今天,我们宣布推出 Zone Holds,这是一项面向 Enterprise 计划客户的新功能,让他们可以控制其他人是否以及何时可以将同一区域添加到另一个 Cloudflare 帐户。当公司的多个团队想要使用 Cloudflare 时,一个团队可能会意外地进入另一个团队的区域,并尝试在两个帐户中管理同一区域。使用 Zone Holds,除了区域帐户所有者授予明确权限的情况外,可以强制只有一个帐户能够包含给定域(可选择包含子域或自定义主机名),从而确保这种情况不会发生。
今天可能出现的问题
Cloudflare 已经要求在通过我们的全球网络代理流量之前通过 DNS 对区域进行身份验证。这可确保只有域所有者才能授权通过 Cloudflare 发送和控制流量。然而,我们的许多客户都是大型组织,许多团队都在努力保护和加速他们的 Web 资产。在这些情况下,一个团队可能没有意识到给定域已受到 Cloudflare 的保护。如果他们在 Cloudflare 中激活同一域的第二个实例,他们最终会替换另一个团队已经使用 Cloudflare 管理的原始区域。这可能会造成停机或安全问题,直到可以重新激活原始区域为止。如果这两个团队相互了解并进行沟通,那么在大多数情况下,可以通过多种选项之一来避免问题——子域、自定义主机名等。我们如何确保这些团队在犯这些错误之前意识到潜在的风险?
Zone Holds 如何保护客户
使用 Zone Holds,任何添加被保留域的尝试都会返回错误,让用户知道他们需要先联系域所有者。默认情况下,所有企业区域均启用 Zone Holds。可以从“区域概览”屏幕管理保留。或者,可以扩展保留以应用于子域和自定义主机名。禁用保留时,您可以将保留设置为在设定的时间后重新启用。这可以确保您不会意外地使保留永久禁用。让我们深入研究一个示例,了解 Zone Holds 如何帮助客户。
活动区域保留不包括保护子域
Example Corp:在使用 Zone Holds 前
Example Corp 是 Cloudflare 的大客户。具体来说,他们的基础设施团队使用 Cloudflare 来保护 example.com 上的所有流量。这包括其营销网站 www.example.com 和面向客户的 API api.example.com。当他们使用 Cloudflare 时,他们让管理公司所有 DNS 的 IT 部门在注册商处设置 DNS 记录,使 example.com 的所有流量都通过 Cloudflare 路由。
一年后,他们的市场部希望采用 Cloudflare 的机器人管理解决方案来处理 www.example.com 上的流量。他们注册了 example.com,并联系 IT 部门在注册商处设置所提供的 NS 记录。IT 部门没有意识到 Cloudflare 已经在使用中,因此他们没有考虑到这将影响基础设施团队管理的现有区域。新区域被激活后发生了网络事件,不仅 www.example.com 的流量受到影响,api.example.com 的流量也受到了影响。如果有了 Zone Holds,这一事件就可以避免。让我们看看是如何避免的。
Example Corp:现在采用 Zone Holds 后
Example Corp 注册 Cloudflare 并将 example.com 添加到其帐户中作为 ENT 区域。域上将自动启用 Zone Hold,这将阻止任何其他 Cloudflare 帐户添加 example.com。他们还可以为 example.com 域下的任何子域或自定义主机名启用保留。
后来 ACME 的营销部门希望开始将 Cloudflare 用于 www.example.com。当他们尝试将该域添加到 Cloudflare 时,他们会收到一条错误消息,通知他们需要联系域所有者。
ACME 的营销部门联系内部并得知基础设施团队正在管理此域,并且激活此区域会导致事件!但是,两个团队都认为营销团队应该添加 www.example.com 的子域,以便他们可以控制营销网站。基础设施团队解除了对 acme.com 的子域保留,营销团队将 www.example.com 添加到他们自己的帐户中。
设置并激活后,他们现在就可以开始利用机器人管理来保护他们的营销网站,而且不会出现意外影响。
开始使用 Zone Holds
Zone Holds 现在可供所有企业区域使用,默认情况下在域级别启用。可以从任何企业区域的“区域概览”屏幕管理 Zone Holds。或者,可以扩展保留以应用于子域和自定义主机名。禁用保留时,您可以将保留设置为在设定的时间后重新启用。这可以确保您不会意外地使保留永久禁用。