订阅以接收新文章的通知:

欢迎光临 Security Week 2022!

2022-03-13

6 分钟阅读时间
这篇博文也有 EnglishFrançaisDeutschItaliano日本語한국어Español繁體中文版本。

近期发生的一系列事件使网络安全成为许多讨论的焦点。

Welcome to Security Week 2022!

在俄罗斯入侵乌克兰后,世界各国政府正在鼓励企业增强安全防御。目前的威胁比以往严重得多,任何组织如果拥有面向互联网的基础设施,都要将安全作为今年的头等大事。

为了使服务保持在线,Cloudflare 也在参与关键基础设施防御项目,确保团队能获得最佳的帮助,以保护易受网络威胁破坏的网络和应用程序,例如医疗、供水和能源领域。

作为另一个例子,不久前 Log4J 爆出一个高危漏洞,影响了很多基于 Java 的应用程序,而在这一攻击途径公诸于众仅几个小时后,攻击者就已经开始扫描存在漏洞的应用程序了,这也凸显了良好的安全性在互联网上有多重要。

不幸的是,这些事件几乎肯定不会成为给我们的最后提醒。在接下来的六天里,我们打算以一个简单的目标来解决网络安全这个宽泛的话题:确保安全不再是事后才想到的事情

然而,安全也是很难的,而且您永远不知道“是否已经做得足够”。良好安全措施的重要性绝不应被低估。可靠、安全的应用程序确保互联网正常运行:从保持网站在线以确保对重要信息的访问,到保护用户数据免被窃取和滥用。

但并非每个人都是安全专家。

因此,Cloudflare 一直致力于为棘手的问题提供技术复杂的解决方案,并使这些解决方案普遍可用。本周内,我们将宣布一系列产品改进、新产品、大胆的想法以及合作关系,其中包括我们将向所有 Cloudflare 用户免费提供的一些新功能。

开始前,我们希望先退后一步,回顾一下我们过去走过的路,这是了解我们未来目标的最佳方式。这就是我希望在本文要做的事情。我将在本文中列出本周哪些天将做出相关宣布,以便您适时查看。

欢迎来到 Security Week。

回到最初:保护网站

七年前我加入 Cloudflare 时,我们的安全产品主要面向网站所有者:DNSDDoS 缓解Web 应用程序防火墙(WAF)SSL/TLS。作为 HTTP 反向安全代理,我们可以保护流量并阻止恶意负载。同时,我们立即开始致力于使底层协议更快、更安全。通过一次部署,我们可以升级数百万个互联网资产的 TLS 版本,拦截非 HTTP 端口上的容量耗尽型 DDoS 攻击,并编写规则来保护数以百万计的 WordPress 管理页面。

Security Week:保护网站依然是我们业务的一个核心部分。本周前三天(周一到周三),您将会了解到一系列重要的改进,涉及我们每天浏览 web 都会使用到的技术,从 TLS 到我们的 web 应用程序防火墙(WAF)和自定义规则。我们向发布一些激动人心的公告,涉及所有人,包括我们的免费计划用户。

应用程序 > 网站

显而易见,互联网上很大一部分流量是自动化的。在任何时候,机器人都占总流量的 30% 或更多,峰值超过 40%。有鉴于此,我们在 Cloudflare 平台上开发了更多先进的工具,例如机器人管理(Bot Management)

很多机器人连接到并非为人类访问而设计的应用程序并使用其数据,带来有别于标准网站的全新安全挑战。API 现已非常普遍,在通过 Cloudflare 代理的所有 web HTTP 请求中,占大约 54%

Security Week:在我们帮助客户管理自动化流量和保护 API 端点的现有产品基础上,我们做了一些很棒的改进,并希望在周三通过这里与大家分享。同时,Cloudflare 能提供帮助的 API 安全用例和管理用例正在迅速增多。

覆盖所有协议

我们的重点始终是不断扩大网络,同时提高 DNS 和 HTTP 服务的可靠性。显然,下一步就是开放对其他协议的代理。毕竟,HTTP 只是互联网上使用的众多协议之一。

目前,已经有很多企业客户使用我们的 Spectrum 产品保护任意基于 TCP/UDP 的应用程序和端点。我们已更进一步,允许客户与 Cloudflare 互联并保护来自 Cloudflare 边缘的原始 IP 流量。

