Diese Woche feiert Cloudflare seinen siebten Geburtstag. Es ist für uns zur Tradition geworden, an jedem Tag dieser Woche eine Reihe von Produkten anzukündigen und unseren Kunden wichtige neue Vorteile zu bieten. Wir beginnen mit einer, auf die ich besonders stolz bin: Zeitlich unbeschränkte Abwehr.
CC BY-SA 2.0 Foto von Vassilis
Cloudflare betreibt eines der größten Netzwerke der Welt. Einer unserer wichtigsten Dienste ist die DDoS-Abwehr: Alle drei Minuten wehren wir einen neuen DDoS-Angriff auf unsere Kunden ab. Wir tun dies mit einer DDoS-Abwehrkapazität von über 15 Terabit pro Sekunde. Das ist mehr als die öffentlich ausgewiesene Kapazität aller anderen uns bekannten DDoS-Abwehrdienste zusammen. Und wir investieren weiter in unser Netzwerk, um die Kapazität immer schneller zu erweitern.
Preisgestaltung für Traffic-Anstiege
Praktisch jeder Cloudflare-Konkurrent schickt Ihnen eine höhere Rechnung, wenn Sie das Pech haben, von einem Angriff betroffen zu sein. Wir haben Beispiele von kleinen Unternehmen gesehen, die massive Angriffe überlebt haben, um dann durch die Rechnungen anderer Anbieter von DDoS-Abwehrsystemen in den Ruin getrieben zu werden. Seit der Gründung von Cloudflare hat es für uns nie Sinn gemacht, dass Sie mehr bezahlen müssen, wenn Sie angegriffen werden. Das kommt nahezu einer Erpressung ähnlich.
Mit der heutigen Ankündigung beseitigen wir den Branchenstandard des „Surge Pricing“ für DDoS-Angriffe – eines Preisanstiegs bei Traffic-Anstieg. Warum sollten Kunden mehr bezahlen, bloß um sich zu verteidigen? Es fühlt sich falsch an, mehr Geld zu verlangen, wenn der Kunde einen folgenreichen Angriff erlebt. Genauso wie die Preiserhöhungen bei Regen den Kunden von Ride-Sharing-Diensten schaden, wenn sie eine Fahrt am dringendsten benötigen.
Das Ende des FINT
Abgesehen davon haben wir in unserer Anfangszeit manchmal Kunden aus unserem Netzwerk ausgeschlossen, wenn ein Angriff so groß wurde, dass er andere Kunden beeinträchtigte. Intern bezeichneten wir dies als FINTing (für Fail INTernal) gegenüber dem Kunden.
Die Standards dafür, wann ein Kunde FINTed wurde, waren situationsabhängig. Wir hatten grobe Schwellenwerte, je nachdem, welchen Tarif sie hatten, aber die allgemeine Regel war, einen Kunden online zu halten, solange die Größe des Angriffs keine anderen Kunden beeinträchtigte. Wenn unsere automatisierten Systeme die Angriffe nicht selbst bewältigen konnten, konnte unser technisches Betriebsteam manuelle Schritte zum Schutz der Kunden mit höheren Tarifen einleiten.
Jeden Morgen erhalte ich eine Liste aller Kunden, die am Vortag FINTed wurden. In den letzten vier Jahren hat die Zahl der FINTs stark abgenommen. Tatsächlich ist unser Netzwerk heute so groß, dass wir in der Lage sind, selbst die größten DDoS-Angriffe abzuwehren, ohne dass dies Auswirkungen auf andere Kunden hat. Das wird fast immer automatisch erledigt. Und wenn ein manuelles Eingreifen erforderlich ist, ist unser Techops-Team inzwischen so erfahren, dass es nicht übermäßig anstrengend ist.
Auf einer Seite mit unseren Kunden
Heute, am ersten Tag unserer Birthday Week, machen wir es also für alle unsere Kunden offiziell: Cloudflare wird Kunden nicht mehr kündigen, unabhängig vom Ausmaß der DDoS-Angriffe, die sie erhalten, und unabhängig von der Tarifstufe, die sie nutzen. Und anders als in der Branche üblich, werden wir Ihre Rechnung nach dem Angriff nicht erhöhen. Das ist, offen gesagt, pervers.
CC BY-SA 2.0 Bild von Dennis Jarvis
Wir nennen dies Unmetered Mitigation – zeitlich unbeschränkte Abwehr. Dahinter steckt ein Grundgedanke: Sie sollten nicht mehr bezahlen müssen, um vor Tyrannen geschützt zu sein, die versuchen, Sie online zum Schweigen zu bringen. Egal, welchen Cloudflare-Tarif Sie nutzen – Free, Pro, Business oder Enterprise – wir werden Ihnen niemals sagen, dass Sie sich einen neuen Anbieter suchen sollen oder dass Sie uns wegen der Größe eines Angriffs mehr bezahlen müssen.
Die höheren Cloudflare-Tarife werden weiterhin noch detailliertere Berichte, Tools und Kundenunterstützung bieten, damit Sie unsere Schutzfunktionen noch besser auf die Bedrohungen abstimmen können, denen Sie online ausgesetzt sind. Aber die volumetrische DDoS-Abwehr ist jetzt offiziell unbegrenzt und zeitlich unbeschränkt.
Ein neuer Standard für die Branche
In der Cloudflare Birthday Week 2014 kündigten wir an, dass wir die Verschlüsselung für alle unsere Kunden kostenlos machen würden. Wir haben es getan, weil es das Richtige war und wir endlich die technischen Systeme entwickelt hatten, die wir brauchten, um es in großem Umfang zu tun. Damals sagten die Leute, wir seien verrückt. Ich bin stolz darauf, dass drei Jahre später der Rest der Branche unserem Beispiel gefolgt ist und die Verschlüsselung standardmäßig in allen Angeboten integriert ist.
Ich bin zuversichtlich, dass dies auch bei der DDoS-Abwehr der Fall sein wird. Wenn der Rest der Branche von der Praxis des Surge Pricing abrückt und standardmäßig eine DDoS-Abwehr integriert, würde dies DDoS-Angriffe weitgehend beenden. Wir haben heute einen Schritt in diese Richtung unternommen und hoffen, dass – wie bei der Verschlüsselung – der Rest der Branche folgen wird.Sie möchten mehr erfahren? Lesen Sie No Scrubs: The Architecture That Made Unmetered Mitigation Possible und Meet Gatebot - a bot that allows us to sleep.