我們在此欣然宣布,Cloudflare 已獲評為 2021 年第一季 Forrester Wave TM :DDoS 緩解解決方案領導者。請在此下載免費報告副本。
Forrester 公司安全與風險資深分析師 David Holmes 撰寫的這份報告稱:「Cloudflare 從邊緣處防護 DDoS 攻擊,而且反應迅速…客戶好評如潮,將 Cloudflare 的邊緣網路視為一種令人讚嘆的保護及傳遞應用程式的方式。」
對所有使用者開放的非計量和無限制 DDoS 保護
Cloudflare 的使命是協助打造更安全的網際網路環境,在這個環境中,DDoS 攻擊的影響將不復存在。在過去 10 年中,我們一直堅定不移地保護客戶的網際網路設備免受各種 DDoS 攻擊影響。在 2017 年,我們宣佈推出免費的非計量 DDoS 保護,包含於 Cloudflare 的每一項服務和方案中,包括免費方案,旨在確保每一個組織都受到保護並維持可用性。
憑藉我們自行開發的自動 DDoS 緩解系統,我們能免費提供非計量和無限制的 DDoS 保護。我們的自動化系統持續非同步分析流量樣本以免影響效能。系統對 OSI 模型的 3-7 層進行掃描以監測 DDoS 攻擊。系統在 IP 封包、HTTP 請求和 HTTP 回應中尋找規律。在發現攻擊時,系統以臨時緩解規則的形式產生一個即時簽名。該規則傳播至我們網路邊緣上的最佳位置,以獲得最合乎成本效益的緩解:例如在 Linux 核心的 eXpress Data Path (XDP)、Linux 使用者空間 iptables 中或在 HTTP 反向代理中。由於採用這種合乎成本效益的策略,我們能在不影響效能的情況下緩解最大容量的分散式攻擊。
![](https://blog.cloudflare.com/content/images/2021/03/image1-18.png)
如需進一步瞭解 Cloudflare DDoS 保護系統的工作原理,請按一下此處。
DDoS 攻擊不斷增加
我們希望 DDoS 攻擊已成為過去。但不幸的是,情況並非如此。
事實上,我們繼續觀察到 DDoS 攻擊的頻率、複雜程度和地理分佈每季都在增加。查看我們去年的報告 (2020 年第一季、2020 年第二季、2020 年第三季和 2020 年第四季),在 Cloudflare Radar 上瞭解網際網路流量的整體趨勢。
過去一年來,Cloudflare 觀察到並自動緩解了一些最大型並可以說是最有創意的網路攻擊。由於攻擊者所採取的方式日益大膽和狡猾,組織也在尋求各種方法對付這些攻擊而又不會導致其服務中斷。
![](https://blog.cloudflare.com/content/images/2021/03/image3-14.png)
組織遭遇 DDoS 勒索攻擊
今年 1 月,我們發布了一則消息:我們幫助一家財富全球 500 強企業抵禦住了勒索型 DDoS 攻擊並維持連線狀態。這並非孤例。事實上,2020 年第四季期間,17% 的受訪 Cloudflare 客戶聲稱受到 DDoS 勒索攻擊或攻擊威脅。2021 年第一季,這個比例增加到 26%。大約四分之一受訪者聲稱受到勒索威脅,並且其網路基礎結構後續遭受到 DDoS 攻擊。
![Chart](https://blog.cloudflare.com/content/images/2021/03/image4-13.png)
不管組織成為勒索型攻擊還是業餘級「網路破壞行為」的目標,使用一種在需要時不必使用人工干預、不間斷的自動化 DDoS 保護服務非常重要。能向客戶提供這種級別的保護,我們深感自豪。
持續改進
隨著攻擊繼續演變,使用我們服務的客戶數量也在增加,Cloudflare 不斷投資於我們的技術,總是領先於攻擊者數步。我們斥巨資增強緩解容量,完善偵測演算法,向客戶提供更佳的分析能力。我們的目標是讓所有客戶都不再受到 DDoS 攻擊的影響,正如上世紀 90 年代的垃圾郵件已銷聲匿跡。
