歡迎參加2021年度Cloudflare安全周！

Cloudflare 2021 年度安全周在今年的 3 月隆重開(kāi)幕！與 Cloudflare 的所有創(chuàng)新周一樣，我們宣布了大量新產(chǎn)品，開(kāi)放處于 beta 測(cè)試階段的產(chǎn)品供大眾使用，與客戶交談，并通過(guò)用例來(lái)說(shuō)明如何使用我們的網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)我們幫助構(gòu)建好互聯(lián)網(wǎng)的使命。

在 Cloudflare 成立初期，我們拒絕被貼上 “安全公司” 的標(biāo)簽。這個(gè)標(biāo)簽過(guò)于局限了。取而代之，我們開(kāi)始著手修復(fù)互聯(lián)網(wǎng)上的潛在缺陷?；ヂ?lián)網(wǎng)絕非為今天所變成的樣子而創(chuàng)建的。我們成立 Cloudflare 就是為了解決這個(gè)問(wèn)題。更安全是最起碼的要求，但我們也要使互聯(lián)網(wǎng)更快、更可靠、更高效。

但我們做的很多事情都是關(guān)于安全的。我們的產(chǎn)品中大約一半與安全相關(guān)這是合理的，因?yàn)榛ヂ?lián)網(wǎng)部分最嚴(yán)重的缺陷是從一開(kāi)始并沒(méi)有專門(mén)在安全性方面下功夫。

安全性：有關(guān)互聯(lián)網(wǎng)的事后思考

Cloudflare 首席技術(shù)官 John Graham-Cumming 做了一場(chǎng)精彩的演講，他談到了我們所依賴的互聯(lián)網(wǎng)在設(shè)計(jì)時(shí)并沒(méi)有提供我們所有人都需要的安全保障。在蒂姆·伯納斯·李（Tim Berners-Lee）有關(guān) Web 的原始方案中，他寫(xiě)道：“超文本的授權(quán)和核算系統(tǒng)可以設(shè)計(jì)得非常復(fù)雜，但這里沒(méi)有提出?！?取而代之，Web 被設(shè)計(jì)成優(yōu)先考慮信息交換而非保密。

互聯(lián)網(wǎng)所依賴的基礎(chǔ)協(xié)議也忽略了安全問(wèn)題。BGP（使網(wǎng)絡(luò)連接在一起的協(xié)議）在其規(guī)范文檔（RFC 文檔）中明確指出這一點(diǎn)：“本備忘錄中不討論安全問(wèn)題?！?可怕的是，DNS 的 RFC 文檔中從未出現(xiàn)過(guò) “安全” 這個(gè)詞。

如果互聯(lián)網(wǎng)依然只是當(dāng)初創(chuàng)建時(shí)的學(xué)術(shù)性科學(xué)項(xiàng)目，這一切當(dāng)然毫無(wú)問(wèn)題。但是，鑒于其重要性，如今在每一個(gè)層面上 “設(shè)計(jì)” 安全性成為關(guān)鍵。過(guò)去 10 年多時(shí)間里，Cloudflare 產(chǎn)品路線圖的重點(diǎn)一直是設(shè)計(jì)和實(shí)現(xiàn)互聯(lián)網(wǎng)如今所需的安全性。

Cloudflare 的歷史路線圖：安全性逆向工程

免費(fèi)加密所有 Web 流量，加密 DNS，對(duì)每個(gè) BGP 路由進(jìn)行簽名，加密 SNI，消除 DDoS 攻擊風(fēng)險(xiǎn)，自動(dòng)修補(bǔ)網(wǎng)絡(luò)軟件漏洞，對(duì)網(wǎng)絡(luò)增加訪問(wèn)管理。我們的使命是幫助構(gòu)建更好的互聯(lián)網(wǎng)，但其中大部分是幫助構(gòu)建一個(gè)根本上安全的互聯(lián)網(wǎng)。

整整一周的安全產(chǎn)品發(fā)布

周一，我們從 MPLS 著手。這是很多組織賴以驅(qū)動(dòng)其網(wǎng)絡(luò)的基礎(chǔ)網(wǎng)絡(luò)技術(shù)。不幸的是，這種技術(shù)成本高昂、部署緩慢、難以管理且默認(rèn)缺乏真正的安全性。還記得斯諾登泄露的一份美國(guó)國(guó)家安全局文件嗎？其中描述了谷歌的網(wǎng)絡(luò)，在一個(gè)笑臉旁寫(xiě)著 “SSL 在此添加和刪除”。這個(gè)笑臉從根本上而言就是 MPLS 安全模型的一個(gè)缺陷。我們?cè)谥芤恍迯?fù)了這個(gè)缺陷，同時(shí)使它變得更快、成本更低。

