出海企業(yè)，我們有好消息宣布！Cloudflare獲評(píng)ForresterWave DDoS防護(hù)解決方案領(lǐng)導(dǎo)者

我們?cè)诖诵廊恍?，Cloudflare 已獲評(píng)為 2021 年第一季度 Forrester WaveTM DDoS 防護(hù)解決方案領(lǐng)導(dǎo)者。

Forrester 公司安全與風(fēng)險(xiǎn)高級(jí)分析師 David Holmes 撰寫的這份報(bào)告稱，“Cloudflare 從邊緣防護(hù) DDoS 攻擊，而且反應(yīng)迅速?？蛻羲]言將 Cloudflare 的邊緣網(wǎng)絡(luò)視為保護(hù)和交付應(yīng)用程序方面一種令人嘆服的方式?！?/p>

對(duì)所有用戶開(kāi)放的不計(jì)量和無(wú)限制 DDoS 保護(hù)

Cloudflare 的使命是幫助建設(shè)更美好的互聯(lián)網(wǎng)——其中 DDoS 攻擊的影響不再存在。在過(guò)去 10 年中，我們一直堅(jiān)定不移地保護(hù)客戶的互聯(lián)網(wǎng)資產(chǎn)免受各種 DDoS 攻擊影響。在2017年，我們宣布免費(fèi)的不計(jì)量DDoS 保護(hù)，包含于 Cloudflare 的每一項(xiàng)服務(wù)和計(jì)劃中，包括免費(fèi)計(jì)劃，旨在確保每一個(gè)組織都受到保護(hù)并維持可用性。

得益于我們自行開(kāi)發(fā)的自動(dòng) DDoS 防護(hù)系統(tǒng)，我們能免費(fèi)提供不計(jì)量和無(wú)限制的 DDoS 保護(hù) 。我們的自動(dòng)化系統(tǒng)持續(xù)異步分析流量樣本以免影響性能。系統(tǒng)對(duì)OSI 模型的 3-7 層進(jìn)行掃描以監(jiān)測(cè) DDoS 攻擊。系統(tǒng)在 IP 數(shù)據(jù)包、HTTP 請(qǐng)求和 HTTP 響應(yīng)中尋找模式。在發(fā)現(xiàn)攻擊時(shí)，系統(tǒng)以臨時(shí)緩解規(guī)則的形式生成一個(gè)實(shí)時(shí)簽名。該規(guī)則傳播至我們網(wǎng)絡(luò)邊緣上的最優(yōu)位置，以獲得經(jīng)濟(jì)高效的緩解：例如在 Linux 內(nèi)核的 eXpress Data Path (XDP)，Linux 用戶空間 iptables 中或在 HTTP 反向代理中。由于采用這種經(jīng)濟(jì)高效的策略，我們能在不影響性能的情況下緩解最大容量的分布式攻擊。

DDoS 攻擊不斷增加

我們希望說(shuō) DDoS 攻擊已成為過(guò)去。但不幸的是，情況并非如此。

相反，我們繼續(xù)觀察到 DDoS 攻擊的頻率、復(fù)雜程度和地理分布每個(gè)季度都在增加。過(guò)去一年來(lái)，Cloudflare 觀察到并自動(dòng)緩解了一些最大型及可以說(shuō)是最有創(chuàng)造性的網(wǎng)絡(luò)攻擊。由于攻擊者所采取的方式日益大膽和狡猾，組織也在尋求對(duì)付這些攻擊而不導(dǎo)致其提供的服務(wù)中斷的方法。

組織遭遇 DDoS 勒索攻擊

今年1月，我們分享了一則消息：我們幫助一家財(cái)富全球 500 強(qiáng)企業(yè)抗擊一次勒索型 DDoS 攻擊并保持在線。這并非孤例。事實(shí)上，2020 年第四季度期間，17%  的受訪 Cloudflare 客戶報(bào)告收到一次 DDoS 勒索攻擊或攻擊威脅。2021 年第一季度，這個(gè)比例增加到 26% —— 大約四分之一受訪者報(bào)告一次勒索威脅且網(wǎng)絡(luò)基礎(chǔ)設(shè)施遭受到一次 DDoS 攻擊。

不管組織成為勒索型攻擊還是業(yè)余“網(wǎng)絡(luò)破壞主義”的目標(biāo)， 使用一種需要時(shí)不用人工干預(yù)，不間斷的自動(dòng)化 DDoS 防護(hù)服務(wù)是非常重要的。我們能向客戶提供這種級(jí)別的保護(hù)，對(duì)此感到無(wú)比自豪。

持續(xù)完善

隨著攻擊繼續(xù)演變，使用我們服務(wù)的客戶數(shù)量也在增加，Cloudflare 不斷投資于我們的技術(shù)，從而總是領(lǐng)先于攻擊者幾步。我們進(jìn)行了大量投資，增強(qiáng)緩解容量，優(yōu)化檢測(cè)算法，向客戶提供更佳的分析能力。我們的目標(biāo)是使 DDoS 攻擊對(duì)所有客戶的影響成為過(guò)去，正如 90 年代的垃圾郵件。