在 2019 年,我們推出了自發的 DDoS 偵測和緩解系統 DosD。作為我們緩解體系的一個組成部分,DosD 是完全為軟體定義,利用 Linux 的 eXpress Data Path (XDP),讓我們能迅速自動部署 eBPF 規則,對接收到的每個封包進行偵測。在邊緣處平均不到 3 秒即可緩解最複雜的攻擊,並能即時緩解其他普通攻擊。其運作方式是偵測攻擊流量中的規律,然後迅速自動部署規則,在瞬息間擊退攻擊者。此外,DosD 在每個資料中心內獨立執行,不依賴於集中式資料中心,這極大地增強了我們網路的復原能力。
DDoS 透過偵測流量中的規律來緩解攻擊的方式非常有效,但沒有規律的攻擊如何因應呢?這時 flowtrackd 就有了用武之地。這是我們在 2020 年建立的新型 TCP 狀態分類引擎,用於防禦針對我們 Magic Transit 客戶的破壞性第 3/4 層攻擊。這種技術能偵測並緩解最隨機、最複雜的攻擊。此外,在第 7 層,我們也學習客戶的流量基準線並在其來源伺服器遭受壓力時加以識別。在某個來源伺服器顯示惡化跡象時,我們的系統就會啟動軟緩解,以便降低對伺服器的影響並允許其恢復正常狀態。
建置進階 DDoS 保護系統不僅事關偵測,也涉及到合乎成本效益的緩解。我們致力於在緩解攻擊的同時,不會因過度運算消耗而導致影響效能。基於這個要求,我們向全球推出了 IP Jails:IP Jails 是一種 gatebot 能力,可在不影響效能的情況下緩解最大容量的分散式攻擊。在攻擊容量明顯增加時,gatebot 就會啟動 IP Jails。這時,系統不再在第 7 層進行封鎖,取而代之,IP Jails 會暫時斷開攻擊性 IP 位址 (這些 IP 位址產生的請求符合 gatebot 所建立的攻擊簽名) 的連線。IP Jails 利用 Linux iptables 機制在瞬間丟棄封包。在第 4 層斷開第 7 層攻擊大幅提高了成本效益,我們的客戶和網站可靠性工程團隊均從中受益。
鑑於我們觀察到和緩解的攻擊日益複雜,為了向客戶提供更佳的可見性和洞察,我們於 2019 年推出了防火牆分析 (Firewall Analytics) 儀表板。該儀表板提供了對第 7 層 HTTP 應用程式安全性和 DDoS 活動的洞察,並允許客戶在分析儀表板中直接設定規則,進而縮短了事件回應的意見反應循環。此後於 2020 年,我們為 Magic Transit 和 Spectrum 企業客戶發布了針對第 3/4 層活動的同等功能儀表板,即 網路分析 (Network Analytics) 儀表板。網路分析儀表板提供對封包級別流量和 DDoS 攻擊活動的洞察,同時提供定期的洞察與趨勢 (Insights and Trends)。作為這些儀表板的補充,並為我們的使用者在其需要時提供正確的資訊,我們推出了即時 DDoS 警示以及定期 DDoS 報告——直接投遞到您的收件匣。您也可以選擇直接投送到 SIEM 儀表板。
Cloudflare 在策略類別獲得最高分
今年,由於我們的進階 DDoS 保護能力,Cloudflare 在策略類別獲得最高分,並在目前的提供產品類別進入前三名。此外,我們在該報告的 15 項標準中獲得最高分數,包括:
- 威脅偵測
- 爆發性攻擊
- 回應自動化
- 實作速度
- 產品願景
- 效能
- 安全營運中心 (SOC) 服務
我們相信,今天的成績源於過去幾年來對我們全球 Anycast 網路的持續投資,而這正是我們向客戶提供的所有服務的基石。
我們的網路具備可擴充的架構設計,每一項服務都執行於遍布全球 200 多個城市的每一個 Cloudflare 資料中心中的每一台伺服器。不同於報告中的部分其他廠商,Cloudflare 的每一項服務都是從我們的每一個邊緣資料中心傳遞。
整合安全性與效能
