所有使用互聯(lián)網(wǎng)的用戶每天都可能會(huì)接觸到Cloudflare的網(wǎng)絡(luò),要么通過(guò)我們的1.1.1.1解析器訪問(wèn)受Cloudflare保護(hù)的站點(diǎn),要么通過(guò)使用我們的Cloudflare One產(chǎn)品的網(wǎng)絡(luò)進(jìn)行連接。
因此Cloudflare承擔(dān)著巨大的責(zé)任-就是讓覆蓋全球數(shù)十億用戶的互聯(lián)網(wǎng)更加安全。為此,我們向所有Cloudflare用戶免費(fèi)提供威脅情報(bào)和10多種新的安全功能。無(wú)論是使用Cloudflare來(lái)保護(hù)自己的網(wǎng)站、家庭網(wǎng)絡(luò)還是辦公室,您都會(huì)發(fā)現(xiàn)一些有價(jià)值的功能,只需幾次點(diǎn)擊就能開(kāi)始使用。這些功能主要針對(duì)網(wǎng)絡(luò)安全領(lǐng)域一些日漸增長(zhǎng)的重要問(wèn)題,包括帳戶接管攻擊、供應(yīng)鏈攻擊、針對(duì)API端點(diǎn)的攻擊、網(wǎng)絡(luò)可見(jiàn)性以及網(wǎng)絡(luò)數(shù)據(jù)泄漏。
為每個(gè)人提供更多安全保障
在展開(kāi)介紹各項(xiàng)功能的更多信息之前,我們先為大家做一個(gè)簡(jiǎn)短的摘要。
如果您是網(wǎng)絡(luò)安全愛(ài)好者:可以訪問(wèn)我們?nèi)碌腃loudforce One威脅情報(bào)網(wǎng)站,了解威脅行為者、攻擊活動(dòng)和其他涉及整個(gè)互聯(lián)網(wǎng)的安全問(wèn)題。
如果您是網(wǎng)站所有者:從現(xiàn)在開(kāi)始,所有Free計(jì)劃用戶都可以訪問(wèn)對(duì)應(yīng)區(qū)域的安全分析。此外,我們還通過(guò)GraphQL向所有人提供DNS分析。
獲得可見(jiàn)性后,只需要將好的流量與惡意流量區(qū)分開(kāi)來(lái)。所有用戶都將可以使用始終開(kāi)啟的帳戶接管攻擊檢測(cè)、API模式驗(yàn)證(用于對(duì)其API端點(diǎn)上實(shí)施積極的安全模型),以及Page Shield腳本監(jiān)控器,以獲取您正在加載的第三方資源(可能被用于執(zhí)行基于供應(yīng)鏈的攻擊)的可見(jiàn)性。
如果您使用Cloudflare來(lái)保護(hù)您的人員和網(wǎng)絡(luò):我們將把一些Cloudflare One產(chǎn)品捆綁到一個(gè)新的免費(fèi)產(chǎn)品中。捆綁包中將包括我們目前免費(fèi)提供的Zero Trust產(chǎn)品,以及一些新產(chǎn)品,例如Magic Network Monitoring(提供網(wǎng)絡(luò)可見(jiàn)性)、數(shù)據(jù)丟失防護(hù)(保護(hù)敏感數(shù)據(jù))以及Digital Experience Monitoring(衡量網(wǎng)絡(luò)連接和性能)。Cloudflare是目前唯一提供同類(lèi)產(chǎn)品免費(fèi)版本的廠商。
如果您是新用戶:我們將會(huì)提供新的身份驗(yàn)證選項(xiàng)。今天開(kāi)始,我們將推出使用Google身份驗(yàn)證來(lái)注冊(cè)和登錄Cloudflare的選項(xiàng),這將使我們的一些用戶更容易登錄,并且減少對(duì)輸入密碼的依賴(lài),從而降低其Cloudflare帳戶被盜用的風(fēng)險(xiǎn)。
現(xiàn)在讓我們來(lái)詳細(xì)介紹一下:
威脅情報(bào)與分析
Cloudforce One
我們的威脅研究和運(yùn)營(yíng)團(tuán)隊(duì)Cloudforce One現(xiàn)已推出一個(gè)可免費(fèi)訪問(wèn)的專(zhuān)用威脅情報(bào)網(wǎng)站。我們將通過(guò)這個(gè)網(wǎng)站發(fā)布關(guān)于最新威脅行為者活動(dòng)和策略的技術(shù)及實(shí)施情況相關(guān)信息,以及關(guān)于新興惡意軟件、漏洞和攻擊的見(jiàn)解。
