Cloudflare讓互聯(lián)網(wǎng)更安全：免費威脅情報、分析和新型威脅檢測

所有使用互聯(lián)網(wǎng)的用戶每天都可能會接觸到Cloudflare的網(wǎng)絡，要么通過我們的1.1.1.1解析器訪問受Cloudflare保護的站點，要么通過使用我們的Cloudflare One產(chǎn)品的網(wǎng)絡進行連接。

因此Cloudflare承擔著巨大的責任-就是讓覆蓋全球數(shù)十億用戶的互聯(lián)網(wǎng)更加安全。為此，我們向所有Cloudflare用戶免費提供威脅情報和10多種新的安全功能。無論是使用Cloudflare來保護自己的網(wǎng)站、家庭網(wǎng)絡還是辦公室，您都會發(fā)現(xiàn)一些有價值的功能，只需幾次點擊就能開始使用。這些功能主要針對網(wǎng)絡安全領域一些日漸增長的重要問題，包括帳戶接管攻擊、供應鏈攻擊、針對API端點的攻擊、網(wǎng)絡可見性以及網(wǎng)絡數(shù)據(jù)泄漏。

為每個人提供更多安全保障

在展開介紹各項功能的更多信息之前，我們先為大家做一個簡短的摘要。

如果您是網(wǎng)絡安全愛好者：可以訪問我們?nèi)碌腃loudforce One威脅情報網(wǎng)站，了解威脅行為者、攻擊活動和其他涉及整個互聯(lián)網(wǎng)的安全問題。

如果您是網(wǎng)站所有者：從現(xiàn)在開始，所有Free計劃用戶都可以訪問對應區(qū)域的安全分析。此外，我們還通過GraphQL向所有人提供DNS分析。

獲得可見性后，只需要將好的流量與惡意流量區(qū)分開來。所有用戶都將可以使用始終開啟的帳戶接管攻擊檢測、API模式驗證（用于對其API端點上實施積極的安全模型），以及Page Shield腳本監(jiān)控器，以獲取您正在加載的第三方資源（可能被用于執(zhí)行基于供應鏈的攻擊）的可見性。

如果您使用Cloudflare來保護您的人員和網(wǎng)絡：我們將把一些Cloudflare One產(chǎn)品捆綁到一個新的免費產(chǎn)品中。捆綁包中將包括我們目前免費提供的Zero Trust產(chǎn)品，以及一些新產(chǎn)品，例如Magic Network Monitoring（提供網(wǎng)絡可見性）、數(shù)據(jù)丟失防護（保護敏感數(shù)據(jù)）以及Digital Experience Monitoring（衡量網(wǎng)絡連接和性能）。Cloudflare是目前唯一提供同類產(chǎn)品免費版本的廠商。

如果您是新用戶：我們將會提供新的身份驗證選項。今天開始，我們將推出使用Google身份驗證來注冊和登錄Cloudflare的選項，這將使我們的一些用戶更容易登錄，并且減少對輸入密碼的依賴，從而降低其Cloudflare帳戶被盜用的風險。

現(xiàn)在讓我們來詳細介紹一下：

威脅情報與分析

Cloudforce One

我們的威脅研究和運營團隊Cloudforce One現(xiàn)已推出一個可免費訪問的專用威脅情報網(wǎng)站。我們將通過這個網(wǎng)站發(fā)布關于最新威脅行為者活動和策略的技術及實施情況相關信息，以及關于新興惡意軟件、漏洞和攻擊的見解。

我們還將發(fā)布兩則新的威脅情報（后續(xù)還會發(fā)布更多威脅情報）。歡迎訪問新網(wǎng)站以查看最新研究報告，該研究報告會提及一名持續(xù)針對南亞和東亞地方組織的活躍威脅行為者，以及雙重經(jīng)紀貨運欺詐的興起。我們會將更多的研究報告及相關數(shù)據(jù)以自定義指標推送的形式定期發(fā)送給用戶。大家可以通過訂閱電子郵件通知以接收后續(xù)更多威脅研究報告。