游戏服务器、自定义物联网协议、串流服务等现在均能获得无限扩展并无缝工作的 DDoS 缓解和 Magic Firewall 过滤能力。

Security Week:我们的团队一直努力改进这些产品,如果您正在通过 Cloudflare 代理非 HTTP 流量,那么您将会在周四听到一些令人兴奋的消息。

这些客户大多数代理 OSI 模型 3-4 层的流量。但我们也在努力将代理范围扩大到堆栈的更高层。最高效的安全解决方案需要了解应用层的数据,而一直以来 Cloudflare 的巨大缺口就是电子邮件流量 —— 网络攻击的头号手段。

Security Week:您可能已经听说我们最近收购 Area 1 的意图 对此,我们将在周一宣布令人兴奋的消息,敬请关注。

反转代理,保护用户

我们能反转 Cloudflare 代理本身并将其开放给一个正向代理用例,事后来看这一意识似乎十分显然,但远非如此。通过专注于正向代理安全策略,我们突然之间就能保护用户了,而不仅仅是应用和服务器。

连接到互联网的任何用户现在都能将 Cloudflare 配置为 DNS 解析器正向代理,从而获得更安全的互联网体验。这就是 Cloudflare Zero Trust

在这一刻,“代理”不再能够清晰定义我们正在构建的东西,而“网络”是一个合适得多的术语。事实上,正如计算中很多东西不断自己重复那样,网络再一次成为了计算机

网络效应(无双关意思)并非马上就显而易见的。假设一个用户使用 Cloudflare 作为 DNS 解析器来访问位于 Cloudflare 后的一个应用程序:从 DNS 到 HTTP 的整个过程都会在最靠近该最终用户的入网点发生。因此,我们将不断扩大我们的网络。个中好处不可估量,安全深植于每一个步骤,而且性能毫发无损。

如果上述用户隶属于运营该应用程序的组织,那么 Zero Trust 概念对任何人都变得可用且能轻松部署。VPN 等老旧的系统成为昨日黄花,您不再需要笨拙复杂的基础设施来保护网络,让我们距离安全大众化更近一步。

Security Week:如果您正在使用 Cloudflare Zero Trust,并在尝试保护内部网络,我们将分享一些重大的产品改进。

Cloudflare 是一个智能安全网络。

这把我们带到了今天。曾几何时,安全性就是指创建安全的环境——城堡加护城河。但移动和云计算打破了这种范式。没有任何地方是安全的,即使有安全的地方,您的用户和应用程序也不会在那里逗留太长时间。他们正在哪里工作呢?在家里?在国外?在世界各地?您的应用程序也在不断移动。

在这种范式中,思考安全性的合理方式不是创建一个物理的飞地。取而代之,您需要通过专注于互联网的一个基本组成部分——网络——来创建一个虚拟的飞地。

换句话说,您需要确保您的每一个设备、每一个办公室、每一台服务器都连接到一个安全的网络。这就是 Cloudflare 正在打造的东西:一个将您的用户和您的应用程序连接起来的网络,无论他们位于何处,并将安全和隐私作为核心基础来提供。

为了做得更好,我们需要成为领导者

拥有优秀技术并不足够。易于使用和创新的想法来自人。这也是为什么我们是自己的首批用户,使用我们所有的产品。而我们要求最高的客户之一就是我们的内部安全团队。我们也不能单枪匹马就做到这一切。我们所有人同心协力非常重要,我们已经付出了很多努力,与其他网络安全公司进行合作,分享洞察和数据,并整合我们的产品,以提供更好的体验。

本周结束时,我们将分享最佳实践,从保护 Cloudflare 网络所获得的洞察,以及 Cloudflare 安全团队正在努力开发的一些项目。我们也将宣布一些与该领域其他知名公司达成的新合作关系。

一周时间仍不足够。

我们为这个 Security Week 准备了 75 项公告,尽管还没有打算占用两周时间,但 6 日之内肯定无法全部容纳。我们正在大踏步向前迈进,不仅在下一周内,也在 2022 年全年,我们对此充满信心。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
Security Week

在 X 上关注

Michael Tremante|@MichaelTremante
Cloudflare|@cloudflare

相关帖子

2024年3月08日 14:05

Log Explorer: monitor security events without third-party storage

With the combined power of Security Analytics + Log Explorer, security teams can analyze, investigate, and monitor for security attacks natively within Cloudflare, reducing time to resolution and overall cost of ownership for customers by eliminating the need to forward logs to third-party SIEMs...