在 2019 年，我們推出了自主 DDoS 檢測(cè)和緩解系統(tǒng)，dosd。作為我們緩解堆棧的一個(gè)組成部分，dosd 是完全軟件定義的，利用 Linux 的 eXpress Data Path (XDP)，讓我們能迅速自動(dòng)部署 eBPF 規(guī)則，對(duì)每個(gè)接收到的數(shù)據(jù)包進(jìn)行檢測(cè)——在邊緣平均不到 3 秒即可緩解最復(fù)雜的攻擊，并即時(shí)緩解其他普通攻擊。其工作方式是檢測(cè)攻擊流量中的模式，然后迅速自動(dòng)部署規(guī)則，在瞬息間擊退攻擊者。此外，dosd 在每個(gè)數(shù)據(jù)中心中獨(dú)立運(yùn)行，不依賴于集中式數(shù)據(jù)中心，這極大地增強(qiáng)了我們網(wǎng)絡(luò)的韌性。

dosd 通過(guò)檢測(cè)流量中的模式來(lái)緩解攻擊的方式非常有效，但沒(méi)有模式的攻擊如何應(yīng)對(duì)呢？這時(shí) flowtrackd 就有了用武之地。這是我們?cè)?2020 年創(chuàng)建的新型 TCP 狀態(tài)分類引擎，用于防御針對(duì)我們Magic Transit 客戶的破壞性 L3/L4 攻擊。這種技術(shù)能檢測(cè)并緩解最隨機(jī)、最復(fù)雜的攻擊。此外，在 L7，我們也學(xué)習(xí)客戶的流量基線并在其源服務(wù)器遭受壓力時(shí)加以識(shí)別。在某個(gè)源服務(wù)器顯示惡化跡象時(shí)，我們的系統(tǒng)就會(huì)啟動(dòng)軟緩解，以便降低對(duì)服務(wù)器的影響并允許其恢復(fù)正常狀態(tài)。

構(gòu)建先進(jìn)的 DDoS 防護(hù)系統(tǒng)不僅事關(guān)檢測(cè)，也涉及到經(jīng)濟(jì)高效的緩解?；谶@個(gè)要求，我們向全世界推出了 IP Jails：IP Jails 是一種gatebot 能力，可在不影響性能的情況下緩解最大容量的分布式攻擊。在攻擊容量顯著增加時(shí)，gatebot 就會(huì)激活 IP Jails。這時(shí)，系統(tǒng)不再在 L7 進(jìn)行阻止，取而代之，IP Jails 會(huì)暫時(shí)斷開(kāi)攻擊 IP 地址（這些 IP 地址產(chǎn)生的請(qǐng)求匹配 gatebot 所創(chuàng)建的攻擊簽名）的連接。IP Jails 利用 Linux iptables 機(jī)制來(lái)在瞬間丟棄數(shù)據(jù)包。在 L4 斷開(kāi) L7 攻擊極大地提高了成本效益，我們的客戶和站點(diǎn)可靠性工程團(tuán)隊(duì)均從中受益。

鑒于我們觀察到和緩解的攻擊日益復(fù)雜，為了向我們的客戶提供更佳的可見(jiàn)性和洞察，我們?cè)?2019 年推出了 防火墻分析 （Firewall Analytics）儀表板。該儀表板提供了對(duì) L7 層 HTTP 應(yīng)用程序安全和 DDoS 活動(dòng)的洞察，并允許客戶在分析儀表板中直接配置規(guī)則 ，從而縮短了事件響應(yīng)的反饋循環(huán)。在2020年, 我們?yōu)?Magic Transit 和 Spectrum 企業(yè)客戶發(fā)布了針對(duì) L3/4 活動(dòng)的同等功能儀表板，即網(wǎng)絡(luò)分析（Network Analytics）儀表板。網(wǎng)絡(luò)分析儀表板提供對(duì)數(shù)據(jù)包級(jí)別流量和 DDoS 攻擊活動(dòng)的洞察，同時(shí)提供定期的洞察與趨勢(shì)（Insights and Trends）。作為這些儀表板的補(bǔ)充，并為我們的用戶在其需要時(shí)提供正確的信息，我們推出了實(shí)時(shí) DDoS 警報(bào)以及定期 DDoS 報(bào)告 ——直接投遞到您的郵箱。您也可以選擇直接投送到 SIEM 儀表板。

Cloudflare 在策略類別獲得最高分

今年，由于我們先進(jìn)的 DDoS 保護(hù)能力，Cloudflare 在策略類別獲得最高分，并在當(dāng)前提供產(chǎn)品類別進(jìn)入前三名。此外，我們?cè)谠搱?bào)告的 15 項(xiàng)標(biāo)準(zhǔn)中獲得最高分?jǐn)?shù)，包括：

