Обзор Cloudflare: сервис для защиты сайтов от кибератак

Cloudflare — это CDN-платформа для миграции сайта и дальнейшего управления веб-ресурсом. Площадка предлагает широкий перечень услуг — от работы с DNS-серверами и облачного хранилища до продвинутой защиты от DDoS-атак и развертывания веб-приложений.

Сервис помогает ускорить работу сайта, оптимизировать его под крупные нагрузки, обеспечить бесперебойную работу и защиту от внезапных сбоев. Рассмотрим подробно возможности сервиса и как он помогает в работе с веб-ресурсами.

Перенос сайта и управление

Cloudflare предоставляет возможность релокации веб-ресурса на их сервера с возможностью управления настройками DNS и других параметров. Миграция производится таким образом, что пользователи не заметят никаких изменений даже во время процесса переноса.

Через личный кабинет владельцы ресурса могут анализировать трафик, просмотреть количество уникальных визитов за определенное время и отследить страны, из которых приходят посетители, управлять безопасностью и проводить оптимизацию.

Кэширование сайта

Сервис позволяет сохранять кэш отдельных страниц на своих серверах либо настроить полное кэширование всего сайта. Можно выбрать из двух вариантов: сохранять кэш в браузере пользователя или на сервере Cloudflare.

Сервис поддерживает многоуровневое кэширование — это практика, при которой сеть центров обработки данных разделена на иерархию верхних и нижних уровней. Чтобы контролировать пропускную способность и количество подключений, только верхним уровням разрешено запрашивать контент у источника. Они отвечают за распространение информации на нижних уровнях.

Cloudflare автоматически находит лучший верхний уровень для источника. Такая практика повышает эффективность пропускной способности, снижает нагрузку и делает работу сайтов более рентабельной.

Безопасность

Обеспечение безопасности сайтов и веб-приложений — основное направление Cloudflare. На сервисе можно найти продвинутые инструменты для защиты личных сайтов и крупных корпоративных сетей.

Общая защита веб-сайтов и API

Cloudflare помогает защитить разные типы веб-ресурсов — сайты, веб-приложения, API-интеграции, локальные и общедоступные сервера. Среди возможностей платформы:

• присутствует продвинутый фаервол для веб-приложений;
• можно использовать высокопроизводительный сервис для развертывания программных интерфейсов;
• сервис умеет сортировать ботов — встроенный модуль отличает вредоносные скрипты и закрывает им доступ;
• разрешается включить веб-щит для страниц, который в том числе защищает от хак-атак Magecart и JavaScript;
• присутствует защита от взлома администраторской панели и несанкционированных входов;
• детализированный журнал логов записывает попытки входа, HTTP-запросы, события фаерволов и т.д.;
• можно запустить сканирование сайтов на наличие угроз и вредоносного содержимого в автоматическом и ручном режиме;
• можно заблокировать определенные IP и страны полностью либо установить для них кастомизированные страницы ошибок;
• присутствует модуль для защиты контента от кражи и плагиата — можно заблокировать копирование всего текста или его части, настроить подмену e-mail адресов для защиты от скрейпинга, запретить скачивание изображений.

Функционал можно расширять при помощи сторонних инструментов безопасности. Поддерживается кастомная настройка защиты определенных страниц.

Защита от DDoS

Особое внимание в средствах безопасности сервиса стоит уделить его возможностям отражения DDoS-атак. Автоматическая защита постоянно анализирует трафик и генерирует сигнатуры в режиме реального времени.

Cloudflare предлагает три решения отражения DDoS-атак, которые подойдут для защиты всего, что подключено к Интернету:

• защита веб-сайта — неограниченные и бесплатные проверки во всех тарифных планах Cloudflare для веб-приложений;
• защита веб-приложений — обратный прокси-сервер, поддерживается оплата по мере поступления для всех приложений TCP/UDP (игры, VOIP и т.д.);
• сетевая защита — модуль Magic Transit для локальных, облачных и гибридных сетей.