我們還將發(fā)布兩則新的威脅情報(bào)(后續(xù)還會(huì)發(fā)布更多威脅情報(bào))。歡迎訪問(wèn)新網(wǎng)站以查看最新研究報(bào)告,該研究報(bào)告會(huì)提及一名持續(xù)針對(duì)南亞和東亞地方組織的活躍威脅行為者,以及雙重經(jīng)紀(jì)貨運(yùn)欺詐的興起。我們會(huì)將更多的研究報(bào)告及相關(guān)數(shù)據(jù)以自定義指標(biāo)推送的形式定期發(fā)送給用戶。大家可以通過(guò)訂閱電子郵件通知以接收后續(xù)更多威脅研究報(bào)告。
Security Analytics
Security Analytics會(huì)為您提供覆蓋所有HTTP流量(而不僅僅是被緩解的請(qǐng)求)的安全視角,讓您能夠?qū)W⒂谧钪匾氖虑椋罕灰暈閻阂獾赡芪幢痪徑獾牧髁俊_@意味著,除了使用Security Events查看我們的應(yīng)用安全產(chǎn)品套件所采取的安全措施外,您還可以使用Security Events來(lái)審查所有流量中的異常行為,然后利用獲得的見(jiàn)解制定基于特定流量模式的精確緩解規(guī)則。從今天開(kāi)始,我們將向所有計(jì)劃級(jí)別的用戶提供這一視角。Free和Pro計(jì)劃用戶現(xiàn)在可以訪問(wèn)Security Analytics的新儀表板,您可以在流量分析圖表中查看流量的高級(jí)別概述,包括分組和過(guò)濾能力,以便您可以輕松關(guān)注異常情況。您還可以查看重要統(tǒng)計(jì)數(shù)據(jù),并從多個(gè)維度進(jìn)行篩選,包括國(guó)家/地區(qū)、源瀏覽器、源操作系統(tǒng)、HTTP版本、SSL協(xié)議版本、緩存狀態(tài)和安全操作。
DNS分析
現(xiàn)在,Cloudflare的每位用戶都可以訪問(wèn)經(jīng)過(guò)改進(jìn)的新DNS分析儀表板,還可以通過(guò)我們強(qiáng)大的GraphQL API訪問(wèn)新的DNS分析數(shù)據(jù)集。現(xiàn)在,您可以輕松分析對(duì)您的域進(jìn)行的DNS查詢,這可用于排除問(wèn)題、檢測(cè)模式和趨勢(shì),或通過(guò)應(yīng)用強(qiáng)大的過(guò)濾器和按來(lái)源分類(lèi)DNS查詢來(lái)生成使用情況報(bào)告。隨著Foundation DNS推出,我們引入了基于GraphQL的新DNS分析,但這些分析之前僅適用于使用高級(jí)域名服務(wù)器的區(qū)域。然而,由于這些分析提供了深入的洞察,我們認(rèn)為這項(xiàng)功能應(yīng)該向所有人提供。從今天開(kāi)始,基于GraphQL的新DNS分析可以在使用了Cloudflare的權(quán)威DNS服務(wù)的每個(gè)區(qū)域的DNS分析界面中訪問(wèn)。
應(yīng)用威脅檢測(cè)和緩解
帳戶接管檢測(cè)
65%的互聯(lián)網(wǎng)用戶因密碼重復(fù)使用和大規(guī)模數(shù)據(jù)泄露頻率上升而面臨帳戶接管(ATO)風(fēng)險(xiǎn)。幫助構(gòu)建一個(gè)更好的互聯(lián)網(wǎng)意味著讓每個(gè)人都能輕松獲得關(guān)鍵的帳戶保護(hù)。
從今天開(kāi)始,我們將免費(fèi)向所有人——從個(gè)人用戶到大型企業(yè)——提供預(yù)防憑據(jù)填充和其他ATO攻擊的強(qiáng)大帳戶安全服務(wù),并免費(fèi)提供“泄露憑據(jù)檢查”和ATO檢測(cè)等增強(qiáng)功能。
這些更新包括自動(dòng)檢測(cè)登錄,僅需極少設(shè)置即可獲取的暴力攻擊預(yù)防,以及擁有超過(guò)150億條密碼的綜合泄露憑據(jù)數(shù)據(jù)庫(kù),其中將包含來(lái)自Have I Been Pwned(HIBP)服務(wù)的泄露密碼以及我們自己的數(shù)據(jù)庫(kù)。客戶可以通過(guò)Cloudflare的WAF功能對(duì)泄露的憑據(jù)請(qǐng)求采取行動(dòng),例如速率限制規(guī)則和自定義規(guī)則,或者可以在源站采取行動(dòng),實(shí)施多因素身份驗(yàn)證(MFA)或根據(jù)發(fā)送到源的標(biāo)頭要求重置密碼。