• 威脅檢測(cè)

• 爆發(fā)性攻擊

• 響應(yīng)自動(dòng)化

• 實(shí)施速度

• 產(chǎn)品愿景

• 性能

• 安全運(yùn)營(yíng)中心（SOC）服務(wù)

我們相信，我們今天的成績(jī)?cè)从谶^(guò)去幾年來(lái)對(duì)我們?nèi)?Anycast 網(wǎng)絡(luò)的持續(xù)投資——這是我們向客戶提供的所有服務(wù)的基礎(chǔ)。

我們的網(wǎng)絡(luò)具備可擴(kuò)展的架構(gòu)設(shè)計(jì)——每一項(xiàng)服務(wù)都運(yùn)行于遍布全球 200 多個(gè)城市的每一個(gè) Cloudflare 數(shù)據(jù)中心中的每一臺(tái)服務(wù)器。與報(bào)告中的部分其他供應(yīng)商相反，Cloudflare 的每一項(xiàng)服務(wù)都是從我們的每一個(gè)邊緣數(shù)據(jù)中心交付的。

集成的安全和性能

一家領(lǐng)先的應(yīng)用性能監(jiān)測(cè)公司使用了 Cloudflare 的無(wú)服務(wù)器計(jì)算和內(nèi)容交付服務(wù)。該公司最近告訴我們，他們希望將其性能和安全服務(wù)整合到一個(gè)供應(yīng)商。他們放棄了原有的 L3 服務(wù)提供商，并啟用 Cloudflare 的應(yīng)用和網(wǎng)絡(luò)服務(wù)（Magic Transit），以便獲得更輕松的管理和更佳的支持。

我們?cè)絹?lái)越多地看到這種情況。使用單一云提供商以獲得一體化安全和性能服務(wù)的益處不可勝數(shù)：

管理更輕松 —— 用戶可通過(guò)單一儀表板和單一 API 端點(diǎn)管理 Cloudflare 的所有服務(wù)，例如 DDoS 保護(hù)，WAF，CDN， 機(jī)器人管理和無(wú)服務(wù)器計(jì)算。

深度服務(wù)集成 —— 我們的所有服務(wù)都是深度集成的，用戶得以充分利用 Cloudflare 的強(qiáng)大功能。例如，機(jī)器人管理規(guī)則是通過(guò)我們的應(yīng)用程序防火墻部署的。

故障排除更輕松 —— 我們的客戶在排除故障時(shí)只有一個(gè)聯(lián)系點(diǎn)，而不必聯(lián)系多個(gè)供應(yīng)商。我們還通過(guò)攻擊求助熱線提供即時(shí)人工響應(yīng)。

更低延遲 —— 由于我們的每一項(xiàng)服務(wù)都是從我們所有數(shù)據(jù)中心交付的，不存在任何性能損失。例如，從 DDoS 服務(wù)到機(jī)器人管理服務(wù)到 CDN 服務(wù)沒(méi)有額外的路由躍點(diǎn)。

然而，并非所有云服務(wù)都是相同的，當(dāng)今大多數(shù)供應(yīng)商都不能提供一套全面和健壯的解決方案。Cloudflare 具有獨(dú)特的架構(gòu)，能夠提供一個(gè)擁有全明星產(chǎn)品陣容的集成解決方案，例如：

CDN

2020 年度 Garnet Peer Insights “客戶之聲”：全球 CDN 評(píng)選中榮獲“客戶之選”領(lǐng)導(dǎo)者稱號(hào)

DDoS

在 2020 年度 Gartner DDoS 云清洗中心解決方案比較報(bào)告中獲得最多最高分

WAF

Cloudflare 成為 2020 年度 Gartner Web 應(yīng)用程序防火墻魔力象限報(bào)告中的挑戰(zhàn)者（在“執(zhí)行能力”項(xiàng)目獲得最高排名)

零信任

Cloudflare為 2020 年 Omidia 市場(chǎng)雷達(dá)：零信任訪問(wèn)報(bào)告中的領(lǐng)導(dǎo)者

機(jī)器人管理

2020 年 SPARK Matrix 機(jī)器人管理市場(chǎng)領(lǐng)導(dǎo)者

集成解決方案

2020 年 Frost & Sullivan 全面 Web 保護(hù)市場(chǎng)創(chuàng)新領(lǐng)導(dǎo)者

我們很高興獲評(píng)為 2021 年第一季度 Forrester Wave DDoS 防護(hù)解決方案領(lǐng)導(dǎo)者，并將繼續(xù)不懈努力，如報(bào)告所述，保持為客戶“保護(hù)和交付應(yīng)用程序的一個(gè)令人嘆服的方式”。