Сервис поддерживает автоматическое предотвращение DDoS-атак на основе HTTP, таких, как HTTP-флуды, HTTP-атаки с усилением и HTTP-атаки с отражением. Также онлайн-инструмент отбивает атаки на SSL/TLS и сетевого уровня, такие, как SYN-флуды и UDP.

Защита email

Используя инструменты платформы, можно настроить защиту корпоративной и личной почты от попыток взлома, спама и других вредоносных действий.

• «Теневая» почта. На сервисе можно создать новый почтовый ящик, если требуется по каким-то причинам скрыть основной адрес. В него можно настроить сбор писем с других email-аккаунтов.
• Модуль DMARC. Позволяет отследить, использует ли кто-то имейл сайта для рассылки спама. Инструмент помогает предотвратить подмену электронной почты и фишинг почте. Администраторы могут утверждать надежных отправителей и просматривать отчеты о доставке сообщений.
• Защита пользовательских ящиков. Сервис помогает обеспечить безопасность пользователей, зарегистрированных на веб-ресурсе. Подробные отчеты указывают, какие ящики подверглись опасности и из каких стран велась хак-атака.

Сертификаты и шифрование

Платформа поддерживает подключение сертификатов безопасности SSL и TLS. Этот метод защиты на данный момент является обязательным для всех сайтов с точки зрения поисковых систем. SSL-сертификат не только повышает доверие со стороны посетителей, но также позитивно влияет на SEO-продвижение.

Cloudflare предоставляет бесплатный универсальный SSL-сертификат для всех подключенных веб-ресурсов. Также пользователи могут оплатить выделенный сертификат с пользовательскими именами хостов или загрузить собственный SSL, приобретенный у других продавцов.

Zero Trust

Cloudflare предоставляет повышенную систему безопасности по модели «нулевого доверия». С помощью инструмента администраторы могут контролировать все устройства, подключенные к корпоративной сети и весь проходящий через серверы трафик.

Cloudflare ZeroTrust обеспечивает безопасный высокоскоростной доступ ко всем подключенным сайтам и веб-приложениям благодаря собственным серверам, расположенным в разным точках мира.

Проходящие через сеть пользователи записываются в логах системы, что позволяет IT-специалистам контролировать каждое событие и попытку входа. Менеджеры могут устанавливать собственные правила, в том числе запретить или разрешить определенную локацию устройства.

Оптимизация

Cloudflare можно использовать для ускорения загрузки веб-сайта и его мобильной версии. Пользователи могут запускать тестирование скорости и получить рекомендации по улучшению ресурса. Кроме того, платформа выводит данные для сравнения результатов с конкурентами.

• Присутствует возможность максимального сжатия изображений, хранящихся на сервере, без потери качества;
• Можно переконвертировать все фотографии в формат WebP, который отличается меньшим размером, чем JPEG;
• Разрешается сжимать размер файлов JavaScript, CSS, HTML;
• Можно ускорить время загрузки страницы для HTTPS-трафика, применив сжатие Brotli;
• Есть возможность подключить автоматическую оптимизацию для сайтов, работающих на CMS Wordpress;
• Специально настроенная оптимизация TCP помогает уменьшить задержку и увеличить пропускную способность;
• Присутствует опция префетчинга для быстрой загрузки URL-адресов в фоновом режиме;
• Можно настроить автоматический редирект на мобильную версию ресурса в случае, когда пользователь открывает сайт на телефоне.

Все инструменты доступны для подключения через личный кабинет и посредством API.

Платформа для разработчиков

Cloudflare предлагает специальную платформу для разработчиков, на которой инженеры могут писать код, тестировать веб-приложения, управлять веб-ресурсами и производительностью. Программистам не требуется беспокоиться о масштабировании и развертывании продукта — все совершается в автоматическом режиме.

Cloudflare предлагает облачные хранилища для хранения файлов любого размера:

• R2. Программисты могут создавать многооблачные архитектуры с помощью S3-совместимого распределенного хранилища объектов.
• Workers KV. Хранилище ключей и значений подходит для разработки высокодинамичным API и сайтов, которые реагируют так же быстро, как кэшированный статический файл.
• Cloudflare Workers. Платформа разработки для бессерверных приложений и веб-сайтов JAMstack.

