Iscriviti per ricevere notifiche di nuovi post:

Ognuno avrà un WAF!

15/03/2022

4 min di lettura

In Cloudflare, ci piacciono le idee dirompenti. Abbina questa cosa alla nostra convinzione fondamentale che la sicurezza sia qualcosa che dovrebbe essere accessibile a tutti e il risultato è un Internet migliore e più sicuro per tutti.

Non sono chiacchiere inutili. Ad esempio, nel 2014 abbiamo annunciato Universal SSL. Durante la notte, abbiamo fornito la crittografia SSL/TLS a oltre un milione di proprietà Internet senza che nessuno debba pagare un centesimo o configurare un certificato. Questo è stato positivo non solo per i nostri clienti, ma anche per tutti coloro che utilizzano il Web.

Nel 2017, abbiamo annunciato la mitigazione illimitata da attacchi DDoS. Non abbiamo mai chiesto ai clienti di pagare per la larghezza di banda DDoS perché non ci è mai sembrato giusto, ma ci è voluto del tempo per raggiungere le dimensioni della rete in cui potevamo offrire una mitigazione completamente illimitata per tutti, clienti paganti o meno.

Tuttavia, ricevo spesso la domanda: come riusciamo a farlo? È davvero semplice. Riusciamo a farlo costruendo una tecnologia eccezionale ed efficiente che si adatta bene e questo ci consente di mantenere bassi i costi.

Oggi lo stiamo facendo di nuovo, fornendo gratuitamente un set di regole gestite WAF (Web Application Firewall) Cloudflare a tutti i piani Cloudflare.

Perché lo facciamo?

Le vulnerabilità di alto profilo hanno un impatto importante su Internet, colpendo le organizzazioni di tutte le dimensioni. Lo abbiamo visto di recente con Log4J, ma anche prima, le principali vulnerabilità come Shellshock e Heartbleed hanno lasciato cicatrici su Internet.

I proprietari e i team di piccole applicazioni non hanno sempre il tempo di tenere il passo con le patch relative alla sicurezza in rapida evoluzione, causando la compromissione e/o l'utilizzo di molte applicazioni per scopi nefasti.

Con milioni di proprietà Internet dietro il proxy Cloudflare, abbiamo il dovere di aiutare a mantenere il Web sicuro. Ed è quello che abbiamo fatto con Log4J distribuendo regole di mitigazione per tutto il traffico, comprese le aree GRATUITE. Stiamo ora ufficializzando il nostro impegno fornendo un set di regole gestito gratuito Cloudflare a tutti i piani oltre al nostro nuovo motore WAF.

Quando lo facciamo?

Se hai un piano GRATUITO, stai già ricevendo protezione. Nei prossimi mesi, tutti gli utenti del nostro piano FREE riceveranno anche l'accesso all'interfaccia utente di Cloudflare WAF nel dashboard e saranno in grado di implementare e configurare il nuovo set di regole. Questo set di regole fornirà regole di mitigazione per vulnerabilità di alto profilo come Shellshock e Log4J, tra le altre.

Per accedere al nostro set più ampio di set di regole WAF (Cloudflare Managed Rules, Cloudflare OWASP Core Rulesset e Cloudflare Leaked Credential Check Rulesset) insieme alle funzionalità WAF avanzate, i clienti dovranno comunque eseguire l'aggiornamento a piani PRO o superiori.

La sfida

Con oltre 32 milioni di richieste HTTP al secondo inviate tramite proxy dalla rete globale di Cloudflare, eseguire il WAF su ogni singola richiesta non è un compito facile.

I WAF proteggono tutti i componenti della richiesta HTTP, inclusi i corpi, eseguendo una serie di regole, a volte note come firme, che cercano modelli specifici che potrebbero rappresentare un payload dannoso. Queste regole variano in complessità e più regole hai, più difficile sarà l'ottimizzazione del sistema. Inoltre, molte regole trarranno vantaggio dalle capacità delle espressioni regolari, consentendo all'autore di eseguire complesse logiche di corrispondenza.