設(shè)置很簡(jiǎn)單:Free計(jì)劃用戶可以獲得自動(dòng)檢測(cè),而付費(fèi)用戶可以在Cloudflare儀表板中一鍵激活新功能。有關(guān)設(shè)置和配置的更多詳細(xì)信息,請(qǐng)參閱我們的文檔。
API模式驗(yàn)證
API流量占Cloudflare網(wǎng)絡(luò)上動(dòng)態(tài)流量的一半以上。API的流行開(kāi)啟了一種全新的攻擊手段。面對(duì)這些新威脅,Cloudflare API Shield的模式驗(yàn)證是加強(qiáng)API安全的第一步。
這是有史以來(lái)第一次,所有Cloudflare用戶都可以使用模式驗(yàn)證,確保僅有效的API請(qǐng)求才能到達(dá)源服務(wù)器。
此功能可以阻止bug導(dǎo)致的意外信息泄露,預(yù)防開(kāi)發(fā)人員因非標(biāo)準(zhǔn)流程以有害方式暴露端點(diǎn),并自動(dòng)阻止僵尸API(因?yàn)槟腁PI清單作為您的CI/CD流程的一部分將保持最新?tīng)顟B(tài))。
我們建議您使用Cloudflare的API或Terraform provider將端點(diǎn)添加到Cloudflare API Shield,并更新模式,作為您的代碼構(gòu)建后CI/CD流程的一部分進(jìn)行。通過(guò)這種方式,API Shield就會(huì)成為一個(gè)現(xiàn)成的API清單工具,而模式驗(yàn)證將處理對(duì)您的API發(fā)出的任何非預(yù)期請(qǐng)求。
雖然API都是為了與第三方集成,但有時(shí)集成是通過(guò)將庫(kù)直接加載到您的應(yīng)用中來(lái)完成的。接下來(lái),我們將保護(hù)用戶免受惡意第三方腳本從您的網(wǎng)頁(yè)輸入中竊取敏感信息的侵害,從而幫助保護(hù)更多網(wǎng)絡(luò)。
供應(yīng)鏈攻擊防護(hù)
現(xiàn)代Web應(yīng)用通過(guò)使用第三方JavaScript庫(kù)來(lái)改善用戶體驗(yàn)并減少開(kāi)發(fā)人員的時(shí)間。由于擁有對(duì)頁(yè)面上一切內(nèi)容的特權(quán)訪問(wèn)權(quán)限,遭到破壞的第三方JavaScript庫(kù)可以在最終用戶或網(wǎng)站管理員毫不察覺(jué)的情況下,秘密地將敏感信息泄露給攻擊者。為應(yīng)對(duì)這種威脅,我們?cè)谌昵巴瞥隽薖age Shield。我們現(xiàn)在向所有用戶免費(fèi)提供Page Shield的Script Monitor(腳本監(jiān)測(cè)器)。
使用Script Monitor,您將看到頁(yè)面上加載的所有JavaScript資源,而不僅僅是您的開(kāi)發(fā)人員加入的那些資源。這種可見(jiàn)性包括由其他腳本動(dòng)態(tài)加載的腳本。一旦攻擊者攻陷了某個(gè)庫(kù),添加一個(gè)新的惡意腳本會(huì)變得非常簡(jiǎn)單,無(wú)需更改原始HTML上下文,而是在現(xiàn)有的JavaScript資源中包含新代碼:
當(dāng)有關(guān)pollyfill.io庫(kù)所有權(quán)變更的消息傳出時(shí),Script Monitor發(fā)揮了至關(guān)重要的作用。Script Monitor的用戶可以立即看到他們網(wǎng)站上加載的腳本,快速輕松地了解他們是否處于風(fēng)險(xiǎn)之中
我們很高興向所有用戶提供Script Monitor,從而盡可能擴(kuò)展這些腳本的可見(jiàn)性。您可以在此處的文檔中了解如何開(kāi)始。Page Shield的現(xiàn)有用戶可以立即過(guò)濾受監(jiān)控的數(shù)據(jù),了解他們的應(yīng)用是否使用了polyfill.io(或任何其他庫(kù))。此外,我們構(gòu)建了一個(gè)polyfill.io重寫(xiě)以響應(yīng)遭到入侵的服務(wù),并已于2024年6月向Free計(jì)劃用戶自動(dòng)啟用。
Turnstile作為Google Firebase擴(kuò)展