Security Analytics

Security Analytics會為您提供覆蓋所有HTTP流量（而不僅僅是被緩解的請求）的安全視角，讓您能夠?qū)Ｗ⒂谧钪匾氖虑椋罕灰暈閻阂獾赡芪幢痪徑獾牧髁?。這意味著，除了使用Security Events查看我們的應用安全產(chǎn)品套件所采取的安全措施外，您還可以使用Security Events來審查所有流量中的異常行為，然后利用獲得的見解制定基于特定流量模式的精確緩解規(guī)則。從今天開始，我們將向所有計劃級別的用戶提供這一視角。Free和Pro計劃用戶現(xiàn)在可以訪問Security Analytics的新儀表板，您可以在流量分析圖表中查看流量的高級別概述，包括分組和過濾能力，以便您可以輕松關注異常情況。您還可以查看重要統(tǒng)計數(shù)據(jù)，并從多個維度進行篩選，包括國家/地區(qū)、源瀏覽器、源操作系統(tǒng)、HTTP版本、SSL協(xié)議版本、緩存狀態(tài)和安全操作。

DNS分析

現(xiàn)在，Cloudflare的每位用戶都可以訪問經(jīng)過改進的新DNS分析儀表板，還可以通過我們強大的GraphQL API訪問新的DNS分析數(shù)據(jù)集?，F(xiàn)在，您可以輕松分析對您的域進行的DNS查詢，這可用于排除問題、檢測模式和趨勢，或通過應用強大的過濾器和按來源分類DNS查詢來生成使用情況報告。隨著Foundation DNS推出，我們引入了基于GraphQL的新DNS分析，但這些分析之前僅適用于使用高級域名服務器的區(qū)域。然而，由于這些分析提供了深入的洞察，我們認為這項功能應該向所有人提供。從今天開始，基于GraphQL的新DNS分析可以在使用了Cloudflare的權威DNS服務的每個區(qū)域的DNS分析界面中訪問。

應用威脅檢測和緩解

帳戶接管檢測

65%的互聯(lián)網(wǎng)用戶因密碼重復使用和大規(guī)模數(shù)據(jù)泄露頻率上升而面臨帳戶接管（ATO）風險。幫助構(gòu)建一個更好的互聯(lián)網(wǎng)意味著讓每個人都能輕松獲得關鍵的帳戶保護。

從今天開始，我們將免費向所有人——從個人用戶到大型企業(yè)——提供預防憑據(jù)填充和其他ATO攻擊的強大帳戶安全服務，并免費提供“泄露憑據(jù)檢查”和ATO檢測等增強功能。

這些更新包括自動檢測登錄，僅需極少設置即可獲取的暴力攻擊預防，以及擁有超過150億條密碼的綜合泄露憑據(jù)數(shù)據(jù)庫，其中將包含來自Have I Been Pwned（HIBP）服務的泄露密碼以及我們自己的數(shù)據(jù)庫?？蛻艨梢酝ㄟ^Cloudflare的WAF功能對泄露的憑據(jù)請求采取行動，例如速率限制規(guī)則和自定義規(guī)則，或者可以在源站采取行動，實施多因素身份驗證（MFA）或根據(jù)發(fā)送到源的標頭要求重置密碼。

設置很簡單：Free計劃用戶可以獲得自動檢測，而付費用戶可以在Cloudflare儀表板中一鍵激活新功能。有關設置和配置的更多詳細信息，請參閱我們的文檔。

API模式驗證

API流量占Cloudflare網(wǎng)絡上動態(tài)流量的一半以上。API的流行開啟了一種全新的攻擊手段。面對這些新威脅，Cloudflare API Shield的模式驗證是加強API安全的第一步。

這是有史以來第一次，所有Cloudflare用戶都可以使用模式驗證，確保僅有效的API請求才能到達源服務器。

此功能可以阻止bug導致的意外信息泄露，預防開發(fā)人員因非標準流程以有害方式暴露端點，并自動阻止僵尸API（因為您的API清單作為您的CI/CD流程的一部分將保持最新狀態(tài)）。

我們建議您使用Cloudflare的API或Terraform provider將端點添加到Cloudflare API Shield，并更新模式，作為您的代碼構(gòu)建后CI/CD流程的一部分進行。通過這種方式，API Shield就會成為一個現(xiàn)成的API清單工具，而模式驗證將處理對您的API發(fā)出的任何非預期請求。

雖然API都是為了與第三方集成，但有時集成是通過將庫直接加載到您的應用中來完成的。接下來，我們將保護用戶免受惡意第三方腳本從您的網(wǎng)頁輸入中竊取敏感信息的侵害，從而幫助保護更多網(wǎng)絡。

