Die Ereignisse der jüngsten Zeit haben dafür gesorgt, dass Cybersicherheit vielerorts ins Zentrum der Aufmerksamkeit gerückt ist.

Auf der ganzen Welt werden nach der Invasion der Ukraine Unternehmen vom Staat ermutigt, ihre Schutzmaßnahmen zu verstärken. Die Bedrohungslage hat sich erheblich verschärft und für jede Firma, deren Infrastruktur mit dem Internet verbunden ist, sollte Sicherheit dieses Jahr an oberster Stelle stehen.

Um zur Aufrechterhaltung der Online-Verfügbarkeit von Diensten beizutragen, beteiligt sich Cloudflare auch an dem Critical Infrastructure Defense Project. Dabei wird sichergestellt, dass Mitarbeitende die bestmögliche Unterstützung bei der Absicherung von Netzwerken und Anwendungen erhalten, die anfälliger für Cyberbedrohungen sind. Das betrifft insbesondere den medizinischen Bereich sowie die Wasser- und Energieversorgung.

Ein weiteres aktuelles Beispiel ist Log4J, eine schwerwiegende Sicherheitslücke, von der viele Java-basierte Anwendungen betroffen waren. Auch dieser Fall hat hat die große Bedeutung robuster Sicherheitsvorkehrungen im Internet aufgezeigt, da Angreifer bereits wenige Stunden nach Bekanntwerden dieses neuen Angriffsvektors begonnen hatten, nach anfälligen Applikationen zu suchen.

Leider werden diese Vorfälle höchstwahrscheinlich nicht die letzten sein, die uns Schwachstellen vor Augen führen. In den nächsten sechs Tagen wollen wir uns dem breitgefächerten Thema Cybersicherheit widmen. Dabei verfolgen wir ein einfaches Ziel: dafür zu sorgen, dass der Bereich Sicherheit künftig nicht mehr stiefmütterlich behandelt wird.

Für wirksamen Schutz zu sorgen, ist allerdings alles andere als einfach – vor allem, da man nie weiß, wann genug getan ist. Die Bedeutung einer Sicherheitsstrategie, die Hand und Fuß hat, kann gar nicht überbewertet werden. Zuverlässige und sichere Anwendungen sorgen dafür, dass das Internet richtig funktioniert. Das reicht von Websites, deren Online-Erreichbarkeit für den Zugriff auf wichtige Informationen sichergestellt wird, bis hin zum Schutz von Nutzerdaten vor Diebstahl und Missbrauch.

Doch nicht jeder ist Sicherheitsprofi.

Aus diesem Grund galt bei Cloudflare immer schon der Grundsatz, technisch ausgefeilte Lösungen auf knifflige Probleme anzuwenden und sie der Allgemeinheit zugänglich zu machen. Wir stellen Ihnen diese Woche unter anderem verschiedene Produktverbesserungen, neue Angebote und ambitionierte Ideen und Partnerschaften vor – darunter einige großartige neue Funktionen, die wir allen Cloudflare-Kunden künftig kostenfrei zur Verfügung stellen werden.

Um besser zu verstehen, wohin die Reise geht, wollen wir aber erst einen Blick zurück auf unsere bisherige Geschichte werfen. Genau das möchte ich in diesem Blogbeitrag tun. In werde auch darauf hinweisen, an welchen Wochentagen jeweils relevante Ankündigungen zu erwarten sind. So wissen Sie, wann Sie bei uns vorbeischauen sollten.

Willkommen zur Security Week 2022.

Zurück zum Anfang: Absicherung von Webseiten

Als ich vor sieben Jahren bei Cloudflare anfing, war unser Sicherheitsangebot in erster Linie auf Website-Betreiber ausgerichtet: DNS, DDoS-Abwehr, Web Application Firewall (WAF) und SSL/TLS. Als HTTP-Reverse-Proxy konnte Cloudflare für die Sicherheit des Datenverkehrs sorgen und schädliche Payloads fernhalten. Gleichzeitig begannen wir sofort an der Beschleunigung und besseren Absicherung der zugrundeliegenden Protokolle zu arbeiten. Im Zuge einer einzigen Implementierung konnten wir die TLS-Version für einen großen Teil der Websites und Internetanwendungen aktualisieren, volumetrische DDoS-Angriffe auf Nicht-HTTP-Ports stoppen und Regeln für den Schutz von Millionen WordPress-Admin-Seiten verfassen.

