我们在此欣然宣布,Cloudflare 已获评为 2021 年第一季度 Forrester WaveTM DDoS 防护解决方案领导者。请在此下载免费报告副本。
Forrester 公司安全与风险高级分析师 David Holmes 撰写的这份报告称,“Cloudflare 从边缘防护 DDoS 攻击,而且反应迅速……客户荐言将 Cloudflare 的边缘网络视为保护和交付应用程序方面一种令人叹服的方式。”
对所有用户开放的不计量和无限制 DDoS 保护
Cloudflare 的使命是帮助建设更美好的互联网——其中 DDoS 攻击的影响不再存在。在过去 10 年中,我们一直坚定不移地保护客户的互联网资产免受各种 DDoS 攻击影响。在2017年,我们宣布免费的不计量DDoS 保护,包含于 Cloudflare 的每一项服务和计划中,包括免费计划,旨在确保每一个组织都受到保护并维持可用性。
得益于我们自行开发的自动 DDoS 防护系统,我们能免费提供不计量和无限制的 DDoS 保护。我们的自动化系统持续异步分析流量样本以免影响性能。系统对OSI 模型的 3-7 层进行扫描以监测 DDoS 攻击。系统在 IP 数据包、HTTP 请求和 HTTP 响应中寻找模式。在发现攻击时,系统以临时缓解规则的形式生成一个实时签名。该规则传播至我们网络边缘上的最优位置,以获得经济高效的缓解:例如在 Linux 内核的 eXpress Data Path (XDP),Linux 用户空间 iptables 中或在 HTTP 反向代理中。由于采用这种经济高效的策略,我们能在不影响性能的情况下缓解最大容量的分布式攻击。
如需进一步了解 Cloudflare 的 DDoS 防护系统如何工作,请点击此处。
DDoS 攻击不断增加
我们希望说 DDoS 攻击已成为过去。但不幸的是,情况并非如此。
相反,我们继续观察到 DDoS 攻击的频率、复杂程度和地理分布每个季度都在增加。查看我们去年的报告( 2020 年第一季度,2020 年第二季度,2020 年第三季度和 2020 年第四季度),了解 Cloudflare Radar上的整体互联网流量趋势。
过去一年来,Cloudflare 观察到并自动缓解了一些最大型及可以说是最有创造性的网络攻击。由于攻击者所采取的方式日益大胆和狡猾,组织也在寻求对付这些攻击而不导致其提供的服务中断的方法。
组织遭遇 DDoS 勒索攻击
今年1月,我们分享了一则消息: 我们帮助一家财富全球 500 强企业 抗击一次 勒索型 DDoS 攻击并保持在线。这并非孤例。事实上,2020 年第四季度期间,17% 的受访 Cloudflare 客户报告收到一次 DDoS 勒索攻击或攻击威胁。2021 年第一季度,这个比例增加到 26% —— 大约四分之一受访者报告一次勒索威胁且网络基础设施遭受到一次 DDoS 攻击。
不管组织成为勒索型攻击还是业余“网络破坏主义”的目标, 使用一种需要时不用人工干预,不间断的自动化 DDoS 防护服务是非常重要的。我们能向客户提供这种级别的保护,对此感到无比自豪。
持续完善
随着攻击继续演变,使用我们服务的客户数量也在增加,Cloudflare 不断投资于我们的技术,从而总是领先于攻击者几步。我们进行了大量投资,增强缓解容量,优化检测算法,向客户提供更佳的分析能力。我们的目标是使 DDoS 攻击对所有客户的影响成为过去,正如 90 年代的垃圾邮件。
在 2019 年,我们推出了自主 DDoS 检测和缓解系统,dosd。作为我们缓解堆栈的一个组成部分,dosd 是完全软件定义的,利用 Linux 的 eXpress Data Path (XDP),让我们能迅速自动部署 eBPF 规则,对每个接收到的数据包进行检测——在边缘平均不到 3 秒即可缓解最复杂的攻击,并即时缓解其他普通攻击。其工作方式是检测攻击流量中的模式,然后迅速自动部署规则,在瞬息间击退攻击者。此外,dosd 在每个数据中心中独立运行,不依赖于集中式数据中心,这极大地增强了我们网络的韧性。
dosd 通过检测流量中的模式来缓解攻击的方式非常有效,但没有模式的攻击如何应对呢? 这时 flowtrackd 就有了用武之地。这是我们在 2020 年创建的新型 TCP 状态分类引擎,用于防御针对我们Magic Transit 客户的破坏性 L3/L4 攻击。这种技术能检测并缓解最随机、最复杂的攻击。此外,在 L7,我们也学习客户的流量基线并在其源服务器遭受压力时加以识别。在某个源服务器显示恶化迹象时,我们的系统就会启动_软_缓解,以便降低对服务器的影响并允许其恢复正常状态。
构建先进的 DDoS 防护系统不仅事关检测,也涉及到经济高效的缓解。基于这个要求,我们向全世界推出了 IP Jails:IP Jails 是一种gatebot 能力,可在不影响性能的情况下缓解最大容量的分布式攻击。在攻击容量显著增加时,gatebot 就会激活 IP Jails。这时,系统不再在 L7 进行阻止,取而代之,IP Jails 会暂时断开攻击 IP 地址(这些 IP 地址产生的请求匹配 gatebot 所创建的攻击签名)的连接。IP Jails 利用 Linux iptables 机制来在瞬间丢弃数据包。在 L4 断开 L7 攻击极大地提高了成本效益,我们的客户和站点可靠性工程团队均从中受益。
