Cloudflare讓互聯(lián)網(wǎng)更安全：免費(fèi)威脅情報、分析和新型威脅檢測

所有使用互聯(lián)網(wǎng)的用戶每天都可能會接觸到Cloudflare的網(wǎng)絡(luò)，要么通過我們的1.1.1.1解析器訪問受Cloudflare保護(hù)的站點(diǎn)，要么通過使用我們的Cloudflare One產(chǎn)品的網(wǎng)絡(luò)進(jìn)行連接。

因此Cloudflare承擔(dān)著巨大的責(zé)任-就是讓覆蓋全球數(shù)十億用戶的互聯(lián)網(wǎng)更加安全。為此，我們向所有Cloudflare用戶免費(fèi)提供威脅情報和10多種新的安全功能。無論是使用Cloudflare來保護(hù)自己的網(wǎng)站、家庭網(wǎng)絡(luò)還是辦公室，您都會發(fā)現(xiàn)一些有價值的功能，只需幾次點(diǎn)擊就能開始使用。這些功能主要針對網(wǎng)絡(luò)安全領(lǐng)域一些日漸增長的重要問題，包括帳戶接管攻擊、供應(yīng)鏈攻擊、針對API端點(diǎn)的攻擊、網(wǎng)絡(luò)可見性以及網(wǎng)絡(luò)數(shù)據(jù)泄漏。

為每個人提供更多安全保障

在展開介紹各項(xiàng)功能的更多信息之前，我們先為大家做一個簡短的摘要。

如果您是網(wǎng)絡(luò)安全愛好者：可以訪問我們?nèi)碌腃loudforce One威脅情報網(wǎng)站，了解威脅行為者、攻擊活動和其他涉及整個互聯(lián)網(wǎng)的安全問題。

如果您是網(wǎng)站所有者：從現(xiàn)在開始，所有Free計劃用戶都可以訪問對應(yīng)區(qū)域的安全分析。此外，我們還通過GraphQL向所有人提供DNS分析。

獲得可見性后，只需要將好的流量與惡意流量區(qū)分開來。所有用戶都將可以使用始終開啟的帳戶接管攻擊檢測、API模式驗(yàn)證（用于對其API端點(diǎn)上實(shí)施積極的安全模型），以及Page Shield腳本監(jiān)控器，以獲取您正在加載的第三方資源（可能被用于執(zhí)行基于供應(yīng)鏈的攻擊）的可見性。

如果您使用Cloudflare來保護(hù)您的人員和網(wǎng)絡(luò)：我們將把一些Cloudflare One產(chǎn)品捆綁到一個新的免費(fèi)產(chǎn)品中。捆綁包中將包括我們目前免費(fèi)提供的Zero Trust產(chǎn)品，以及一些新產(chǎn)品，例如Magic Network Monitoring（提供網(wǎng)絡(luò)可見性）、數(shù)據(jù)丟失防護(hù)（保護(hù)敏感數(shù)據(jù)）以及Digital Experience Monitoring（衡量網(wǎng)絡(luò)連接和性能）。Cloudflare是目前唯一提供同類產(chǎn)品免費(fèi)版本的廠商。

如果您是新用戶：我們將會提供新的身份驗(yàn)證選項(xiàng)。今天開始，我們將推出使用Google身份驗(yàn)證來注冊和登錄Cloudflare的選項(xiàng)，這將使我們的一些用戶更容易登錄，并且減少對輸入密碼的依賴，從而降低其Cloudflare帳戶被盜用的風(fēng)險。

現(xiàn)在讓我們來詳細(xì)介紹一下：

威脅情報與分析

Cloudforce One

我們的威脅研究和運(yùn)營團(tuán)隊(duì)Cloudforce One現(xiàn)已推出一個可免費(fèi)訪問的專用威脅情報網(wǎng)站。我們將通過這個網(wǎng)站發(fā)布關(guān)于最新威脅行為者活動和策略的技術(shù)及實(shí)施情況相關(guān)信息，以及關(guān)于新興惡意軟件、漏洞和攻擊的見解。

