出海企業(yè)，我們有好消息宣布！Cloudflare獲評ForresterWave DDoS防護解決方案領(lǐng)導(dǎo)者

來源： Cloudflare

作者：Cloudflare

時間：2021-04-09

Forrester 公司安全與風(fēng)險高級分析師 David Holmes 撰寫的這份報告稱，“Cloudflare 從邊緣防護 DDoS 攻擊，而且反應(yīng)迅速。客戶薦言將 Cloudflare 的邊緣網(wǎng)絡(luò)視為保護和交付應(yīng)用程序方面一種令人嘆服的方式。”

我們在此欣然宣布，Cloudflare 已獲評為 2021 年第一季度 Forrester WaveTM DDoS 防護解決方案領(lǐng)導(dǎo)者。

Forrester 公司安全與風(fēng)險高級分析師 David Holmes 撰寫的這份報告稱，“Cloudflare 從邊緣防護 DDoS 攻擊，而且反應(yīng)迅速?？蛻羲]言將 Cloudflare 的邊緣網(wǎng)絡(luò)視為保護和交付應(yīng)用程序方面一種令人嘆服的方式。”

對所有用戶開放的不計量和無限制 DDoS 保護

Cloudflare 的使命是幫助建設(shè)更美好的互聯(lián)網(wǎng)——其中 DDoS 攻擊的影響不再存在。在過去 10 年中，我們一直堅定不移地保護客戶的互聯(lián)網(wǎng)資產(chǎn)免受各種 DDoS 攻擊影響。在2017年，我們宣布免費的不計量DDoS 保護，包含于 Cloudflare 的每一項服務(wù)和計劃中，包括免費計劃，旨在確保每一個組織都受到保護并維持可用性。

得益于我們自行開發(fā)的自動 DDoS 防護系統(tǒng)，我們能免費提供不計量和無限制的 DDoS 保護。我們的自動化系統(tǒng)持續(xù)異步分析流量樣本以免影響性能。系統(tǒng)對OSI 模型的 3-7 層進行掃描以監(jiān)測 DDoS 攻擊。系統(tǒng)在 IP 數(shù)據(jù)包、HTTP 請求和 HTTP 響應(yīng)中尋找模式。在發(fā)現(xiàn)攻擊時，系統(tǒng)以臨時緩解規(guī)則的形式生成一個實時簽名。該規(guī)則傳播至我們網(wǎng)絡(luò)邊緣上的最優(yōu)位置，以獲得經(jīng)濟高效的緩解：例如在 Linux 內(nèi)核的 eXpress Data Path (XDP)，Linux 用戶空間 iptables 中或在 HTTP 反向代理中。由于采用這種經(jīng)濟高效的策略，我們能在不影響性能的情況下緩解最大容量的分布式攻擊。

DDoS 攻擊不斷增加

我們希望說 DDoS 攻擊已成為過去。但不幸的是，情況并非如此。

相反，我們繼續(xù)觀察到 DDoS 攻擊的頻率、復(fù)雜程度和地理分布每個季度都在增加。過去一年來，Cloudflare 觀察到并自動緩解了一些最大型及可以說是最有創(chuàng)造性的網(wǎng)絡(luò)攻擊。由于攻擊者所采取的方式日益大膽和狡猾，組織也在尋求對付這些攻擊而不導(dǎo)致其提供的服務(wù)中斷的方法。

組織遭遇 DDoS 勒索攻擊

今年1月，我們分享了一則消息：我們幫助一家財富全球 500 強企業(yè)抗擊一次勒索型 DDoS 攻擊并保持在線。這并非孤例。事實上，2020 年第四季度期間，17% 的受訪 Cloudflare 客戶報告收到一次 DDoS 勒索攻擊或攻擊威脅。2021 年第一季度，這個比例增加到 26% —— 大約四分之一受訪者報告一次勒索威脅且網(wǎng)絡(luò)基礎(chǔ)設(shè)施遭受到一次 DDoS 攻擊。

