зареєструє безкоштовний обліковий запис.
Плюси (переваги) використання Cloudflare
Cloudflare приховує вихідну IP-адресу вашого веб-хосту, так що не кожен хакер зможе організувати атаку на сервер; він кешує деякі (або всі) ресурси вашого сайту для швидкого завантаження і робить справжній сервер менш завантаженим; він дає вам можливість заблокувати майже всі DDoS-атаки.
Оскільки CloudFlare схожий на CDN, він може продовжувати обслуговувати кешовані дані більшості ваших веб-сторінок, навіть якщо ваш веб-сайт не працює. Він також дозволяє додавати декілька доменів. Ви можете заблокувати доступ до свого сайту з певних регіонів або країн. А ще він надає вам безкоштовний SSL сертифікат (з’єднання по захисному протоколу HTTPS), який ви також можете використовувати на хостингу.
Cloudflare можна користуватися безкоштовно, а у багатьох інших сервісах послуга CDN є платною. Оскільки ваш сайт фільтрується, і пропускається лише справжній трафік, ваш сайт може заощадити ресурси хостингу (наприклад, пропускну здатність), а також підвищити швидкість вашого сайту через виконуване кешування.
Ви можете відфільтрувати поганий (небезпечний або ненадійний) трафік. Сайт буде захищений від автоматичних ботів і спамерів. Не увесь трафік пропускається через Cloudflare, тому ви заощадите пропускну здатність, яку можете втратити через спамерів і хакерів. Статистика Cloudflare точніша, ніж статистика на основі JavaScript, тому що вона відстежує всю статистику трафіку, яку JavaScript може пропустити через заблокований вміст JavaScript або сторінки, які не завантажуються.
Cloudflare блокує DDoS і DoS.
DDoS — це атака на сервер для відправлення великої кількості автоматичних запитів на сервер з різних місць за короткий проміжок часу, щоб його відключити. Якщо ваша IP-адреса відома хакеру, Cloudflare може захистити ваш сервер від DDoS, коли зловмисник орієнтується безпосередньо на IP.
CloudFlare є посередником
між вашим сервером і вашими відвідувачами, конфіденційні дані яких проходять через сервер CloudFlare, коли вони доставляються клієнту. CloudFlare має можливість контролювати увесь ваш трафік, він може впровадити код в заголовки HTTP і на ваші веб-сторінки.
З Cloudflare зміни DNS відбуваються швидше,
тому що ваші DNS контролюються Cloudflare. Cloudflare допомагає зменшити непотрібний вхідний трафік. Cloudflare пропонує безкоштовні сертифікати HTTPS, HTTP/2 і SPDY для вашого домену, пропонує безкоштовні (HSTS) HTTP Strict Transport Security для вашого сайту; він дозволяє отримати доступ до вашого сайту через адресу IPV6, навіть якщо ваш сервер має адресу IPV4; він може мінімізувати CSS, Javascript і HTML.
Cloudflare може захистити ваш API,
обмежуючи кількість запитів протягом певного часу. Та це платна опція, яку можна налаштувати на сторінці конфігурації Cloudflare. Cloudflare проникає в код javascript та змінює код повернення сторінок; він змінює заголовки сторінок, може заблокувати веб-сайт, а також контролювати своїх відвідувачів і збирати інформацію про них.
Cloudflare дуже простий в налаштуванні та використанні.
Якщо ви користуєтесь CMS WordPress або Drupal і маєте доступ до вашого реєстратору доменних імен (для зміни NS серверів), CDN буде доставляти кешовані зображення та інші фрагменти й частини вашого сайту (але не HTML) відвідувачеві з одного чи декількох дата-центрів Cloudflare, розташованих по всьому світу, а не з вашого веб-серверу. Це мінімізує ваш HTML, Javascript і CSS. Результатом є відчутне поліпшення продуктивності вашого сайту.
Які мінуси Cloudflare?
З різних причин CloudFlare може уповільнити завантаження сторінки, а не прискорити її. Це нормально, коли між сервером і клієнтом додається крок (перехід); оскільки на веб-сайті CloudFlare мають бути виконані додаткові налаштування, неправильна конфігурація може призвести до простоїв та зниження трафіку. Тому, мало просто купити або самому під’єднати послугу CloudFlare, важливо також правильно налаштувати її. Це істотно вбереже Вас від проблем в роботі послуги.