Cloudflare обеспечивает автоматическое развертывание кода в 285 местоположениях по всему миру. Сервис обеспечивает высокую производительность веб-приложения, так как оно выполняется примерно за 50 мс.

Стрим-платформа

Cloudflare предлагает создателям контента возможность запуска онлайн-трансляций напрямую с их сервера. Платформа поддерживает все типы стримингового вещания: прямые эфиры, видео по запросу, одновременное воспроизведение.

• Stream работает со всеми наиболее широко используемыми видеоплеерами и предоставляет встроенный веб-плеер для быстрого запуска эфира;
• Платформа использует стандартные отраслевые протоколы с широкой совместимостью, что позволяет транслировать видео на веб-сайты, приложения для iOS и Android, а также устройства потоковой передачи мультимедиа, такие, как Apple TV и Roku;
• Трансляция автоматически кодируется и обеспечивает идеальное качество для каждого зрителя, независимо от того, подключен ли он к сети 4G на телефоне или смотрит эфир на большом экране;
• Сервис предоставляет простые API-интеграции, которые легко настроить самостоятельно;
• Поддерживается оплата за минуты сохраненного видео. Сервис не берет плату за кодировку, пропускную способность и другие показатели.

Cloudflare позволяет запускать монетизацию онлайн-трансляций: создатели контента могут показывать рекламу в начале, середине и конце видео, используя формат рекламы VAST.

Работа с платформой

Любой пользователь может зарегистрировать бесплатный аккаунт для тестирования возможностей платформы. Для регистрации не требуется указывать платежные данные, можно совершить вход через аккаунты Facebook* и Google. Для создания аккаунта требуется нажать строчку Sign up в верхнем меню сайта.

Личный кабинет

После того, как вы подтвердите электронную почту, откроется доступ к личному кабинету. Основные инструменты расположены в боковой панели слева.

• Websites. Здесь расположены все подключенные к платформе сайты. Новые веб-ресурсы подключатся именно здесь.
• Domain registration. В этом разделе можно приобрести домен напрямую через Cloudflare. Также можно перенести приобретенный через других продавцов домены на сервера сервиса.
• Analytics & Logs. Аналитика подключенных сайтов, обзор и оценка трафика.
• Security Center. Во вкладке находятся инструменты проверки безопасности. Можно просканировать сайт на наличие уязвимостей и потенциальные атаки.
• Turnsite. Добавление анти-бот защиты на сайт, альтернатива капчи.
• Zero Trust. Подключение рабочей группы и открытие канала Zero Trust.
• Area 1. Подключение защиты для электронной почты.
• Workers. Подключение платформы для разработчиков.
• Pages. Развертывание интерфейсных приложений.
• R2. Подключение платформы облачного хранения и базы данных R2
• Stream. Использование внутренней стриминговой платформы от Cloudflare.
• Images. Внутреннее облачное хранилище для разного типа графических файлов.
• Manage Account. Настройки личного аккаунта. Здесь можно подключить других пользователей, просмотреть логи, изменить тарифный план и пополнить баланс.
• Notifications. Установка срочных уведомлений относительно аккаунта и подключенных сайтов.
• Bulk Redirects. Настройка URL-адресов для переадресации.

Подключение сайта

Для старта работы требуется подключить веб-сайт. Платформа позволяет подключить домен, купленный через любой хостер, также в личном кабинете можно приобрести новый домен. Мы рассмотрим вариант с интеграцией готового сайта.

1. На главной странице личного кабинете или во вкладке Websites кликните по кнопке Add Site.

2. В поле Enter your site введите URL-адрес главной страницы своего сайта без указания http. нажмите Add site.

