Bei Cloudflare mögen wir Ideen, die Veränderung bringen. Außerdem sind wir der festen Überzeugung, dass jeder ein Recht auf Sicherheit hat und das Internet dadurch für alle besser und gefahrloser wird.

Das sind keine hohlen Phrasen. Beispielsweise haben wir im Jahr 2014 Universal SSL präsentiert. Damals stellten wir über Nacht SSL/TLS-Verschlüsselung für mehr als eine Million Websites und Internetanwendungen bereit, ohne dass irgendwer auch nur einen Cent dafür bezahlen oder ein Zertifikat konfigurieren musste. Davon haben nicht nur unsere Kunden profitiert, sondern jeder, der im Internet unterwegs ist.

2017 stellten wir dann die zeitlich unbeschränkte DDoS-Abwehr vor. Wir haben von unseren Kunden nie verlangt, für die bei DDoS-Angriffen in Anspruch genommene Bandbreite aufzukommen, weil uns das falsch erschien. Doch es dauerte einige Zeit, bis unser Netzwerk die erforderliche Größe erreichte, um eine zeitlich völlig unbeschränkte DDoS-Abwehr für alle bereitzustellen – ob zahlende Kunden oder nicht.

Man stellt mir aber oft die Frage, wie wir das schaffen. Das ist eigentlich ganz einfach. Es gelingt uns, indem wir großartige und effiziente Technologie entwickeln, die sich gut skalieren lässt. Auf diese Weise können wir die Kosten niedrig halten.

Jetzt knüpfen wir daran an, indem wir bei allen Cloudflare-Tarifen kostenlos eine WAF (Web Application Firewall) mit verwaltetem Regelsatz bereitstellen.

Warum tun wir das?

Aufsehenerregende Sicherheitslücken haben gewaltige Auswirkungen auf das Internet und Unternehmen unterschiedlichster Größe. Dies ließ sich kürzlich bei Log4J beobachten. Doch auch frühere schwerwiegende Schwachstellen wie Shellshock und Heartbleed sind am World Wide Web nicht spurlos vorübergegangen.

Kleine Anwendungsbetreiber und Teams haben nicht immer Zeit, sich bezüglich der rasanten Entwicklung bei Sicherheitspatches auf dem Laufenden zu halten, sodass viele Anwendungen kompromittiert bzw. für unlautere Zwecke missbraucht werden können.

Cloudflare dient Millionen Websites und Internetanwendungen als Proxy. Daher haben wir die Pflicht, dafür zu sorgen, dass das Internet sicher bleibt. Und genau das haben wir bei Log4J durch die Anwendung von Abwehrregeln auf den gesamten Traffic einschließlich des Datenverkehrs in den FREE-Zonen getan. Jetzt bekräftigen wir unser Engagement durch die Bereitstellung eines kostenlosen von Cloudflare verwalteten Regelsatzes (Cloudflare Free Managed Ruleset) zusätzlich zu unserer neuen WAF-Engine.

Wann ist es soweit?

Wenn Sie den FREE-Tarif nutzen, sind Sie bereits geschützt. In den nächsten Monaten erhalten darüber hinaus auch alle Nutzer unseres FREE-Zonen-Tarifs im Dashboard Zugang zur Benutzeroberfläche der Cloudflare-WAF. So werden sie in der Lage sein, den neuen Regelsatz anzuwenden und zu konfigurieren. Dieser wird Abwehrregeln für bekannte Sicherheitslücken wie Shellshock und Log4J umfassen.

Um unsere breitere Palette an WAF-Regelsätzen (Managed Rules, OWASP Core Ruleset und Leaked Credential Check Ruleset) sowie erweiterte WAF-Funktionen nutzen zu können, müssen Kunden weiterhin über einen PRO-Tarif oder eine höhere Tarifoption verfügen.

Herausforderung

Da pro Sekunde 32 Millionen HTTP-Anfragen durch das globale Cloudflare-Netzwerk geleitet werden, ist es alles andere als leicht, die WAF bei jeder einzelnen Anfrage einzusetzen.