Якщо ваш сайт не має достатньої кількості трафіку і вам потрібен захист від спаму та є загрози злому або DDoS-атаки, то треба знати, що у Cloudflare раніше були проблеми з власниками сайтів, які блокувалися через проблеми на сайті. Рекомендуємо періодично проводити penetration test від Datami.
Якщо ви використовуєте віртуальний хостинг (або VPN), вам може знадобитися перевірка здатності вашого хостингу підтримувати Cloudflare, адже часто більшість компаній з хостингу не підтримують Cloudflare. У Cloudflare встановлення додаткових субдоменів неможливе. Недостатньо інформації про дані, які кешуються.
Cloudflare пропонує обмежені правила безпеки.
Базовий/загальний захист Cloudflare чудовий, але якщо вам потрібні додаткові користувацькі правила для сторінок, то послуга може бути обмежена. Якщо ви використовуєте загальний веб-хостинг, то це хороше поліпшення, але якщо ви перебуваєте на виділеному сервері з запущеним Mod_Security та інтегрованим CSF, це може сильно обмежити можливості вашого серверу.
Cloudflare має обмежену статистику та аналітику.
Статистика загроз та атак дуже обмежена в даних. Щоденні звіти про трафік також обмежені. Тому потрібно додатково використовувати, наприклад, Google Analytics, що стає трохи проблематичним через обробку декількох джерел аналітики.
Безпека, надійність та відкритість Cloudflare
Свого часу, коли Cloudflare лише з’явився — це був відмінний і яскравий інструмент. Але пройшло багато часу і сьогодні Cloudflare пропускає через свою структуру більш ніж 30% всього світового інтернету. Залишається велике питання щодо децентралізації всього інтернету і трафіку в ньому.
Рік тому, 2 липня 2019 року Cloudflare зламався
і величезна кількість масштабних сайтів, додатків та цілих серверів були недоступні. У цій ситуації всі постраждалі клієнти сервісу потрапили у безвихідне становище. Перенаправити трафік в обхід NS серверів Cloudflare вони не мали можливості, а єдиний спосіб зміни NS серверів на свої особисті, займав би як мінімум добу, а в деяких випадках і до 3 діб. Простій тривав кілька годин, але в цей час всі компанії зазнали прямих збитків і багато хто серйозно задумався про залежність тисяч компаній від одного постачальника послуги.
Ускладнення для користувача при активному Cloudflare
полягає в тому, що якщо алгоритми сервісу ідентифікують вас як недобросовісного користувача, то у вас будуть величезні складнощі у відвідуванні того чи іншого сайту. Також важливо знати й те, що Cloudflare розшифровує дані, зашифровані вашим SSL сертифікатом, що передаються через HTTPS. Тобто послуга завжди працює через MiTM (Man-in-the-middle). Тобто Cloudflare підставляє свій SSL, розшифровує зашифровані дані, що передаються з вашого серверу — а після цього зашифровує дані своїм SSL сертифікатом.
Коротко кажучи, Cloudflare володіє доступом до всіх даних, що передаються вашим сайтом до користувача без винятку. Тепер уявіть собі ситуацію, коли зловмисники зламають Cloudflare — тоді всі захищені дані стануть доступними в одну мить.
Також не забуваємо й про те, що спецслужби країни, під юрисдикцією якої перебуває сервіс, можуть отримати доступ до всієї необхідної їм інформації за запитом. Виникає питання щодо доцільності SSL сертифікату взагалі, адже інформація з нього може бути доступна як спецслужбам, так і хакерам.
Цензура і Cloudflare
Становище складне також і з цензурою. Згадати тільки ситуацію з сайтом 8chan, якому компанія просто відмовила в обслуговуванні, визначивши контент на сайті аморальним. Тобто провайдер просто вирішив, що не обслуговуватиме сайт, оскільки він не відповідає правилам моралі. Це один з перших тривожних знаків у формуванні цензури на просторах інтернету. Тому, усім нам слід знати, що не варто зберігати усі дані в одному місці та довіряти одній особі; що одна комерційна компанія (мета якої — заробити гроші) має доступ до 30% світового трафіку інтернету, в тому числі до захищених даних, які тим паче не є захищеними; і, що компанія може передавати ці дані третій особі — самому Cloudflare. Компанія Datami пропонує повний комплекс інформаційної безпеки для компаній будь-якого рівня. Найпопулярніша послуга — цілодобовий моніторинг та захист сайту 24/7.
Ваш Datami.