不管組織成為勒索型攻擊還是業(yè)余“網(wǎng)絡(luò)破壞主義”的目標(biāo)，使用一種需要時不用人工干預(yù)，不間斷的自動化 DDoS 防護服務(wù)是非常重要的。我們能向客戶提供這種級別的保護，對此感到無比自豪。

持續(xù)完善

隨著攻擊繼續(xù)演變，使用我們服務(wù)的客戶數(shù)量也在增加，Cloudflare 不斷投資于我們的技術(shù)，從而總是領(lǐng)先于攻擊者幾步。我們進行了大量投資，增強緩解容量，優(yōu)化檢測算法，向客戶提供更佳的分析能力。我們的目標(biāo)是使 DDoS 攻擊對所有客戶的影響成為過去，正如 90 年代的垃圾郵件。

在 2019 年，我們推出了自主 DDoS 檢測和緩解系統(tǒng)，dosd。作為我們緩解堆棧的一個組成部分，dosd 是完全軟件定義的，利用 Linux 的 eXpress Data Path (XDP)，讓我們能迅速自動部署 eBPF 規(guī)則，對每個接收到的數(shù)據(jù)包進行檢測——在邊緣平均不到 3 秒即可緩解最復(fù)雜的攻擊，并即時緩解其他普通攻擊。其工作方式是檢測攻擊流量中的模式，然后迅速自動部署規(guī)則，在瞬息間擊退攻擊者。此外，dosd 在每個數(shù)據(jù)中心中獨立運行，不依賴于集中式數(shù)據(jù)中心，這極大地增強了我們網(wǎng)絡(luò)的韌性。

dosd 通過檢測流量中的模式來緩解攻擊的方式非常有效，但沒有模式的攻擊如何應(yīng)對呢？這時 flowtrackd 就有了用武之地。這是我們在 2020 年創(chuàng)建的新型 TCP 狀態(tài)分類引擎，用于防御針對我們Magic Transit 客戶的破壞性 L3/L4 攻擊。這種技術(shù)能檢測并緩解最隨機、最復(fù)雜的攻擊。此外，在 L7，我們也學(xué)習(xí)客戶的流量基線并在其源服務(wù)器遭受壓力時加以識別。在某個源服務(wù)器顯示惡化跡象時，我們的系統(tǒng)就會啟動軟緩解，以便降低對服務(wù)器的影響并允許其恢復(fù)正常狀態(tài)。

構(gòu)建先進的 DDoS 防護系統(tǒng)不僅事關(guān)檢測，也涉及到經(jīng)濟高效的緩解?；谶@個要求，我們向全世界推出了 IP Jails：IP Jails 是一種gatebot 能力，可在不影響性能的情況下緩解最大容量的分布式攻擊。在攻擊容量顯著增加時，gatebot 就會激活 IP Jails。這時，系統(tǒng)不再在 L7 進行阻止，取而代之，IP Jails 會暫時斷開攻擊 IP 地址（這些 IP 地址產(chǎn)生的請求匹配 gatebot 所創(chuàng)建的攻擊簽名）的連接。IP Jails 利用 Linux iptables 機制來在瞬間丟棄數(shù)據(jù)包。在 L4 斷開 L7 攻擊極大地提高了成本效益，我們的客戶和站點可靠性工程團隊均從中受益。

鑒于我們觀察到和緩解的攻擊日益復(fù)雜，為了向我們的客戶提供更佳的可見性和洞察，我們在 2019 年推出了防火墻分析（Firewall Analytics）儀表板。該儀表板提供了對 L7 層 HTTP 應(yīng)用程序安全和 DDoS 活動的洞察，并允許客戶在分析儀表板中直接配置規(guī)則，從而縮短了事件響應(yīng)的反饋循環(huán)。在2020年, 我們?yōu)?Magic Transit 和 Spectrum 企業(yè)客戶發(fā)布了針對 L3/4 活動的同等功能儀表板，即網(wǎng)絡(luò)分析（Network Analytics）儀表板。網(wǎng)絡(luò)分析儀表板提供對數(shù)據(jù)包級別流量和 DDoS 攻擊活動的洞察，同時提供定期的洞察與趨勢（Insights and Trends）。作為這些儀表板的補充，并為我們的用戶在其需要時提供正確的信息，我們推出了實時 DDoS 警報以及定期 DDoS 報告 ——直接投遞到您的郵箱。您也可以選擇直接投送到 SIEM 儀表板。

