Cloudflareは完全に信頼できるか
Categories:
Cloudflare、阿里雲 ESA、Tencent EdgeOne などは、ドメイン証明書を保持しており、ドメイン下のすべてのトラフィックを完全に閲覧可能。つまり、大規模な中間者である。主要機能はセキュリティで、ネットワーク上の攻撃者が多すぎるため、大規模な中間者を選ぶ利点が弊害を上回る。副次的機能として DNS、CDN、WAF などのエッジサービスを提供。
Cloudflare のようなサービスは DDOS を効果的に防御でき、少しの遅延増加で防御能力を得る、とてもお得。各站長はこうしたサービスを直接使うべき。ネットワーク攻撃はどこにでもあり、幸運を期待せず、遅かれ早かれ攻撃される。一部の攻撃は脆弱性探しで、サイト運営者のレベルに関連。他はリソース消費目的、例えば DDOS で、商用ネットワークと家庭ネットワークのコスト非対称性を悪用した攻撃。これは陽謀で、多くの場合金で対抗するか、サービスを直接停止し、全ユーザーを放棄する、いわゆるブラックホール防御しかない。
大多数の攻撃者は、サイトが Cloudflare で保護されているのを見ると攻撃を直接諦める。其实、攻撃者はオリジナルサーバーではなく Cloudflare を攻撃することを考えられる。同じくデータ入手可能、ただ難易度が高いかも。しかし、世界は草台班子だと信じ、何事も不可能ではない。実際、ネットワーク上の大多数の攻撃行為は気づかれず、大多数の攻撃者は発見されず、大多数の攻撃行為も追究されない。Cloudflare はコスト優位で DDOS を対抗可能だが、コードが銅墙鉄壁とは限らず、Cloudflare 類サービスを攻撃して原站データを入手する可能性は 0 ではない。