En Cloudflare, nos gustan las ideas disruptivas. Si lo unimos a nuestra convicción fundamental de que la seguridad es algo que debería estar al alcance de cualquiera, el resultado es una red de Internet mejor y más segura para todos.
No es palabrería. Por ejemplo, en 2014 anunciamos Universal SSL. De la noche a la mañana, ofrecimos cifrado SSL/TLS a más de un millón de propiedades de Internet sin coste y sin la necesidad de configurar certificados. Este servicio no solo benefició a nuestros clientes, sino también a todos los usuarios de la web.
En 2017, anunciamos la mitigación de DDoS ilimitada. Nunca hemos pedido a los clientes que paguen por el ancho de banda de DDoS porque no nos parecía bien, pero nos llevó algún tiempo alcanzar un tamaño de red adecuado para poder ofrecer una mitigación completamente ilimitada para todos, tanto para clientes de pago como para los usuarios del plan gratuito.
Aun así, a menudo me preguntan: ¿cómo lo hacemos? Es muy sencillo. Desarrollamos una tecnología brillante y eficiente que escala sin problema, lo que nos permite mantener los costes bajos.
Hoy, volvemos a hacerlo con nuestro conjunto de reglas administradas de Cloudflare WAF (Firewall de aplicaciones web), que ponemos a disposición de los clientes de todos nuestros planes de forma gratuita.
¿Por qué lo hacemos?
Las vulnerabilidades de alto perfil impactan de forma significativa en Internet y afectan a organizaciones de todos los tamaños. Lo hemos visto recientemente con Log4J, pero incluso antes de eso, vulnerabilidades importantes como Shellshock y Heartbleed han dejado secuelas en todo Internet.
Los equipos y propietarios de aplicaciones a pequeña escala no siempre tienen tiempo para estar al corriente de los parches de seguridad, lo que hace que muchas aplicaciones estén expuestas a riesgos o se utilicen con fines malintencionados.
El proxy de Cloudflare protege a millones de propiedades de Internet, de ahí que tengamos el deber de ayudar a mantener la web segura. Y eso es lo que hicimos con Log4J, implementar reglas de mitigación para todo el tráfico, incluidas las zonas gratuitas. Ahora formalizamos nuestro compromiso ofreciendo gratuitamente un conjunto de reglas administradas a los clientes de todos los planes de Cloudflare, además de nuestro nuevo motor WAF.
¿Cuándo vamos a hacerlo?
Si estás suscrito a un plan gratuito, ya te estás beneficiando de nuestra protección. En los próximos meses, todos los usuarios de nuestro plan de zona gratuita también recibirán acceso a la interfaz de usuario de Cloudflare WAF en el panel de control. Además, podrán implementar y configurar el nuevo conjunto de reglas que ofrecerá reglas de mitigación para vulnerabilidades de alto perfil como Shellshock y Log4J, entre otras.
Para acceder a todos nuestros conjuntos de reglas WAF (nuestras reglas administradas, conjunto de reglas básicas de OWASP y nuestro conjunto de reglas de comprobación de credenciales filtradas), así como a las funciones WAF avanzadas, los clientes tendrán que actualizar su suscripción a un plan PRO o superior.
Desafío
Con más de 32 millones de solicitudes HTTP por segundo que se redireccionan mediante proxy a través de la red global de Cloudflare, ejecutar el WAF en cada una de las solicitudes no es tarea fácil.
Los WAF protegen todos los componentes de las solicitudes HTTP, incluidos los cuerpos, ejecutando un conjunto de reglas, a veces denominadas firmas, que buscan patrones específicos que podrían representar una carga útil maliciosa. Estas reglas varían en complejidad, y cuantas más reglas tengas, más difícil será optimizar el sistema. Además, muchas reglas aprovecharán las ventajas de las capacidades de expresiones regulares, lo que permitirá al creador realizar una lógica de coincidencia compleja.
Todo ello apenas tiene que impactar en la latencia, ya que la seguridad no debe ir en detrimento del rendimiento, y muchos propietarios de aplicaciones recurren a nosotros por nuestras soluciones de rendimiento.
Nuestro nuevo Motor de reglas de perímetro, sobre el que se ha desarrollado el nuevo WAF, nos ha permitido alcanzar los hitos de rendimiento y memoria que nos hacen sentir bien y ofrecer una buena base de protección WAF a todo el mundo. Entra en juego el nuevo Conjunto gratuito de reglas administradas de Cloudflare.
Conjunto gratuito de reglas administradas de Cloudflare
Este conjunto de reglas se implementa de forma automática en cualquier zona nueva de Cloudflare y está especialmente diseñado para reducir al mínimo los falsos positivos en una amplia variedad de tráfico. Los clientes podrán desactivar el conjunto de reglas, si es necesario, o configurar el filtrado de tráfico o reglas individuales. A día de hoy, el conjunto de reglas contiene:
- Reglas de Log4J que coinciden con las cargas útiles en el URI y los encabezados HTTP.
- Reglas Shellshock.
- Reglas que coinciden con las amenazas muy comunes de WordPress.
Siempre que una regla coincida, se generará un evento en la pestaña Información general de seguridad, que te permitirá inspeccionar la solicitud.
Implementación y configuración
Para todas las nuevas zonas gratuitas, el conjunto de reglas se implementará de forma automática. Las reglas se prueban en la red de Cloudflare y son seguras para implementarlas en la mayoría de las aplicaciones sin necesidad de configuración. En cualquier caso, para seguir configurando el conjunto de reglas, los clientes pueden:
- Anular todas las reglas para REGISTRAR u otra acción.
- Anular reglas específicas solo para REGISTRAR u otra acción.
- Desactivar completamente el conjunto de reglas o cualquier regla específica.
Todas las opciones son fácilmente accesibles a través del panel de control, pero también pueden realizarse a través de la API. Podrás consultar la documentación sobre cómo configurar el conjunto de reglas, una vez que esté disponible en la interfaz de usuario, en nuestro sitio para desarrolladores.
¿Y después?
Actualizaremos nuestro conjunto de reglas administradas cada vez que se detecte una vulnerabilidad relevante de amplio alcance. Las actualizaciones del conjunto de reglas se publicarán en nuestro registro de cambios, de forma que los clientes puedan estar al tanto de las nuevas reglas.
Nos encanta desarrollar tecnología atractiva, pero también queremos que todo el mundo pueda acceder a ella y que sea fácil de usar. Estamos muy entusiasmados con la idea de hacer que la web sea mucho más segura para todos con un WAF que no te costará nada. Si te interesa, solo tienes que hacer clic aquí para registrarte en nuestro plan gratuito.