Cloudflare 在策略類別獲得最高分

今年，由于我們先進的 DDoS 保護能力，Cloudflare 在策略類別獲得最高分，并在當(dāng)前提供產(chǎn)品類別進入前三名。此外，我們在該報告的 15 項標(biāo)準中獲得最高分數(shù)，包括：

威脅檢測
爆發(fā)性攻擊
響應(yīng)自動化
實施速度
產(chǎn)品愿景
性能
安全運營中心（SOC）服務(wù)

我們相信，我們今天的成績源于過去幾年來對我們?nèi)?Anycast 網(wǎng)絡(luò)的持續(xù)投資——這是我們向客戶提供的所有服務(wù)的基礎(chǔ)。

我們的網(wǎng)絡(luò)具備可擴展的架構(gòu)設(shè)計——每一項服務(wù)都運行于遍布全球 200 多個城市的每一個 Cloudflare 數(shù)據(jù)中心中的每一臺服務(wù)器。與報告中的部分其他供應(yīng)商相反，Cloudflare 的每一項服務(wù)都是從我們的每一個邊緣數(shù)據(jù)中心交付的。

集成的安全和性能

一家領(lǐng)先的應(yīng)用性能監(jiān)測公司使用了 Cloudflare 的無服務(wù)器計算和內(nèi)容交付服務(wù)。該公司最近告訴我們，他們希望將其性能和安全服務(wù)整合到一個供應(yīng)商。他們放棄了原有的 L3 服務(wù)提供商，并啟用 Cloudflare 的應(yīng)用和網(wǎng)絡(luò)服務(wù)（Magic Transit），以便獲得更輕松的管理和更佳的支持。

我們越來越多地看到這種情況。使用單一云提供商以獲得一體化安全和性能服務(wù)的益處不可勝數(shù)：

管理更輕松 —— 用戶可通過單一儀表板和單一 API 端點管理 Cloudflare 的所有服務(wù)，例如 DDoS 保護，WAF，CDN，機器人管理和無服務(wù)器計算。

深度服務(wù)集成 —— 我們的所有服務(wù)都是深度集成的，用戶得以充分利用 Cloudflare 的強大功能。例如，機器人管理規(guī)則是通過我們的應(yīng)用程序防火墻部署的。

故障排除更輕松 —— 我們的客戶在排除故障時只有一個聯(lián)系點，而不必聯(lián)系多個供應(yīng)商。我們還通過攻擊求助熱線提供即時人工響應(yīng)。

更低延遲 —— 由于我們的每一項服務(wù)都是從我們所有數(shù)據(jù)中心交付的，不存在任何性能損失。例如，從 DDoS 服務(wù)到機器人管理服務(wù)到 CDN 服務(wù)沒有額外的路由躍點。

然而，并非所有云服務(wù)都是相同的，當(dāng)今大多數(shù)供應(yīng)商都不能提供一套全面和健壯的解決方案。Cloudflare 具有獨特的架構(gòu)，能夠提供一個擁有全明星產(chǎn)品陣容的集成解決方案，例如：

CDN

2020 年度 Garnet Peer Insights “客戶之聲”：全球 CDN 評選中榮獲“客戶之選”領(lǐng)導(dǎo)者稱號

DDoS

在 2020 年度 Gartner DDoS 云清洗中心解決方案比較報告中獲得最多最高分

WAF

Cloudflare 成為 2020 年度 Gartner Web 應(yīng)用程序防火墻魔力象限報告中的挑戰(zhàn)者（在“執(zhí)行能力”項目獲得最高排名)