Security Week: Der Schutz von Websites ist nach wie vor ein wichtiger Bestandteil unseres Geschäfts. In der ersten Wochenhälfte (Montag bis Mittwoch) erfahren Sie von zahlreichen wichtigen Verbesserungen von Technologien, die wir alle täglich beim Surfen im Internet verwenden: von TLS bis hin zu unserer Web Application Firewall (WAF) und benutzerdefinierten Regeln. Nicht nur unsere zahlenden Kunden können sich auf großartige Neuigkeiten freuen, sondern auch solche, die unsere kostenlose Tarifoption nutzen.

Anwendungen > Websites

Es wurde relativ schnell deutlich, dass ein großer Teil des Internet-Traffics automatisiert ist. Bots machen zu jedem Zeitpunkt mindestens 30 % des gesamten Datenverkehrs aus, die Höchstwerte liegen über 40 %. Dies veranlasste uns dazu, auf der Cloudflare-Plattform ausgefeiltere Tools wie das Bot-Management zu entwickeln.

Viele dieser Bots verbinden sich mit Anwendungen, die nicht auf menschliche Benutzung ausgelegt sind, und beziehen von diesen Applikationen Daten. Dadurch ergeben sich gegenüber einer normalen Website ganz neue Sicherheitsherausforderungen. APIs sind inzwischen weit verbreitet und machen etwa 54 % aller über den Cloudflare-Proxy geleiteten Web-HTTP-Anfragen aus.

Security Week: Wir haben von einigen großartigen, auf bestehenden Produkten aufbauenden Weiterentwicklungen zu berichten, mit denen unseren Kunden die Verwaltung von automatisiertem Datenverkehr und der Schutz von API-Endpunkten erleichtert wird. Wir werden eine schnell wachsende Zahl von Anwendungsfällen für API-Sicherheit vorstellen, bei denen Cloudflare Hilfestellung leisten kann.

Abdeckung aller Protokolle

Unser Schwerpunkt lag immer auf der Erweiterung des Netzwerks bei gleichzeitiger Verbesserung der Ausfallsicherheit unserer DNS- und HTTP-Dienste. Es bot sich daher an, im nächsten Schritt den Proxy-Dienst für andere Protokolle zu öffnen. Schließlich ist HTTP nur ein Web-Protokoll unter vielen.

Etliche unserer Enterprise-Kunden sichern bereits beliebige TCP/UDP-basierte Anwendungen und Endpunkte mithilfe unseres Spectrum-Produkts ab. Wir sind nun einen Schritt weitergegangen und erlauben es Kunden, Interconnections mit Cloudflare herzustellen und ungefilterten IP-Traffic von der Cloudflare-Edge abzusichern.

Gaming-Server, benutzerdefinierte IoT-Protokolle, Streamingdienste und Finanzanwendungen können nun alle von der DDoS-Abwehr und den Filterfunktionen von Magic Firewall profitieren, die unbegrenzt skalierbar sind und reibungslos funktionieren.

Security Week: Unsere Beschäftigten haben hart an der Verbesserung dieser Produkte gearbeitet. Wenn Sie also Cloudflare als Proxy für Nicht-HTTP-Datenverkehr nutzen, können wir Ihnen am Donnerstag ein paar spannende Neuerungen präsentieren.

Die meisten Kunden nutzen einen Proxy für ihren Traffic auf Schicht 3–4 des OSI-Modells. Wir arbeiten jetzt aber auch daran, dieses Angebot auf höhere Ebenen auszuweiten. Die wirkungsvollsten Sicherheitslösungen müssen die Daten auf Anwendungsschicht erfassen. Bisher bestand bei Cloudflare eine große Lücke beim E-Mail-Traffic, dem wichtigsten Einfallstor für Kompromittierungen.

Security Week: Vielleicht haben Sie von unseren aktuellen Plänen zur Übernahme von Area 1 gehört. Sie können sich für Montag schon einmal auf eine spannende Ankündigung zu diesem Thema gefasst machen.

Schutz der Nutzer durch Umkehrung des Proxy

Der Gedanke, den Cloudflare-Proxy quasi „umzudrehen“ und ihn für einen Forward-Proxy-Anwendungsfall zu öffnen, liegt im Nachhinein auf der Hand. Tatsächlich war die Idee keineswegs offensichtlich. Indem wir uns auf eine Forward-Proxy-Sicherheitsstrategie konzentriert haben, konnten wir plötzlich nicht nur Anwendungen und Server, sondern auch die Nutzer schützen.

Jeder User, der sich mit dem Internet verbindet, kann nun Cloudflare als DNS-Resolver und Forward-Proxy konfigurieren und so im Web von einer zusätzlichen Sicherheitsebene profitieren. Hier kam die Zero Trust-Lösung von Cloudflare ins Spiel.

Ab diesem Zeitpunkt war „Proxy“ nicht mehr der passende Begriff, um das zu beschreiben, was wir entwickeln wollten. Der Begriff „Netzwerk“ war eine viel geeignetere Bezeichnung. Tatsächlich wiederholen sich viele Dinge in der Informatik und so wurde das Netzwerk wieder zum Computer.