在周二，我們轉(zhuǎn)向?yàn)g覽器。如果您仔細(xì)想下，瀏覽器其實(shí)是 CISO 的噩夢(mèng)。在您訪問(wèn)的每一個(gè) web 頁(yè)面中，隨機(jī)代碼會(huì)被自動(dòng)下載并在本地運(yùn)行。我們已經(jīng)討論過(guò)遠(yuǎn)程瀏覽器隔離如何解決這個(gè)問(wèn)題。在周二，我們將向所有人開(kāi)放這個(gè)功能，并向我們的 Gateway 產(chǎn)品增加更多功能，以便幫助解決同一個(gè)基本問(wèn)題。

在周三，我們重新審視安全供應(yīng)商投入不足的一個(gè)重要領(lǐng)域。是否對(duì) SaaS 應(yīng)用程序默認(rèn)提供的權(quán)限和控制不滿意?是否擔(dān)憂您的應(yīng)用程序 API 比預(yù)期泄漏更多數(shù)據(jù)？安全性不總是將攻擊者拒之門(mén)外，還需要確保數(shù)據(jù)留在里面。我們努力幫助客戶解決這些普遍性的挑戰(zhàn)。

在周四，我們將幫助處理現(xiàn)代互聯(lián)網(wǎng)和 Web 的復(fù)雜性。互聯(lián)網(wǎng)本身是網(wǎng)絡(luò)的集合。而現(xiàn)代 Web 頁(yè)是一系列內(nèi)容和應(yīng)用程序的集合。不幸的是，“一環(huán)薄弱，全盤(pán)皆輸” 的古語(yǔ)在網(wǎng)上也適用。在周四，我們將宣布一套工具，用于監(jiān)測(cè)網(wǎng)絡(luò)級(jí)別直至 web 頁(yè)面具體代碼是否出現(xiàn)來(lái)自第三方的問(wèn)題。

在周五，我們將部分此前僅面向我們最大客戶的自動(dòng)程序防御技術(shù)開(kāi)放給更廣泛的受眾。同時(shí)，我們將推出更多用于識(shí)別和保護(hù) API 的工具。保護(hù) API 向來(lái)比防御自動(dòng)程序攻擊更難。

合作伙伴關(guān)系與實(shí)踐

我們使命宣言中含有 “幫助” 的字眼是有原因的：僅憑一己之力，我們無(wú)法構(gòu)建更好、更安全的互聯(lián)網(wǎng)。我們不銷(xiāo)售網(wǎng)絡(luò)硬件。我們不擁有客戶儲(chǔ)存數(shù)據(jù)并運(yùn)行應(yīng)用程序的核心數(shù)據(jù)中心。還有一些公司是身份管理和端點(diǎn)安全方面的資深專家。因此，在本周內(nèi)，我們將宣布與相鄰領(lǐng)域領(lǐng)軍企業(yè)建立的一系列合作關(guān)系，以便共同客戶圍繞我們安全、快速和可靠的全球網(wǎng)絡(luò)打造完整的解決方案。

我們始終不想被描述為安全公司的原因之一就是，這個(gè)行業(yè)傾向于利用恐懼、不確定性和懷疑來(lái)銷(xiāo)售產(chǎn)品。因此，本周我們要改變這個(gè)局面。我們不會(huì)像穿著連帽衫和無(wú)指手套的黑客那樣發(fā)出嚇人的信息，而是對(duì)近期一些引人注目的黑客攻擊進(jìn)行分析，討論您可以如何使用我們的產(chǎn)品和其他產(chǎn)品來(lái)保護(hù)自己。

在安全周期間，在 CloudflareTV 上，我們與令人欽佩的安全專家座談，并采訪我們即將宣布的產(chǎn)品背后的產(chǎn)品經(jīng)理和工程師。節(jié)目表已經(jīng)發(fā)布，歡迎觀看直播并提問(wèn)。

一周時(shí)間并不足夠

這還不是全部。我們幾乎要將這次活動(dòng)為宣布為 “安全雙周”，因?yàn)槲覀円继嘈庐a(chǎn)品和能力了。

雖然網(wǎng)絡(luò)安全的新聞標(biāo)題往往看起來(lái)很?chē)?yán)峻，但我們還是非常樂(lè)觀。我們可以修復(fù)互聯(lián)網(wǎng)的根本缺陷。我們過(guò)去 10 多年來(lái)一直在做這件事。而在今年 3 月，能向前再邁出一大步，我們感到非常激動(dòng)。

歡迎享受 Cloudflare 2021 年度安全周！