我們還將發(fā)布兩則新的威脅情報（后續(xù)還會發(fā)布更多威脅情報）。歡迎訪問新網(wǎng)站以查看最新研究報告，該研究報告會提及一名持續(xù)針對南亞和東亞地方組織的活躍威脅行為者，以及雙重經(jīng)紀(jì)貨運(yùn)欺詐的興起。我們會將更多的研究報告及相關(guān)數(shù)據(jù)以自定義指標(biāo)推送的形式定期發(fā)送給用戶。大家可以通過訂閱電子郵件通知以接收后續(xù)更多威脅研究報告。

Security Analytics

Security Analytics會為您提供覆蓋所有HTTP流量（而不僅僅是被緩解的請求）的安全視角，讓您能夠?qū)Ｗ⒂谧钪匾氖虑椋罕灰暈閻阂獾赡芪幢痪徑獾牧髁?。這意味著，除了使用Security Events查看我們的應(yīng)用安全產(chǎn)品套件所采取的安全措施外，您還可以使用Security Events來審查所有流量中的異常行為，然后利用獲得的見解制定基于特定流量模式的精確緩解規(guī)則。從今天開始，我們將向所有計劃級別的用戶提供這一視角。Free和Pro計劃用戶現(xiàn)在可以訪問Security Analytics的新儀表板，您可以在流量分析圖表中查看流量的高級別概述，包括分組和過濾能力，以便您可以輕松關(guān)注異常情況。您還可以查看重要統(tǒng)計數(shù)據(jù)，并從多個維度進(jìn)行篩選，包括國家/地區(qū)、源瀏覽器、源操作系統(tǒng)、HTTP版本、SSL協(xié)議版本、緩存狀態(tài)和安全操作。

DNS分析

現(xiàn)在，Cloudflare的每位用戶都可以訪問經(jīng)過改進(jìn)的新DNS分析儀表板，還可以通過我們強(qiáng)大的GraphQL API訪問新的DNS分析數(shù)據(jù)集?，F(xiàn)在，您可以輕松分析對您的域進(jìn)行的DNS查詢，這可用于排除問題、檢測模式和趨勢，或通過應(yīng)用強(qiáng)大的過濾器和按來源分類DNS查詢來生成使用情況報告。隨著Foundation DNS推出，我們引入了基于GraphQL的新DNS分析，但這些分析之前僅適用于使用高級域名服務(wù)器的區(qū)域。然而，由于這些分析提供了深入的洞察，我們認(rèn)為這項(xiàng)功能應(yīng)該向所有人提供。從今天開始，基于GraphQL的新DNS分析可以在使用了Cloudflare的權(quán)威DNS服務(wù)的每個區(qū)域的DNS分析界面中訪問。

應(yīng)用威脅檢測和緩解

帳戶接管檢測

65%的互聯(lián)網(wǎng)用戶因密碼重復(fù)使用和大規(guī)模數(shù)據(jù)泄露頻率上升而面臨帳戶接管（ATO）風(fēng)險。幫助構(gòu)建一個更好的互聯(lián)網(wǎng)意味著讓每個人都能輕松獲得關(guān)鍵的帳戶保護(hù)。

從今天開始，我們將免費(fèi)向所有人——從個人用戶到大型企業(yè)——提供預(yù)防憑據(jù)填充和其他ATO攻擊的強(qiáng)大帳戶安全服務(wù)，并免費(fèi)提供“泄露憑據(jù)檢查”和ATO檢測等增強(qiáng)功能。

這些更新包括自動檢測登錄，僅需極少設(shè)置即可獲取的暴力攻擊預(yù)防，以及擁有超過150億條密碼的綜合泄露憑據(jù)數(shù)據(jù)庫，其中將包含來自Have I Been Pwned（HIBP）服務(wù)的泄露密碼以及我們自己的數(shù)據(jù)庫?？蛻艨梢酝ㄟ^Cloudflare的WAF功能對泄露的憑據(jù)請求采取行動，例如速率限制規(guī)則和自定義規(guī)則，或者可以在源站采取行動，實(shí)施多因素身份驗(yàn)證（MFA）或根據(jù)發(fā)送到源的標(biāo)頭要求重置密碼。