Die Netzwerkeffekte (kein Wortspiel beabsichtigt) sind nicht sofort offenkundig. Stellen Sie sich einen Nutzer vor, der Cloudflare zur DNS-Auflösung verwendet und auf eine Anwendung zugreift, die sich hinter Cloudflare befindet: Die gesamte Transaktion – von der DNS-Auflösung bis zur HTTP-Übermittlung – kann in dem Rechenzentrum mit der geringsten Entfernung zum Endnutzer stattfinden. Darum werden wir auch in nächster Zeit unser Netzwerk weiter ausbauen. Die Vorteile sind unermesslich und Sicherheit ist bei jedem einzelnen Schritt integriert, ohne dass die Performance leidet.

Handelt es sich bei diesem Nutzer um einen Beschäftigten des Unternehmens, das die Anwendung betreibt, sind Zero Trust-Konzepte für jedermann zugänglich und einfach zu implementieren. Alte Systeme wie VPNs sind zunehmend überholt, da heute zur Absicherung eines Netzwerks keine sperrige und komplexe Infrastruktur mehr benötigt wird. Damit kommen wir einer Gewährleistung der Sicherheit für alle einen Schritt näher.

Security Week: Wenn Sie die Zero Trust-Lösung von Cloudflare nutzen und versuchen, interne Netzwerke zu schützen, sollten Sie am Freitag bei uns vorbeischauen, denn dann halten wir ein paar fantastische Produktoptimierungen für Sie bereit.

Cloudflare: ein intelligentes und sicheres Netzwerk

Damit wären wir wieder in der Gegenwart angelangt. Früher bedeutete Sicherheit, geschützte Umgebungen auf Grundlage des Perimetermodells zu schaffen. Doch dann kamen Mobilgeräte und die Cloud. Heute gilt kein Ort mehr als sicher, und selbst wenn es einen solchen Ort irgendwo gäbe, würden sich Nutzer und Anwendungen vermutlich nicht lang dort aufhalten. Die modernen User arbeiten im Homeoffice und sind womöglich über das ganze Land verteilt – wenn nicht sogar über die ganze Welt. Auch die Applikationen sind ständig in Bewegung.

Wer unter diesen Bedingungen für Sicherheit sorgen möchte, wird natürlich kein bestimmtes physisches Gebiet schützen. Stattdessen muss eine Art virtuelle Enklave geschaffen werden, indem man sich auf eine Grundkomponente des Internets konzentriert: das Netzwerk.

Es muss mit anderen Worten sichergestellt werden, dass jedes Gerät, jedes Büro und jeder Server mit einem sicheren Netzwerk verbunden ist. Bei Cloudflare entwickeln wir genau das: Ein auf den Grundsätzen der Sicherheit und des Datenschutzes beruhendes Netzwerk, das Nutzer ortsunabhängig mit Anwendungen verbindet und umgekehrt.

Für Fortschritte braucht es Vorreiter

Großartige Technologie allein reicht nicht aus. Benutzerfreundliche und innovative Ideen werden von Menschen erdacht. Deshalb nutzen wir alle unsere Produkte auch zuerst intern im Unternehmen, um sie auf Herz und Nieren zu prüfen. Unser eigenes Sicherheitsteam zählt zu den anspruchsvollsten Kunden von Cloudflare. Allein können wir unsere Ziele aber nicht erreichen. Deshalb ist Zusammenarbeit unglaublich wichtig. Wir haben uns intensiv um Partnerschaften mit anderen Cybersicherheitsfirmen bemüht, um Erkenntnisse und Daten auszutauschen und unsere Produkte gegenseitig zu integrieren, damit wir unsere Nutzer besser zufriedenstellen können.

Am Ende dieser Woche werden wir bewährte Vorgehensweisen, Erfahrungswerte aus der Absicherung des Cloudflare-Netzwerks und eine Reihe aktueller Projekte unseres Sicherheitsteams präsentieren. Außerdem werden wir einige neue Partnerschaften mit anderen renommierten Unternehmen in diesem Bereich vorstellen.

Eine Woche ist zu kurz

Ursprünglich wurden für die Security Week über 75 Ankündigungen vorgeschlagen. Bislang haben wir noch nicht entschieden, unseren Themenschwerpunkt auf 14 Tage auszudehnen. Uns war aber in jedem Fall klar, dass wir nicht alle Punkte in sechs Tagen abhandeln können. Wir sind zuversichtlich, dass wir nicht nur in der nächsten Woche, sondern im gesamten Jahr 2022 große Fortschritte erzielen werden.