Disclamer: Este post não é patrocinado, afiliado ou compensado pela Cloudflare.
Olá a todos.
Sendo gestores e consumidores de dados hospedados em ambientes expostos a internet, muitas vezes perguntamo-nos se vale a pena usar o Cloudflare.
A resposta imediata é sim, e neste post iremos ver porquê.
A Cloudflare entre muitas outras funcionalidades é uma rede de entrega de conteúdo (CDN), com tier gratuito, que fornece uma variedade de serviços para proprietários de sites e serviços, incluindo proteção contra ataques DDoS, cache de conteúdo, criptografia SSL/TLS e muito mais.
Utilizando o Cloudflare, podemos melhorar o desempenho e a segurança do nosso site e serviços, sem a necessidade de hardware ou software caro.
A meu ver, um dos principais benefícios do uso do Cloudflare é a capacidade de proteger os nossos sites contra ataques DDoS. Estes tipos de ataques podem sobrecarregar a nossa infraestrutura com tráfego, fazendo com que ela falhe e fique indisponível para os seus consumidores.
A proteção DDoS da Cloudflare pode ainda detectar e bloquear o tráfego malicioso de forma automática antes que ele chegue aos nossos servidores, garantindo que os nossos conteúdos permaneçam disponíveis mesmo durante um ataque em grande escala:
O gráfico acima refere-se ao maior ataque já registado e mitigado pela Cloudflare.
Além da proteção contra DDoS, o Cloudflare também pode armazenar em cache o conteúdo do seu site (recordam-se da componente CDN?), fazendo com que ele carregue mais rapidamente para os nossos utilizadores. O que se revela particularmente importante se estivermos hospedando o nosso site num servidor doméstico, que pode não ter o mesmo nível de recursos de um provider de hospedagem dedicado.
Ao armazenar em cache o conteúdo do nosso site, a Cloudflare ajuda ainda reduzir a carga no nosso servidor – porque carrega os conteúdos da sua cache ao invés do nosso servidor antes de os apresentar ao consumidor – e melhorar a experiência geral do utilizador.
No bundle de serviços disponibilizados, a Cloudflare também fornece criptografia SSL/TLS para o nosso site e contedudos, o que é importante para proteger os dados de nossos utilizadores e garantir que suas interações com os nossos sites sejam seguras*. Com a Cloudflare, podemos ainda facilmente habilitar HTTPS para os nossos site, sem a necessidade de configurações de LetsEncrypt ou certificados SSL caros.
* Disclamer2: O processo de encapsulamento que a Cloudflare utiliza pode ser considerado em ultima analise como MITM por desenho. Mais informação aqui. Pesem internamente os riscos e benefícios de utilizar a tecnologia.
Finalmente, a Cloudflare fornece uma variedade de outros recursos e serviços, como análises, regras de firewall e otimização de desempenho, que podem ajudá-lo a melhorar o desempenho geral e a segurança do seu site que iremos abordar em posts seguintes, sendo o meu favorito o processo de zero trust deles:
- Proteção DDoS: a proteção DDoS da Cloudflare ajuda a defender o nosso site site contra ataques distribuídos de negação de serviço (DDoS).
- Web Application Firewall (WAF): O WAF da Cloudflare ajuda a proteger seu site contra vulnerabilidades comuns de web based applications, como SQL Injections, script entre sites (XSS) e ataques de inclusão de arquivos. O WAF usa um conjunto de regras (fine tunable) para detectar e bloquear solicitações maliciosas antes que cheguem a nossa infraesturtura.
- Criptografia SSL/TLS: Cloudflare fornece criptografia SSL/TLS para os nossos sites, o garantindo que suas interações com seu site sejam seguras *vide disclamer2.
- Proteção contra bots: a proteção contra bots da Cloudflare ajuda a impedir que bots mal-intencionados roubem informações confidenciais ou executem outras atividades maliciosas. A proteção de bots usa um conjunto de regras para detectar e bloquear tráfego de bots suspeitos. Igualmente fine tunable.
- Limitação de rate de acesso. Tarpitting de acessos: a limitação de rate de acesso por parte da Cloudflare ajuda a prevenir ataques de força bruta e outros tipos de abuso, limitando o número de solicitações de um único endereço IP dentro de um determinado período de tempo. Isso garantidamente ajuda a proteger o nossos site contra ataques automatizados que tentam adivinhar senhas ou explorar vulnerabilidades.
- Registos dinâmicos de DNS, baseados em cliente ou comandos de API devidamente autenticados. Isto é excelente para quem como eu tem ip dinâmico em casa, mas tendo um domínio .com torna a atualização automática dos registos algo mais complicada. A API deles permite fazer update por POST :).
E para empresas? O numero de ofertas é altissimo, com SLA e soluções que em muito facilitam o trabalho e aumentam a disponibilidade das plataformas, aumentando assim a produtividade.
No geral, a Cloudflare tem um leque muito abrangente (free e não free) para soluções de segurança abrangente para a nossa infraestrutura, ajudando a protegê-la de uma variedade de ameaças à segurança e aumentando a disponibilidade dos nossos servicos a serem consumidos.
Sei que por definição e histórico deste blog, acabo por ser contraditório no meu deslumbramento pela Cloudflare, sendo que não é um serviço selfhosted, mas que em conjunto com outras medidas de segurança tem me safado de muitos problemas, em especial com serviços expostos á internet.
No próximo post iremos falar sobre zero trust computing da Cloudflare.
Até lá, um abraço. Se tiverem duvidas ou reparos sabem onde me podem encontrar.
Nuno