設(shè)置很簡單：Free計劃用戶可以獲得自動檢測，而付費(fèi)用戶可以在Cloudflare儀表板中一鍵激活新功能。有關(guān)設(shè)置和配置的更多詳細(xì)信息，請參閱我們的文檔。

API模式驗(yàn)證

API流量占Cloudflare網(wǎng)絡(luò)上動態(tài)流量的一半以上。API的流行開啟了一種全新的攻擊手段。面對這些新威脅，Cloudflare API Shield的模式驗(yàn)證是加強(qiáng)API安全的第一步。

這是有史以來第一次，所有Cloudflare用戶都可以使用模式驗(yàn)證，確保僅有效的API請求才能到達(dá)源服務(wù)器。

此功能可以阻止bug導(dǎo)致的意外信息泄露，預(yù)防開發(fā)人員因非標(biāo)準(zhǔn)流程以有害方式暴露端點(diǎn)，并自動阻止僵尸API（因?yàn)槟腁PI清單作為您的CI/CD流程的一部分將保持最新狀態(tài)）。

我們建議您使用Cloudflare的API或Terraform provider將端點(diǎn)添加到Cloudflare API Shield，并更新模式，作為您的代碼構(gòu)建后CI/CD流程的一部分進(jìn)行。通過這種方式，API Shield就會成為一個現(xiàn)成的API清單工具，而模式驗(yàn)證將處理對您的API發(fā)出的任何非預(yù)期請求。

雖然API都是為了與第三方集成，但有時集成是通過將庫直接加載到您的應(yīng)用中來完成的。接下來，我們將保護(hù)用戶免受惡意第三方腳本從您的網(wǎng)頁輸入中竊取敏感信息的侵害，從而幫助保護(hù)更多網(wǎng)絡(luò)。

供應(yīng)鏈攻擊防護(hù)

現(xiàn)代Web應(yīng)用通過使用第三方JavaScript庫來改善用戶體驗(yàn)并減少開發(fā)人員的時間。由于擁有對頁面上一切內(nèi)容的特權(quán)訪問權(quán)限，遭到破壞的第三方JavaScript庫可以在最終用戶或網(wǎng)站管理員毫不察覺的情況下，秘密地將敏感信息泄露給攻擊者。為應(yīng)對這種威脅，我們在三年前推出了Page Shield。我們現(xiàn)在向所有用戶免費(fèi)提供Page Shield的Script Monitor（腳本監(jiān)測器）。

使用Script Monitor，您將看到頁面上加載的所有JavaScript資源，而不僅僅是您的開發(fā)人員加入的那些資源。這種可見性包括由其他腳本動態(tài)加載的腳本。一旦攻擊者攻陷了某個庫，添加一個新的惡意腳本會變得非常簡單，無需更改原始HTML上下文，而是在現(xiàn)有的JavaScript資源中包含新代碼：

當(dāng)有關(guān)pollyfill.io庫所有權(quán)變更的消息傳出時，Script Monitor發(fā)揮了至關(guān)重要的作用。Script Monitor的用戶可以立即看到他們網(wǎng)站上加載的腳本，快速輕松地了解他們是否處于風(fēng)險之中

我們很高興向所有用戶提供Script Monitor，從而盡可能擴(kuò)展這些腳本的可見性。您可以在此處的文檔中了解如何開始。Page Shield的現(xiàn)有用戶可以立即過濾受監(jiān)控的數(shù)據(jù)，了解他們的應(yīng)用是否使用了polyfill.io（或任何其他庫）。此外，我們構(gòu)建了一個polyfill.io重寫以響應(yīng)遭到入侵的服務(wù)，并已于2024年6月向Free計劃用戶自動啟用。

