Можно ли полностью доверять Cloudflare
Categories:
Cloudflare, Alibaba Cloud ESA, Tencent EdgeOne и т. д. держат сертификаты домена, что означает, что они могут полностью просматривать весь трафик под доменом. По сути, это большой посредник. Их основная функция — безопасность, на сети слишком много атакующих, выбор большого посредника приносит больше пользы, чем вреда. Вторичная функция — одновременное предоставление DNS, CDN, WAF и других услуг на краю сети.
Сервисы вроде Cloudflare хорошо защищают от DDOS, жертвуя небольшим увеличением задержки в обмен на защитные возможности, что очень выгодно. Каждый владелец сайта должен использовать такие сервисы напрямую, сетевые атаки повсюду, не стоит питать иллюзий, рано или поздно вас атакуют. Некоторые атаки ищут уязвимости, что зависит от уровня владельца сайта. Другие атаки направлены на истощение ресурсов, например DDOS, используют асимметрию затрат между коммерческими и домашними сетями, это своего рода открытая стратегия, часто приходится тратить деньги на противодействие или просто закрывать сервис, отказываясь от всех пользователей, что называется защитой чёрной дырой.
Большинство атакующих, увидев, что сайт защищён Cloudflare, просто откажутся от атаки. На самом деле атакующие могут атаковать Cloudflare вместо исходного сервера и получить данные таким же образом, просто难度 выше. Но мы также можем верить, что мир — это сборище импровизированных конструкций, ничто не невозможно, на самом деле большинство сетевых атак остаются незамеченными, большинство атакующих не обнаружены, и большинство атак не преследуются. Cloudflare может противостоять DDOS за счёт преимуществ в стоимости, но это не значит, что их код непробиваем, вероятность получения данных исходного сайта через атаку на сервисы вроде Cloudflare не равна нулю.