WAFs sichern alle Bestandteile einer HTTP-Anfrage einschließlich des Nachrichtenrumpfs (Body) durch das Anwenden einer Reihe von Regeln, die auch als Signaturen bezeichnet werden. Diese suchen nach bestimmten Mustern, die auf einen schädlichen Payload hinweisen können. Solche Regeln sind unterschiedlich komplex und je mehr davon eingesetzt werden, desto schwerer lässt sich ein System optimieren. Viele Regeln machen sich Regex-Funktionen zunutze, was die Anwendung komplexer Abgleichslogik erlaubt.

All dies darf die Latenz jedoch nicht wesentlich steigern, schließlich sollte Sicherheit nicht auf Kosten der Performance gehen. Dies insbesondere deswegen, weil sich viele Anwendungsbetreiber gerade deshalb an Cloudflare wenden, weil sie sich eine bessere Performance erhoffen.

Durch den Einsatz unserer neuen Edge Rules Engine, auf der die neue WAF aufbaut, konnten wir für uns akzeptable Werte bei Performance und Speicher erreichen. Das erlaubt es uns, jedem einen soliden WAF-Basisschutz zu bieten. Weg frei für den neuen kostenlosen verwalteten Regelsatz von Cloudflare!

Der kostenlose verwaltete Regelsatz von Cloudflare

Dieser Regelsatz kommt automatisch bei jeder neuen Cloudflare-Zone zum Einsatz und ist speziell darauf ausgelegt, falsch-positive Ergebnisse bei einem sehr breiten Spektrum an Traffic-Typen auf ein Mindestmaß zu reduzieren. Die Kunden werden ihn wenn nötig deaktivieren oder den Traffic-Filter oder einzelne Regeln selbst konfigurieren können. Aktuell umfasst er folgende Regeln:

  • Log4J-Regeln zum Abgleich von Nutzlasten in der URI und den HTTP-Headern;
  • Shellshock-Regeln;
  • Regeln für sehr häufige WordPress-Exploits;

Kommt eine Regel zum Einsatz, wird dies immer in der Registerkarte „Sicherheitsübersicht“ in Form einer Ereignismeldung angezeigt, sodass die betreffende Anfrage geprüft werden kann.

Einsatz und Konfiguration

Der Regelsatz wird automatisch auf alle neuen FREE-Zonen angewandt. Die Regeln haben sich im Cloudflare-Netzwerk bereits bewährt und können für die meisten Anwendungen sofort eingesetzt werden. In jedem Fall können die Kunden die Konfiguration des Regelsatzes in folgender Weise anpassen:

  • Überlagern aller Regeln durch „LOG“ (reines Protokollieren) oder eine andere Aktion
  • Überlagern bestimmter Regeln durch „LOG“ oder eine andere Aktion
  • Vollständiges Deaktivieren des Regelsatzes oder beliebiger Einzelregeln

Alle Optionen sind über das Dashboard leicht zugänglich, können aber auch über die API ausgeführt werden. Die Dokumentation zur Konfiguration des Regelsatzes finden Sie, sobald er in der Benutzeroberfläche verfügbar ist, auf unserer Seite für Developer.

Was kommt als Nächstes?

Cloudflare aktualisiert den kostenlosen verwalteten Regelsatz immer dann, wenn eine relevante weitreichende Sicherheitslücke entdeckt wird. Updates für den Regelsatz werden in unserem Änderungsprotokoll veröffentlicht, damit sich die Kunden jederzeit über neue Regeln informieren können.
Wir lieben es, spannende neue Technik zu entwickeln. Genauso gern sorgen wir aber dafür, dass die Technologie der Allgemeinheit verfügbar gemacht wird und leicht zu benutzen ist. Daher freuen wir uns sehr, das Web mit einer WAF, die Sie nichts kostet, für alle erheblich sicherer machen zu können. Wenn Sie sich selbst ein Bild machen möchten, können Sie sich hier für unseren Free-Tarif registrieren.