我們很高興地宣布推出適用于Google Firebase的Cloudflare Turnstile App Check Provider,提供無(wú)需手動(dòng)設(shè)置的無(wú)縫集成。這個(gè)新的擴(kuò)展允許在Firebase上構(gòu)建移動(dòng)或網(wǎng)絡(luò)應(yīng)用的開(kāi)發(fā)人員使用Cloudflare的CAPTCHA替代方案來(lái)保護(hù)其項(xiàng)目免受機(jī)器人的侵害。通過(guò)利用Turnstile的機(jī)器人檢測(cè)和質(zhì)詢功能,您可以確保只有真實(shí)的人類(lèi)訪問(wèn)者與您的Firebase后端服務(wù)交互,從而增強(qiáng)安全性和用戶體驗(yàn)。Cloudflare Turnstile是一種注重隱私的CAPTCHA替代方案,可以在不影響用戶體驗(yàn)的情況下區(qū)分人類(lèi)和機(jī)器人。與用戶經(jīng)常會(huì)放棄的傳統(tǒng)CAPTCHA解決方案不同,Turnstile是隱形運(yùn)行的,并提供各種模式來(lái)確保無(wú)摩擦的用戶交互。
Turnstile的Firebase App Check擴(kuò)展易于集成,使開(kāi)發(fā)人員能夠以最少的配置快速提升應(yīng)用安全性。對(duì)于已經(jīng)在使用Turnstile的免費(fèi)版本用戶,此擴(kuò)展可免費(fèi)無(wú)限制使用。通過(guò)結(jié)合Google Firebase的后端服務(wù)和Cloudflare Turnstile的優(yōu)勢(shì),開(kāi)發(fā)人員可以為其用戶提供安全和無(wú)縫的體驗(yàn)。
Cloudflare One
Cloudflare One是一個(gè)全面的安全訪問(wèn)服務(wù)邊緣(SASE)平臺(tái),旨在保護(hù)和連接互聯(lián)網(wǎng)上的人員、應(yīng)用、設(shè)備和網(wǎng)絡(luò)。它將Zero Trust網(wǎng)絡(luò)訪問(wèn)(ZTNA)、安全Web網(wǎng)關(guān)(SWG)等服務(wù)整合到單一解決方案中。Cloudflare One可以幫助每個(gè)人保護(hù)人員和網(wǎng)絡(luò),管理訪問(wèn)控制,防范網(wǎng)絡(luò)威脅,保護(hù)數(shù)據(jù),通過(guò)Cloudflare的全球網(wǎng)絡(luò)路由網(wǎng)絡(luò)流量,從而提高網(wǎng)絡(luò)性能。它通過(guò)提供基于云的方法來(lái)取代傳統(tǒng)的安全措施,以保護(hù)和簡(jiǎn)化對(duì)企業(yè)資源的訪問(wèn)。
現(xiàn)在,人人都可以免費(fèi)使用Cloudflare One在近兩年中新增的四款產(chǎn)品:
-云訪問(wèn)安全代理(CASB),用于緩解SaaS應(yīng)用風(fēng)險(xiǎn)。
-數(shù)據(jù)丟失防護(hù)(DLP),用于防止敏感數(shù)據(jù)離開(kāi)您的網(wǎng)絡(luò)和SaaS應(yīng)用。
-Digital Experience Monitoring,了解用戶使用任何網(wǎng)絡(luò)時(shí)的體驗(yàn)。
-Magic Network Monitoring,查看您的網(wǎng)絡(luò)中傳輸?shù)乃辛髁俊?/p>
這是對(duì)Cloudflare One平臺(tái)現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品的補(bǔ)充:
-Access,用于驗(yàn)證用戶身份,只允許他們使用應(yīng)該使用的應(yīng)用。
-Gateway,用于保護(hù)出站前往公共互聯(lián)網(wǎng)和進(jìn)入您的專(zhuān)用網(wǎng)絡(luò)的網(wǎng)絡(luò)流量。
-Cloudflare Tunnel,我們的應(yīng)用連接器,其中包括cloudflared和WARP Connector,用于將不同的應(yīng)用、服務(wù)器和專(zhuān)用網(wǎng)絡(luò)連接到Cloudflare網(wǎng)絡(luò)。
-Cloudflare WARP,我們的設(shè)備代理,用于安全地從筆記本電腦或移動(dòng)設(shè)備向互聯(lián)網(wǎng)發(fā)送流量。