鉴于我们观察到和缓解的攻击日益复杂,为了向我们的客户提供更佳的可见性和洞察,我们在 2019 年推出了 防火墙分析 (Firewall Analytics)仪表板。该仪表板提供了对 L7 层 HTTP 应用程序安全和 DDoS 活动的洞察,并允许客户在分析仪表板中直接配置规则 ,从而缩短了事件响应的反馈循环。在2020年, 我们为 Magic Transit 和 Spectrum 企业客户发布了针对 L3/4 活动的同等功能仪表板,即 网络分析(Network Analytics) 仪表板。网络分析仪表板提供对数据包级别流量和 DDoS 攻击活动的洞察,同时提供定期的洞察与趋势(Insights and Trends)。作为这些仪表板的补充,并为我们的用户在其需要时提供正确的信息,我们推出了实时 DDoS 警报 以及定期 DDoS 报告 ——直接投递到您的邮箱。您也可以选择直接投送到 SIEM 仪表板。
Cloudflare 在策略类别获得最高分
今年,由于我们先进的 DDoS 保护能力,Cloudflare 在策略类别获得最高分,并在当前提供产品类别进入前三名。此外,我们在该报告的 15 项标准中获得最高分数,包括:
威胁检测
爆发性攻击
响应自动化
实施速度
产品愿景
性能
安全运营中心(SOC)服务
我们相信,我们今天的成绩源于过去几年来对我们全球 Anycast 网络的持续投资——这是我们向客户提供的所有服务的基础。
我们的网络具备可扩展的架构设计——每一项服务都运行于遍布全球 200 多个城市的每一个 Cloudflare 数据中心中的每一台服务器。与报告中的部分其他供应商相反,Cloudflare 的每一项服务都是从我们的每一个边缘数据中心交付的。
集成的安全和性能
一家领先的应用性能监测公司使用了 Cloudflare 的无服务器计算和内容交付服务。该公司最近告诉我们,他们希望将其性能和安全服务整合到一个供应商。他们放弃了原有的 L3 服务提供商,并启用 Cloudflare 的应用和网络服务(Magic Transit),以便获得更轻松的管理和更佳的支持。
我们越来越多地看到这种情况。使用单一云提供商以获得一体化安全和性能服务的益处不可胜数:
管理更轻松 —— 用户可通过单一仪表板和单一 API 端点管理 Cloudflare 的所有服务,例如 DDoS 保护,WAF,CDN, 机器人管理和无服务器计算。
深度服务集成 —— 我们的所有服务都是深度集成的,用户得以充分利用 Cloudflare 的强大功能。例如,机器人管理规则是通过我们的应用程序防火墙部署的。
故障排除更轻松 —— 我们的客户在排除故障时只有一个联系点,而不必联系多个供应商。我们还通过攻击求助热线提供即时人工响应。
更低延迟 —— 由于我们的每一项服务都是从我们所有数据中心交付的,不存在任何性能损失。例如,从 DDoS 服务到机器人管理服务到 CDN 服务没有额外的路由跃点。
然而,并非所有云服务都是相同的,当今大多数供应商都不能提供一套全面和健壮的解决方案。Cloudflare 具有独特的架构,能够提供一个拥有全明星产品阵容的集成解决方案,例如:
CDN:2020 年度 Garnet Peer Insights “客户之声”: 全球 CDN 评选中荣获“客户之选”领导者称号(1)
DDoS:在 2020 年度 Gartner DDoS 云清洗中心解决方案比较报告中获得最多最高分 (2)
WAF:Cloudflare 成为 2020 年度Gartner Web 应用程序防火墙魔力象限报告中的挑战者(在“执行能力”项目获得最高排名)(3)
零信任:Cloudflare为 2020 年 Omidia 市场雷达:零信任访问报告中的领导者(4)
机器人管理:2020 年SPARK Matrix 机器人管理市场领导者(5)
集成解决方案:2020 年 Frost & Sullivan 全面 Web 保护市场创新领导者(6)
我们很高兴获评为 2021 年第一季度 Forrester Wave™ DDoS 防护解决方案领导者,并将继续不懈努力,如报告所述,保持为客户“保护和交付应用程序的一个令人叹服的方式”。
要进一步了解 Cloudflare 的 DDoS 保护,请在此联系我们。如需试用 Cloudflare 服务,请在此注册。
.........
1https://www.gartner.com/reviews/market/global-cdn/vendor/cloudflare/product/cloudflare-cdn
2https://www.gartner.com/en/documents/3983636/solution-comparison-for-ddos-cloud-scrubbing-centers
3Gartner,“Web 应用程序防火墙魔力象限”,分析师:Jeremy D'Hoinne、Adam Hils、John Watts、Rajpreet Kaur,2020 年 10 月 19日。 https://www.gartner.com/doc/reprints?id=1-249JQ6L1&ct=200929&st=sb
4https://www.cloudflare.com/lp/omdia-zero-trust