一家領先業界的應用程式效能監測公司使用了 Cloudflare 的無伺服器運算和內容傳遞服務。該公司最近告訴我們,他們希望將其效能和安全服務整合到一個供應商。他們放棄了原有的第 3 層服務供應商,並啟用 Cloudflare 的應用程式和網路服務 (Magic Transit),以便獲得更輕鬆的管理和更出色的支援。
這種現象日益普遍。使用單一雲端供應商以獲得一體化安全和效能服務的益處不可勝數:
- 管理更輕鬆:使用者可透過單一儀表板和單一 API 端點管理 Cloudflare 的所有服務,例如 DDoS 保護、WAF,CDN、機器人管理及無伺服器運算。
- 深度服務整合:我們的所有服務都經過深度整合,使用者得以充分利用 Cloudflare 的強大功能。例如,機器人管理規則是透過我們的應用程式防火牆部署。
- 疑難排解更輕鬆:我們的客戶在排解疑難時只有一個連絡窗口,而不必連絡多個供應商。我們還透過攻擊求助熱線提供即時人工回應。
- 更低延遲:我們的每一項服務都是從我們所有資料中心傳遞,不存在任何效能損失。例如,從 DDoS 服務到機器人管理服務,再到 CDN 服務,沒有額外的路由躍點。
然而,並非所有雲端服務都相同,當今大多數供應商都不能提供一套全面和強固的解決方案。Cloudflare 具有獨特的架構,能夠提供一個擁有全明星產品陣容的整合解決方案,例如:
- CDN:2020 年度 Garner Peer Insights 「客戶之聲」:全球 CDN 評選中榮獲「客戶之選」領導者稱號1
- DDoS:在 2020 年度 Gartner DDoS 雲端清理中心解決方案比較報告中獲得最多最高分2
- WAF:Cloudflare 成為 2020 年度 Gartner Web 應用程式防火牆魔力象限報告中的挑戰者 (在「執行能力」項目獲得最高排名)3
- 零信任:Cloudflare 成為 2020 年 Omidia 市場雷達:零信任存取報告中的領導者4
- 機器人管理:2020 年 SPARK Matrix 機器人管理市場領導者5
- 整合解決方案:2020 年 Frost & Sullivan 全球全面 Web 保護市場創新領導者6
我們很高興獲評為 2021 年第一季 Forrester Wave™ DDoS 緩解解決方案領導者,並將繼續不懈努力,如報告所述,一如既往為客戶提供「一種令人讚嘆的保護及傳遞應用程式的方式」。
若要進一步瞭解 Cloudflare 的 DDoS 保護解決方案,請在此連絡我們。如需試用 Cloudflare 服務,請在此註冊。
.........
1https://www.gartner.com/reviews/market/global-cdn/vendor/cloudflare/product/cloudflare-cdn
2https://www.gartner.com/en/documents/3983636/solution-comparison-for-ddos-cloud-scrubbing-centers
3Gartner, “Magic Quadrant for Web Application Firewalls'', Analyst(s): Jeremy D'Hoinne, Adam Hils, John Watts, Rajpreet Kaur, October 19, 2020. https://www.gartner.com/doc/reprints?id=1-249JQ6L1&ct=200929&st=sb
4https://www.cloudflare.com/lp/omdia-zero-trust
5https://www.cloudflare.com/lp/qks-bot-management-leader/
6https://www.cloudflare.com/lp/frost-radar-holistic-web/