任何擁有Cloudflare帳戶的用戶都將自動(dòng)獲得50個(gè)免費(fèi)名額在其Cloudflare One架構(gòu)中使用上述產(chǎn)品。請(qǐng)?jiān)L問(wèn)我們的Zero Trust和SASE計(jì)劃頁(yè)面,進(jìn)一步了解我們的免費(fèi)產(chǎn)品,并了解我們面向50名成員以上團(tuán)隊(duì)的“隨用隨付”和“合約計(jì)劃”。
使用Google進(jìn)行身份驗(yàn)證
Cloudflare儀表板本身已成為一種需要保護(hù)的重要資源,我們花費(fèi)了大量時(shí)間確保Cloudflare用戶帳戶不會(huì)遭到入侵。
為此,我們通過(guò)添加額外的身份驗(yàn)證方法來(lái)提高安全性,包括基于應(yīng)用的雙因素身份驗(yàn)證(2FA)、通行密鑰、SSO和使用Apple登錄?,F(xiàn)在,我們又進(jìn)一步新增了使用Google帳戶注冊(cè)和登錄。
Cloudflare支持多種針對(duì)不同用例定制的身份驗(yàn)證流程。雖然SSO和通行密鑰是首選且最安全的身份驗(yàn)證方法,但我們認(rèn)為提供比密碼更強(qiáng)的身份驗(yàn)證因素將填補(bǔ)一個(gè)空白,并提高用戶的整體平均安全水平。使用Google登錄使用戶變得更輕松,并且可以避免他們?cè)谝呀?jīng)使用Google身份瀏覽網(wǎng)絡(luò)時(shí)還需要記住另一個(gè)密碼的情況。
“使用Google登錄”基于OAuth 2.0規(guī)范,并允許Google安全地共享有關(guān)特定身份的識(shí)別信息,同時(shí)確保是由Google提供此信息,從而防止任何惡意實(shí)體冒充Google。
這意味著,我們可以將身份驗(yàn)證委托給Google,防止直接針對(duì)該Cloudflare賬戶的零知識(shí)攻擊。
進(jìn)入Cloudflare登錄頁(yè)面后,您將看到如下按鈕。點(diǎn)擊按鈕即可注冊(cè)Cloudflare,完成注冊(cè)后,您無(wú)需輸入密碼即可使用您在Google帳戶中設(shè)置的任何現(xiàn)有保護(hù)措施登錄。
隨著這一功能的推出,Cloudflare現(xiàn)在使用自己的Cloudflare Workers為與OIDC兼容的身份提供商(例如GitHub和Microsoft帳戶)提供一個(gè)抽象層,這意味著我們的用戶可以期待在未來(lái)看到更多身份提供商(IdP)連接支持。
目前,只有通過(guò)Google注冊(cè)的新用戶才能使用他們的Google帳戶登錄,但我們將來(lái)會(huì)為更多用戶實(shí)現(xiàn)這一功能,包括鏈接/取消鏈接社交登錄提供商,我們還會(huì)添加更多社交登錄方式。目前,已經(jīng)創(chuàng)建SSO設(shè)置的企業(yè)級(jí)用戶無(wú)法使用這種方法,而基于Google Workspace創(chuàng)建SSO設(shè)置的用戶將被引導(dǎo)至他們的SSO登錄流程。我們正在考慮如何簡(jiǎn)化已設(shè)置的Access和IdP策略,以保護(hù)您的Cloudflare環(huán)境。
如果您未使用過(guò)Cloudflare,并且擁有Google帳戶,那么使用Cloudflare來(lái)保護(hù)你的網(wǎng)站、構(gòu)建新服務(wù)或嘗試Cloudflare提供的其他服務(wù)將變得比以往任何時(shí)候更簡(jiǎn)單。
更安全的互聯(lián)網(wǎng)
Cloudflare的目標(biāo)之一是讓網(wǎng)絡(luò)安全工具大眾化,讓每個(gè)人都能安全地提供內(nèi)容和連接到互聯(lián)網(wǎng),即便不具備大型企業(yè)及組織的資源條件。
我們決定向所有Cloudflare用戶免費(fèi)提供大量新功能,涵蓋廣泛的安全使用案例,適用于Web管理員、網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)安全愛(ài)好者。
登錄您的Cloudflare帳戶,立即開(kāi)始體驗(yàn)上述的一系列新功能。同時(shí),也歡迎在我們的社區(qū)論壇上提供反饋。