В этой статье мы рассмотрим угрозы и возможности Cloudflare
Технология Cloudflare — это CDN (content delivery network — сеть доставки контента), которая предлагает больше возможностей, чем стандартная CDN. Cloudflare обеспечивает дополнительную защиту от внешних атак, таких как DDoS-атаки, кэширует статические ресурсы и данные вашего сайта, ускоряет загрузку сайта (правда не всегда) и снижает нагрузку на веб-хостинг. Это CDN, который находится между Вашим доменом и Вашим веб-хостингом. Но даже Cloudflare имеет свои угрозы и возможности.
Что делает Cloudflare и как он работает
Cloudflare пропускает (работает как канал) весь трафик, который попадет на ваш сервер (на ваш сайт), чтобы пройти через процесс фильтрации Cloudflare. Далее на хостинг направляется только проверенный трафик, так сказать чистый трафик. Cloudflare имеет разные уровни безопасности в зависимости от спамеров и хакеров, которых вы хотите отфильтровать еще до обращения к файлам на хостинге.
Надо учитывать, что это все-таки коммерческая сеть доставки контента с интегрированной защитой распределенного отказа в обслуживании (DDoS). Она может выступать в качестве обратного прокси-сервера и сервера доменных имен для вашего веб-сайта. Она предлагает полезный механизм перехода по IPv6, если ваш хостинг-провайдер не представляет свой собственный родной IPv6. Звучит в принципе не плохо.
Также Cloudflare — сеть доставки контента, которая выступает в качестве промежуточного слоя (воротами) между вашим реальным хостингом и сайтом просмотра пользователей (через браузер), используя ваше доменное имя.
Это бесплатная услуга с дополнительными премиальными платными пакетами для сайтов с высоким трафиком или другими более завышенными требованиями. У него много дата-центров по всему миру, так что ваши посетители будут обслуживаться ближайшим к ним дата-центром, что позволяет быстро сменить свой веб-хостинг, не дожидаясь обновления NS серверов.
Использование Cloudflare
Вы можете использовать Cloudflare в тех случаях, когда у вас ограниченная пропускная способность, слишком много спама, проблемы с DDoS или проблемы с взломом сайта (наличие угроз или реальных атак). А также, если у вашего хостинга низкое качество и проблемы со временем загрузки сайта или сайт слишком часто отключается. CloudFlare может хранить статические данные вашей веб-страницы, такие как изображения, JavaScript и CSS, но не HTML.
Сеть доставки контента или CDN отличается от Cloudflare.
Вы можете использовать альтернативную (дополнительную) зеркальную ссылку CDN для передачи статического контента из CDN. CDN передает контент из ближайшего местоположения, откуда запрашивается контент, что ускоряет подачу контента. В этом случае браузеру не нужно отправлять дополнительную информацию заголовка для статического контента, и вы можете уменьшить размер передаваемого пакета, чтобы ускорить время загрузки вашего сайта.
Если вы обслуживаете контент CDN из того же домена или субдомена, CDN может освободить ваш сервер от обслуживания статического контента, он может обслуживать контент из ближайшего местоположения для конечного пользователя, это позволяет браузерам извлекать контент, соответствующему содержанию вашего сайта, и это увеличивает передачу контента к пользователю.
Вы можете зайти на Cloudflare.com и зарегистрироваться для получения бесплатной учетной записи, добавить свой домен и он автоматически определит текущие серверы и IP-адрес текущего хоста. Достаточно выбрать нужные параметры безопасности и кэша и нажать «далее», а затем скопировать NS серверов, предоставленные Cloudflare и добавить их в свой регистратор доменных имен в настройках домена. Cloudflare зарегистрирует бесплатную учетную запись.
Плюсы (преимущества) использования Cloudflare
Cloudflare скрывает исходный IP-адрес вашего веб-хоста, так что не каждый хакер сможет организовать атаку на сервер, он кэширует некоторые (или все) ресурсы вашего сайта для быстрой загрузки и делает реальный сервер менее загруженным, он дает вам возможность заблокировать почти все DDoS-атаки.