供應鏈攻擊防護

現(xiàn)代Web應用通過使用第三方JavaScript庫來改善用戶體驗并減少開發(fā)人員的時間。由于擁有對頁面上一切內(nèi)容的特權訪問權限，遭到破壞的第三方JavaScript庫可以在最終用戶或網(wǎng)站管理員毫不察覺的情況下，秘密地將敏感信息泄露給攻擊者。為應對這種威脅，我們在三年前推出了Page Shield。我們現(xiàn)在向所有用戶免費提供Page Shield的Script Monitor（腳本監(jiān)測器）。

使用Script Monitor，您將看到頁面上加載的所有JavaScript資源，而不僅僅是您的開發(fā)人員加入的那些資源。這種可見性包括由其他腳本動態(tài)加載的腳本。一旦攻擊者攻陷了某個庫，添加一個新的惡意腳本會變得非常簡單，無需更改原始HTML上下文，而是在現(xiàn)有的JavaScript資源中包含新代碼：

當有關pollyfill.io庫所有權變更的消息傳出時，Script Monitor發(fā)揮了至關重要的作用。Script Monitor的用戶可以立即看到他們網(wǎng)站上加載的腳本，快速輕松地了解他們是否處于風險之中

我們很高興向所有用戶提供Script Monitor，從而盡可能擴展這些腳本的可見性。您可以在此處的文檔中了解如何開始。Page Shield的現(xiàn)有用戶可以立即過濾受監(jiān)控的數(shù)據(jù)，了解他們的應用是否使用了polyfill.io（或任何其他庫）。此外，我們構(gòu)建了一個polyfill.io重寫以響應遭到入侵的服務，并已于2024年6月向Free計劃用戶自動啟用。

Turnstile作為Google Firebase擴展

我們很高興地宣布推出適用于Google Firebase的Cloudflare Turnstile App Check Provider，提供無需手動設置的無縫集成。這個新的擴展允許在Firebase上構(gòu)建移動或網(wǎng)絡應用的開發(fā)人員使用Cloudflare的CAPTCHA替代方案來保護其項目免受機器人的侵害。通過利用Turnstile的機器人檢測和質(zhì)詢功能，您可以確保只有真實的人類訪問者與您的Firebase后端服務交互，從而增強安全性和用戶體驗。Cloudflare Turnstile是一種注重隱私的CAPTCHA替代方案，可以在不影響用戶體驗的情況下區(qū)分人類和機器人。與用戶經(jīng)常會放棄的傳統(tǒng)CAPTCHA解決方案不同，Turnstile是隱形運行的，并提供各種模式來確保無摩擦的用戶交互。

Turnstile的Firebase App Check擴展易于集成，使開發(fā)人員能夠以最少的配置快速提升應用安全性。對于已經(jīng)在使用Turnstile的免費版本用戶，此擴展可免費無限制使用。通過結(jié)合Google Firebase的后端服務和Cloudflare Turnstile的優(yōu)勢，開發(fā)人員可以為其用戶提供安全和無縫的體驗。

Cloudflare One

Cloudflare One是一個全面的安全訪問服務邊緣（SASE）平臺，旨在保護和連接互聯(lián)網(wǎng)上的人員、應用、設備和網(wǎng)絡。它將Zero Trust網(wǎng)絡訪問（ZTNA）、安全Web網(wǎng)關（SWG）等服務整合到單一解決方案中。Cloudflare One可以幫助每個人保護人員和網(wǎng)絡，管理訪問控制，防范網(wǎng)絡威脅，保護數(shù)據(jù)，通過Cloudflare的全球網(wǎng)絡路由網(wǎng)絡流量，從而提高網(wǎng)絡性能。它通過提供基于云的方法來取代傳統(tǒng)的安全措施，以保護和簡化對企業(yè)資源的訪問。