Turnstile作為Google Firebase擴(kuò)展

我們很高興地宣布推出適用于Google Firebase的Cloudflare Turnstile App Check Provider，提供無需手動設(shè)置的無縫集成。這個新的擴(kuò)展允許在Firebase上構(gòu)建移動或網(wǎng)絡(luò)應(yīng)用的開發(fā)人員使用Cloudflare的CAPTCHA替代方案來保護(hù)其項(xiàng)目免受機(jī)器人的侵害。通過利用Turnstile的機(jī)器人檢測和質(zhì)詢功能，您可以確保只有真實(shí)的人類訪問者與您的Firebase后端服務(wù)交互，從而增強(qiáng)安全性和用戶體驗(yàn)。Cloudflare Turnstile是一種注重隱私的CAPTCHA替代方案，可以在不影響用戶體驗(yàn)的情況下區(qū)分人類和機(jī)器人。與用戶經(jīng)常會放棄的傳統(tǒng)CAPTCHA解決方案不同，Turnstile是隱形運(yùn)行的，并提供各種模式來確保無摩擦的用戶交互。

Turnstile的Firebase App Check擴(kuò)展易于集成，使開發(fā)人員能夠以最少的配置快速提升應(yīng)用安全性。對于已經(jīng)在使用Turnstile的免費(fèi)版本用戶，此擴(kuò)展可免費(fèi)無限制使用。通過結(jié)合Google Firebase的后端服務(wù)和Cloudflare Turnstile的優(yōu)勢，開發(fā)人員可以為其用戶提供安全和無縫的體驗(yàn)。

Cloudflare One

Cloudflare One是一個全面的安全訪問服務(wù)邊緣（SASE）平臺，旨在保護(hù)和連接互聯(lián)網(wǎng)上的人員、應(yīng)用、設(shè)備和網(wǎng)絡(luò)。它將Zero Trust網(wǎng)絡(luò)訪問（ZTNA）、安全Web網(wǎng)關(guān)（SWG）等服務(wù)整合到單一解決方案中。Cloudflare One可以幫助每個人保護(hù)人員和網(wǎng)絡(luò)，管理訪問控制，防范網(wǎng)絡(luò)威脅，保護(hù)數(shù)據(jù)，通過Cloudflare的全球網(wǎng)絡(luò)路由網(wǎng)絡(luò)流量，從而提高網(wǎng)絡(luò)性能。它通過提供基于云的方法來取代傳統(tǒng)的安全措施，以保護(hù)和簡化對企業(yè)資源的訪問。

現(xiàn)在，人人都可以免費(fèi)使用Cloudflare One在近兩年中新增的四款產(chǎn)品：

-云訪問安全代理（CASB），用于緩解SaaS應(yīng)用風(fēng)險。

-數(shù)據(jù)丟失防護(hù)（DLP），用于防止敏感數(shù)據(jù)離開您的網(wǎng)絡(luò)和SaaS應(yīng)用。

-Digital Experience Monitoring，了解用戶使用任何網(wǎng)絡(luò)時的體驗(yàn)。

-Magic Network Monitoring，查看您的網(wǎng)絡(luò)中傳輸?shù)乃辛髁俊?/p>

這是對Cloudflare One平臺現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品的補(bǔ)充：

-Access，用于驗(yàn)證用戶身份，只允許他們使用應(yīng)該使用的應(yīng)用。

-Gateway，用于保護(hù)出站前往公共互聯(lián)網(wǎng)和進(jìn)入您的專用網(wǎng)絡(luò)的網(wǎng)絡(luò)流量。

-Cloudflare Tunnel，我們的應(yīng)用連接器，其中包括cloudflared和WARP Connector，用于將不同的應(yīng)用、服務(wù)器和專用網(wǎng)絡(luò)連接到Cloudflare網(wǎng)絡(luò)。