Поскольку CloudFlare похож на CDN, он может продолжать обслуживать кэшированные данные большинства ваших веб-страниц, даже если ваш веб-сайт не работает. Он также позволяет добавлять несколько доменов. Вы можете заблокировать доступ к своему сайту определенных регионов или стран. Еще предоставляет вам бесплатный SSL сертификат (соединение по защитному протоколу HTTPS), который вы также можете использовать на хостинге.
Cloudflare можно взять бесплатно, а у многих других сервисов услуга CDN платная. Поскольку ваш сайт фильтруется и пропускается только подлинный трафик, ваш сайт может сэкономить ресурсы хостинга (пропускная способность к примеру), а также повысить скорость вашего сайта из-за выполняемого кэширования.
Вы можете отфильтровать плохой (небезопасный или не надежный)трафик. Сайт будет защищен от автоматических ботов и спамеров. Не весь трафик пропускается через Cloudflare, поэтому вы сэкономите пропускную способность, которую вы можете потерять из-за спамеров и хакеров. Статистика Cloudflare более точная, чем статистика на основе JavaScript, потому что она отслеживает всю статистику трафика, которую JavaScript может пропустить из-за заблокированного содержимого JavaScript или страниц, которые не загружаются.
Cloudflare блокирует DDoS и DoS.
DDoS — это атака на сервер для отправки большого количества автоматических запросов на сервер из разных мест за короткий промежуток времени, чтобы его отключить. Если ваш IP-адрес известен хакеру, Cloudflare может защитить ваш сервер от DDoS когда злоумышленник ориентируется на IP напрямую.
CloudFlare является посредником
между вашим сервером и вашими посетителями, конфиденциальные данные которых проходят через сервер CloudFlare, когда они доставляются клиенту. CloudFlare имеет возможность контролировать весь ваш трафик, он может внедрить код в заголовки HTTP и на ваши веб-страницы.
С Cloudflare изменения DNS происходят быстрее,
потому что ваши DNS контролируются Cloudflare.
Cloudflare помогает уменьшить бесполезный входящий трафик. Cloudflare предлагает бесплатные сертификаты HTTPS, HTTP/2 и SPDY для вашего домена, предлагает бесплатные (HSTS) HTTP Strict Transport Security для вашего сайта, он позволяет получить доступ к вашему сайту через адрес IPV6, даже если ваш сервер имеет адрес IPV4, он может минимизировать CSS, Javascript и HTML.
Cloudflare может защитить ваш API,
ограничивая количество запросов в течение определенного времени. Правда это платная опция, которую можно настроить на странице конфигурации Cloudflare. Cloudflare внедряет в код javascript и изменяет код возврата страниц, он изменяет заголовки страниц, он может заблокировать веб-сайт, а также контролировать своих посетителей и собирать информацию о них.
Cloudflare очень прост в настройке и использовании.
Если вы используете CMS WordPress или Drupal и имеете доступ к вашему регистратору доменных имен (для изменения NS серверов), CDN будет доставлять кэшированные изображения и другие фрагменты и части вашего сайта (но не HTML) посетителю из одного из нескольких дата-центров Cloudflare, расположенных по всему миру, а не с вашего веб-сервера. Это минимизирует ваш HTML, Javascript и CSS. Результатом является ощутимое улучшение производительности вашего сайта.
Какие минусы Cloudflare?
По некоторым причинам CloudFlare может замедлить загрузку страницы, а не ускорить ее. Это нормально, когда между сервером и клиентом добавляется шаг (переход), поскольку на веб-сайте CloudFlare должны быть выполнены дополнительные настройки, неправильная конфигурация может привести к простоям и снижению трафика. Поэтому не достаточно купить или самому подключить услугу CloudFlare, важно также правильно настроить ее. Это существенно убережет Вас от проблем в работе услуги.