Tutto ciò deve avvenire con un impatto di latenza trascurabile, poiché la sicurezza non dovrebbe comportare una riduzione delle prestazioni e molti proprietari di applicazioni si rivolgono a Cloudflare per ottenere vantaggi in termini di prestazioni.

Sfruttando il nostro nuovo Edge Rules Engine, su cui è stato costruito il nuovo WAF, siamo stati in grado di raggiungere i traguardi di prestazioni e memoria che ci fanno sentire a nostro agio e che ci consentono di fornire una buona protezione WAF di base per tutti. Entra nel nuovo set di regole gestito gratuito di Cloudflare.

Il set di regole gestito gratuito di Cloudflare

Questo set di regole viene distribuito automaticamente su qualsiasi nuova zona Cloudflare ed è appositamente progettato per ridurre al minimo i falsi positivi su una gamma molto ampia di tipi di traffico. I clienti potranno disabilitare il set di regole, se necessario, o configurare il filtro del traffico o le singole regole. Ad oggi, il set di regole contiene le seguenti regole:

  • Regole Log4J che corrispondono ai payload nelle intestazioni URI e HTTP
  • Regole shellshock
  • Regole che corrispondono a exploit WordPress molto comuni.

Ogni volta che una regola corrisponde, verrà generato un evento nella scheda Panoramica della sicurezza, consentendoti di esaminare la richiesta.

Implementazione e configurazione

Per tutte le nuove aree GRATUITE, il set di regole verrà distribuito automaticamente. Le regole sono state testate sulla rete Cloudflare e sono sicure da implementare sulla maggior parte delle applicazioni pronte all'uso. I clienti possono in ogni caso configurare ulteriormente il set di regole:

  • Sovrascrivendo tutte le regole per LOG o altre azioni.
  • Sovrascrivendo regole specifiche solo per LOG o altre azioni.
  • Disabilitando completamente il set di regole o qualsiasi regola specifica.

Tutte le opzioni sono facilmente accessibili tramite il dashboard, ma possono essere eseguite anche tramite API. La documentazione su come configurare il set di regole, una volta disponibile nell'interfaccia utente, sarà reperibile sul nostro sito per gli sviluppatori.

E poi?

Il set di regole gestite gratuite di Cloudflare verrà aggiornato da Cloudflare ogni volta che viene rilevata una vulnerabilità rilevante ad ampio raggio. Gli aggiornamenti al regolamento saranno pubblicati sul nostro log delle modifiche, in questo modo i clienti possono tenersi aggiornati su eventuali nuove regole.

Adoriamo costruire nuove fantastiche tecnologie. Ma ci piace anche renderle ampiamente disponibili e facili da usare. Siamo davvero entusiasti di rendere il Web molto più sicuro per tutti con un WAF che non ti costerà un centesimo. Se sei interessato a iniziare, fai clic qui per registrarti e ottenere un piano gratuito.

Proteggiamo intere reti aziendali, aiutiamo i clienti a costruire applicazioni su scala Internet in maniera efficiente, acceleriamo siti Web e applicazioni Internet, respingiamo gli attacchi DDoS, teniamo a bada gli hacker e facilitiamo il tuo percorso verso Zero Trust.

Visita 1.1.1.1 da qualsiasi dispositivo per iniziare con la nostra app gratuita che rende la tua rete Internet più veloce e sicura.

Per saperne di più sulla nostra missione di contribuire a costruire un Internet migliore, fai clic qui. Se stai cercando una nuova direzione professionale, dai un'occhiata alle nostra posizioni aperte.
Security Week (IT)WAF (IT)

Segui su X

Michael Tremante|@MichaelTremante
Cloudflare|@cloudflare

Post correlati

17 marzo 2022 alle ore 09:59

Cloudflare e CrowdStrike collaborano per fornire ai CISO un controllo sicuro su dispositivi, applicazioni e reti aziendali

Siamo molto lieti di annunciare numerose nuove integrazioni con CrowdStrike. Queste integrazioni combinano la potenza dell'ampia rete di Cloudflare e della suite Zero Trust con le offerte di Endpoint Detection and Response (EDR) di CrowdStrike e di correzione degli incidenti...