現(xiàn)在，人人都可以免費使用Cloudflare One在近兩年中新增的四款產(chǎn)品：

-云訪問安全代理（CASB），用于緩解SaaS應用風險。

-數(shù)據(jù)丟失防護（DLP），用于防止敏感數(shù)據(jù)離開您的網(wǎng)絡和SaaS應用。

-Digital Experience Monitoring，了解用戶使用任何網(wǎng)絡時的體驗。

-Magic Network Monitoring，查看您的網(wǎng)絡中傳輸?shù)乃辛髁俊?/p>

這是對Cloudflare One平臺現(xiàn)有網(wǎng)絡安全產(chǎn)品的補充：

-Access，用于驗證用戶身份，只允許他們使用應該使用的應用。

-Gateway，用于保護出站前往公共互聯(lián)網(wǎng)和進入您的專用網(wǎng)絡的網(wǎng)絡流量。

-Cloudflare Tunnel，我們的應用連接器，其中包括cloudflared和WARP Connector，用于將不同的應用、服務器和專用網(wǎng)絡連接到Cloudflare網(wǎng)絡。

-Cloudflare WARP，我們的設備代理，用于安全地從筆記本電腦或移動設備向互聯(lián)網(wǎng)發(fā)送流量。

任何擁有Cloudflare帳戶的用戶都將自動獲得50個免費名額在其Cloudflare One架構(gòu)中使用上述產(chǎn)品。請訪問我們的Zero Trust和SASE計劃頁面，進一步了解我們的免費產(chǎn)品，并了解我們面向50名成員以上團隊的“隨用隨付”和“合約計劃”。

使用Google進行身份驗證

Cloudflare儀表板本身已成為一種需要保護的重要資源，我們花費了大量時間確保Cloudflare用戶帳戶不會遭到入侵。

為此，我們通過添加額外的身份驗證方法來提高安全性，包括基于應用的雙因素身份驗證（2FA）、通行密鑰、SSO和使用Apple登錄?，F(xiàn)在，我們又進一步新增了使用Google帳戶注冊和登錄。

Cloudflare支持多種針對不同用例定制的身份驗證流程。雖然SSO和通行密鑰是首選且最安全的身份驗證方法，但我們認為提供比密碼更強的身份驗證因素將填補一個空白，并提高用戶的整體平均安全水平。使用Google登錄使用戶變得更輕松，并且可以避免他們在已經(jīng)使用Google身份瀏覽網(wǎng)絡時還需要記住另一個密碼的情況。

“使用Google登錄”基于OAuth 2.0規(guī)范，并允許Google安全地共享有關特定身份的識別信息，同時確保是由Google提供此信息，從而防止任何惡意實體冒充Google。

這意味著，我們可以將身份驗證委托給Google，防止直接針對該Cloudflare賬戶的零知識攻擊。

進入Cloudflare登錄頁面后，您將看到如下按鈕。點擊按鈕即可注冊Cloudflare，完成注冊后，您無需輸入密碼即可使用您在Google帳戶中設置的任何現(xiàn)有保護措施登錄。

隨著這一功能的推出，Cloudflare現(xiàn)在使用自己的Cloudflare Workers為與OIDC兼容的身份提供商（例如GitHub和Microsoft帳戶）提供一個抽象層，這意味著我們的用戶可以期待在未來看到更多身份提供商（IdP）連接支持。

目前，只有通過Google注冊的新用戶才能使用他們的Google帳戶登錄，但我們將來會為更多用戶實現(xiàn)這一功能，包括鏈接/取消鏈接社交登錄提供商，我們還會添加更多社交登錄方式。目前，已經(jīng)創(chuàng)建SSO設置的企業(yè)級用戶無法使用這種方法，而基于Google Workspace創(chuàng)建SSO設置的用戶將被引導至他們的SSO登錄流程。我們正在考慮如何簡化已設置的Access和IdP策略，以保護您的Cloudflare環(huán)境。

如果您未使用過Cloudflare，并且擁有Google帳戶，那么使用Cloudflare來保護你的網(wǎng)站、構(gòu)建新服務或嘗試Cloudflare提供的其他服務將變得比以往任何時候更簡單。

更安全的互聯(lián)網(wǎng)

Cloudflare的目標之一是讓網(wǎng)絡安全工具大眾化，讓每個人都能安全地提供內(nèi)容和連接到互聯(lián)網(wǎng)，即便不具備大型企業(yè)及組織的資源條件。

我們決定向所有Cloudflare用戶免費提供大量新功能，涵蓋廣泛的安全使用案例，適用于Web管理員、網(wǎng)絡管理員和網(wǎng)絡安全愛好者。

登錄您的Cloudflare帳戶，立即開始體驗上述的一系列新功能。同時，也歡迎在我們的社區(qū)論壇上提供反饋。