-Cloudflare WARP，我們的設(shè)備代理，用于安全地從筆記本電腦或移動設(shè)備向互聯(lián)網(wǎng)發(fā)送流量。

任何擁有Cloudflare帳戶的用戶都將自動獲得50個免費(fèi)名額在其Cloudflare One架構(gòu)中使用上述產(chǎn)品。請?jiān)L問我們的Zero Trust和SASE計劃頁面，進(jìn)一步了解我們的免費(fèi)產(chǎn)品，并了解我們面向50名成員以上團(tuán)隊(duì)的“隨用隨付”和“合約計劃”。

使用Google進(jìn)行身份驗(yàn)證

Cloudflare儀表板本身已成為一種需要保護(hù)的重要資源，我們花費(fèi)了大量時間確保Cloudflare用戶帳戶不會遭到入侵。

為此，我們通過添加額外的身份驗(yàn)證方法來提高安全性，包括基于應(yīng)用的雙因素身份驗(yàn)證（2FA）、通行密鑰、SSO和使用Apple登錄?，F(xiàn)在，我們又進(jìn)一步新增了使用Google帳戶注冊和登錄。

Cloudflare支持多種針對不同用例定制的身份驗(yàn)證流程。雖然SSO和通行密鑰是首選且最安全的身份驗(yàn)證方法，但我們認(rèn)為提供比密碼更強(qiáng)的身份驗(yàn)證因素將填補(bǔ)一個空白，并提高用戶的整體平均安全水平。使用Google登錄使用戶變得更輕松，并且可以避免他們在已經(jīng)使用Google身份瀏覽網(wǎng)絡(luò)時還需要記住另一個密碼的情況。

“使用Google登錄”基于OAuth 2.0規(guī)范，并允許Google安全地共享有關(guān)特定身份的識別信息，同時確保是由Google提供此信息，從而防止任何惡意實(shí)體冒充Google。

這意味著，我們可以將身份驗(yàn)證委托給Google，防止直接針對該Cloudflare賬戶的零知識攻擊。

進(jìn)入Cloudflare登錄頁面后，您將看到如下按鈕。點(diǎn)擊按鈕即可注冊Cloudflare，完成注冊后，您無需輸入密碼即可使用您在Google帳戶中設(shè)置的任何現(xiàn)有保護(hù)措施登錄。

隨著這一功能的推出，Cloudflare現(xiàn)在使用自己的Cloudflare Workers為與OIDC兼容的身份提供商（例如GitHub和Microsoft帳戶）提供一個抽象層，這意味著我們的用戶可以期待在未來看到更多身份提供商（IdP）連接支持。

目前，只有通過Google注冊的新用戶才能使用他們的Google帳戶登錄，但我們將來會為更多用戶實(shí)現(xiàn)這一功能，包括鏈接/取消鏈接社交登錄提供商，我們還會添加更多社交登錄方式。目前，已經(jīng)創(chuàng)建SSO設(shè)置的企業(yè)級用戶無法使用這種方法，而基于Google Workspace創(chuàng)建SSO設(shè)置的用戶將被引導(dǎo)至他們的SSO登錄流程。我們正在考慮如何簡化已設(shè)置的Access和IdP策略，以保護(hù)您的Cloudflare環(huán)境。

如果您未使用過Cloudflare，并且擁有Google帳戶，那么使用Cloudflare來保護(hù)你的網(wǎng)站、構(gòu)建新服務(wù)或嘗試Cloudflare提供的其他服務(wù)將變得比以往任何時候更簡單。

更安全的互聯(lián)網(wǎng)

Cloudflare的目標(biāo)之一是讓網(wǎng)絡(luò)安全工具大眾化，讓每個人都能安全地提供內(nèi)容和連接到互聯(lián)網(wǎng)，即便不具備大型企業(yè)及組織的資源條件。

我們決定向所有Cloudflare用戶免費(fèi)提供大量新功能，涵蓋廣泛的安全使用案例，適用于Web管理員、網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)安全愛好者。

登錄您的Cloudflare帳戶，立即開始體驗(yàn)上述的一系列新功能。同時，也歡迎在我們的社區(qū)論壇上提供反饋。