Suscríbete para recibir notificaciones de nuevas publicaciones:

Inspección de HTTP/3 en Cloudflare Gateway

2022-06-24

3 min de lectura
Esta publicación también está disponible en English, 日本語, 한국어 y 简体中文.

Hoy, nos complace anunciar que la próxima compatibilidad de HTTP/3 con Cloudflare Gateway, nuestra puerta de enlace web segura integral. Actualmente, el 25 % de Internet se basa en HTTP/3, que ofrece una experiencia de navegación más rápida, sin poner en riesgo la seguridad. Hasta ahora, los administradores que querían filtrar e inspeccionar los sitios web o las API habilitados para HTTP/3 tenían que poner en riesgo el rendimiento al recurrir a HTTP/2, o perder la visibilidad al omitir la inspección. Con la compatibilidad con HTTP/3 en Cloudflare Gateway, puedes tener una visibilidad total de todo el tráfico y proporcionar la experiencia de navegación más rápida a tus usuarios.

HTTP/3 inspection on Cloudflare Gateway

¿Por qué la web está adoptando HTTP/3?

La tecnología HTTP es una de las más antiguas que hacen posible Internet. En 1996, la seguridad y el rendimiento eran aspectos secundarios, y la encriptación la gestionaba la capa de transporte. Este modelo no se adapta a las necesidades de rendimiento actuales de Internet, y llevó a reemplazar HTTP con HTTP/2, y ahora con HTTP/3.

HTTP/3 acelera la actividad de navegación con el uso de QUIC, un protocolo de transporte moderno que siempre está encriptado por defecto. Proporciona un rendimiento más rápido, al reducir los viajes de ida y vuelta entre el usuario y el servidor web, y es más eficaz para usuarios que tengan conexiones poco fiables. Para obtener más información sobre las ventajas de rendimiento de HTTP/3, consulta nuestro blog anterior aquí.

Desarrollo y adopción de HTTP/3

La misión de Cloudflare es ayudar a mejorar Internet. Consideramos HTTP/3 un elemento fundamental para que Internet sea más rápido y seguro. Hemos trabajado estrechamente con el IETF para reiterar los documentos de los estándares HTTP/3 y QUIC. Estos esfuerzos, junto con los progresos realizados por los navegadores más populares, como Chrome y Firefox, para activar QUIC por defecto, han llevado a que el 25 % de todos los sitios web ahora utilicen HTTP/3, y a un análisis todavía más exhaustivo.

En los últimos años, hemos recomendado mucho HTTP/3. Primero añadimos la compatibilidad con QUIC de la capa de transporte subyacente en septiembre de 2018 y, a partir de ahí, trabajamos para añadir la compatibilidad con HTTP/3 para nuestros servicios de proxy inverso el año siguiente, en septiembre de 2019. Desde entonces, no hemos reducido nuestros esfuerzos, y hoy proporcionamos compatibilidad con la última revisión de HTTP/3, utilizando el identificador final "h3" que coincide con RFC 9114.

Obstáculos de la inspección HTTP/3

Aunque HTTP/3 tiene muchas ventajas, su introducción ha llevado a que los administradores que quieren filtrar e inspeccionar el tráfico HTTP en sus redes se enfrenten a una mayor complejidad de implementación y a desventajas en materia de la seguridad. HTTP/3 ofrece la conocida semántica de solicitud y respuesta de HTTP, pero el uso de QUIC cambia su aspecto y comportamiento "en el cable". Puesto que QUIC se ejecuta sobre UDP, es arquitectónicamente distinto de los protocolos heredados basados en TCP, y apenas es compatible con las puertas de enlace web seguras heredadas. Como resultado de la combinación de estos dos factores, para los administradores supone un desafío mantenerse al día acerca del panorama tecnológico en continua evolución, al mismo tiempo que se mantienen las expectativas de rendimiento de los usuarios y se garantiza la visibilidad y el control del tráfico de Internet.

Sin la adecuada compatibilidad de puerta de enlace web segura para HTTP/3, los administradores han tenido que elegir entre poner en riesgo la seguridad y/o el rendimiento para sus usuarios. Las concesiones en materia de seguridad incluyen no inspeccionar el tráfico UDP, o peor aún, renunciar a funciones de seguridad fundamentales como el análisis antivirus en línea, la prevención de pérdida de datos, el aislamiento de navegador y/o el registro del tráfico. Naturalmente, para cualquier organización preocupada por la seguridad, descartar la seguridad y la visibilidad no es un enfoque aceptable, y esto ha llevado a los administradores a desactivar proactivamente HTTP/3 en sus dispositivos de usuario final. Esto aumenta la complejidad de la implementación y sacrifica el rendimiento, ya que requiere desactivar la compatibilidad con QUIC en los navegadores web de los usuarios.

Cómo activar la inspección HTTP/3

Una vez que la compatibilidad con la inspección HTTP/3 esté disponible para determinados navegadores a finales de este año, podrás activar la inspección HTTP/3 en el panel de control. Una vez iniciada la sesión en el panel de control de Zero Trust, deberás activar el redireccionamiento mediante proxy, hacer clic en la casilla correspondiente al tráfico UDP y activar el descifrado TLS en Configuración > Red > Firewall. Una vez activados estos ajustes, es posible aplicar el escaneado AV, el aislamiento remoto del navegador, DLP y el filtrado HTTP mediante las políticas HTTP a todo el tráfico HTTP redireccionado mediante proxy de tu organización.

¿Y ahora qué?

Los administradores ya no tendrán que hacer concesiones en materia de seguridad en función de la evolución del panorama tecnológico, y podrán centrarse en la protección de su organización y de sus equipos. Cuando la inspección HTTP/3 esté disponible, nos pondremos en contacto con todos los clientes de Cloudflare One. Nos complace simplificar las implementaciones de puertas de enlace web seguras para los administradores.

La inspección del tráfico HTTP/3 estará disponible para todos los administradores de todos los tipos de planes. Si todavía no te has registrado, haz clic aquí para empezar.

Protegemos redes corporativas completas, ayudamos a los clientes a desarrollar aplicaciones web de forma eficiente, aceleramos cualquier sitio o aplicación web, prevenimos contra los ataques DDoS, mantenemos a raya a los hackers, y podemos ayudarte en tu recorrido hacia la seguridad Zero Trust.

Visita 1.1.1.1 desde cualquier dispositivo para empezar a usar nuestra aplicación gratuita y beneficiarte de una navegación más rápida y segura.

Para saber más sobre nuestra misión para ayudar a mejorar Internet, empieza aquí. Si estás buscando un nuevo rumbo profesional, consulta nuestras ofertas de empleo.
Cloudflare One WeekCloudflare GatewayHTTP3Cloudflare OneCloudflare Zero TrustZero Trust

Síguenos en X

Ankur Aggarwal|@Encore_Encore
Cloudflare|@cloudflare

Publicaciones relacionadas

23 de octubre de 2024, 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

15 de octubre de 2024, 13:00

Protect against identity-based attacks by sharing Cloudflare user risk scores with Okta

Uphold Zero Trust principles and protect against identity-based attacks by sharing Cloudflare user risk scores with Okta. Learn how this new integration allows your organization to mitigate risk in real time, make informed access decisions, and free up security resources with automation....

08 de octubre de 2024, 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...