Если ваш сайт не имеет достаточного количества трафика и вам нужна защита от спама и есть угрозы взлома или DDoS-атаки, то надо знать, что у Cloudflare ранее были проблемы с владельцами сайтов, которые блокировались из-за проблем на сайте. Рекомендуем периодически проводить penetration test от Datami
Если вы используете виртуальный хостинг (или VPN), вам может потребоваться проверить, поддерживает ли ваш хостинг Cloudflare, часто большинство компаний по хостингу не поддерживают Cloudflare. В Cloudflare установка дополнительных субдоменов невозможна. Недостаточно информации о данных, которые кэшируется.
Cloudflare предлагает ограниченные правила безопасности.
Базовая/общая защита Cloudflare великолепна, но если вам нужны пользовательские дополнительные правила для страниц, то услуга может быть ограничена. Если вы используете общий веб-хостинг, это хорошее улучшение, но если вы находитесь на выделенном сервере с запущенным Mod_Security и интегрированным CSF, это может сильно ограничить возможности вашего сервера.
Cloudflare имеет ограниченную статистику и аналитику.
Статистика угроз и атак очень ограничена в данных. Ежедневные отчеты о трафике также ограничены. Поэтому надо дополнительно использовать например тот же Google Analytics, что становится немного проблематично из-за обработки нескольких источников аналитики.
Безопасность, надежность и открытость Cloudflare
В свое время, когда Cloudflare только появился — это был отличный и яркий инструмент. Но прошло много времени и сегодня Cloudflare пропускает через свою структуру более 30% всего мирового интернета. Остается большой вопрос в децентрализации всего интернета и трафика в нем.
Год назад 2 июля 2019 года Cloudflare сломался
и огромное количество крупных сайтов, приложений и целых серверов были недоступны. В этой ситуации все пострадавшие клиенты сервиса оказались в ситуации, из которой не было выхода. Перенаправить трафик в обход NS серверов Cloudflare они не имели возможности, а единственный способ смены NS серверов на свои личные занимал бы времени как минимум сутки, а в некоторых случаях и до 3-х суток. Время простоя было несколько часов, но в это время все компании несли прямые убытки и многие серьезно задумались о зависимости тысяч компаний от одного поставщика услуги.
Усложнение для пользователя при активном Cloudflare
заключается в том, что если алгоритмы сервиса посчитают Вас недобросовестным пользователем, то у вас будут огромные мучения посетить тот или иной сайт.
Также немаловажно знать и том, что Cloudflare расшифровывает данные, зашифрованные вашим SSL сертификатом, передаваемые через HTTPS. То есть услуга всегла работает через MiTM (Man-in-the-middle). То есть он подставляет свой SSL, расшифровывает зашифрованные данные, передаваемые с вашего сервера — а после зашифровывает данные своим SSL сертификатом.
Грубо говоря Cloudflare имеет доступ ко всем без исключения данным, передаваемые вашим сайтом к пользователю. Теперь представьте себе ситуацию, когда злоумышленники взломают Cloudflare — тогда все защищенные данные станут доступными в один миг.
Также, не забываем и о том, что спецслужбы страны, под юрисдикцией которой находится сервис могут получить доступ по запросу ко всей необходимой им информации. Возникает вопрос вообще целесообразности SSL сертификата, информация с которого может быть доступна и спецслужбам и хакерам.
Цензура и Cloudflare
Ситуация сложная также и с цензурой. Вспомнить только ситуацию с сайтом 8chan, которому компания просто отказала в обслуживании, посчитав контент на сайте аморальным. То есть провайдер просто взял и решил — не будем обслуживать сайт, так как он не отвечает нашим правилам морали. Это один из первых звоночков в сторону формирования цензуры на просторах интернета.
Поэтому всем нам стоит знать, что не стоит все данные хранить в одном месте и доверять одному лицу, что одна коммерческая компания (у которой цель — заработать деньги) имеет доступ к 30% мирового трафика интернета, в том числе защищенным данным, которые более не являются защищенными и могут передавать эти данные тому же третьему лицу — самому Cloudflare. Компания Datami предлагает полный комплекс информационной безопасности для любого уровня компаний. Самая популярная услуга — круглосуточный мониторинг и защита сайта 24/7
Ваш Datami.