3. Если вы добавляете сайт впервые и еще не оплатили подписку, на следующем шаге вам будет предложено выбрать тарифный план. Выделите нужный вариант и нажмите Continue для перехода к оплате. Для тестирования хватит функционала бесплатного плана Free — он располагается в самом конце списка тарифов.
4. Сервис проведет анализ домена и поиск DNS-записей для подключения веб-ресурса к их серверам. В результате должен выйти список адресов, подключенных к прокси. Если какой-то пункт отключен, его можно включить при помощи тумблера в столбце Proxy status.

5. Нажмите Continue для продолжения. Следующим шагом станет изменение параметров сервера. Для этого войдите в панель управления доменом и замените строку, которую указывает CloudFlare, на их параметр.

6. Кликните Done, check nameservers. Сервис проверит нужный параметр и выведет сообщение об успехе или ошибке.

Стоит обратить внимание, что перед подключением домена сервис проверяет права на владение. Это может занять до 24 часов. Отслеживать прогресс можно на главной странице личного кабинета и во вкладке Overview в разделе сайта.

Меню сайта

У каждого подключенного сайта также имеется собственное меню. Чтобы получить доступ к этим опциям, в разделе Websites кликните по нужному источнику. В меню слева появятся новые пункты:

• Overview. Статистика по выбранному сайту: трафик, количество запросов, страны посетителей и т.д.
• Analytics & Logs. Аналитика веб-трафика, обзор предотвращенных атак, обзор производительности сайта, DNS-запросы.
• DNS. Управление DNS-записями подключенного домена.
• Email. Создание временного адреса электронной почты.
• SSL/TLS. Подключение и настройка сертификатов безопасности и шифрования данных.
• Security. Подробные данные о безопасности ресурса: инсайты, настройка файервола, защита от DDoS.
• Speed. Проверка скорости загрузки сайта и оптимизация производительности.
• Caching. Настройка кэша и сохранение временных файлов сайта на серверах Cloudflare.
• Workers Routes. Работа с серверными приложениями.
• Rules. Настройка правил защиты Cloudflare для определенных страниц и пользовательских действий.
• Network. Управление настройками нетворкинга сайта: подключение HTTPS, геолокация IP, запись логов ошибок входа и т.д.
• Traffic. Подробная аналитика трафика, поступающего на веб-ресурс, а также обнаружение ошибок и проверка здоровья сайта.
• Custom pages. Настройка безопасности отдельных страниц: установка блокировки отдельных IP, ошибки 500, блокировка отдельных стран и т.д.
• Apps. Подключение к сайту дополнительных опций через интеграции.
• Scrape Shield. Защита контента и данных от ботов, скрытие отдельной части текста от определенных IP и пользователей, запрет на скачивание фотографий.
• Zaraz. Расширение функций сервиса с помощью сторонних интеграций.
• Web3. Набор технологий, который позволяет размещать контент и веб-приложения, используя распределенные системы и согласованные протоколы.

Настройка сертификатов

По умолчанию ко всем веб-ресурсам подключен бесплатный сертификат безопасности. Изменить настройки можно в разделе SSL/TLS в левом меню. Вы должны находиться в административной панели сайта, а не общего аккаунта.

Во вкладке Overview можно узнать и изменить настройки шифрования. Предлагается несколько вариантов:

• off — защита по сертификату безопасности выключена;
• flexible — шифруется трафик между браузером и Cloudflare;
• full — сквозное шифрование с использованием самозаверенного сертификата;
• full (strict) — сквозное шифрование,для которого требуется сертификат доверенного центра сертификации или Cloudflare Origin CA.

Для покупки продвинутого сертификата нужно перейти во вкладку Edge Certificates и воспользоваться кнопкой Order Advanced Certificate. Также можно загрузить собственный файл, приобретенный у другого продавца. Для этого нажмите Upload Custom SSL.

Цены и бесплатный доступ

Тарифные планы Cloudflare работают по принципу конструктора: пользователи могут оплачивать только нужные им функции. Дополнительные инструменты можно оплачивать напрямую из личного кабинета, если в этом возникнет необходимость. Для каждой тарифной линейки имеются бесплатные альтернативы.

ZeroTrust & SASE

Линейка включает в себя функции безопасности — подключение ZeroTrust, защита электронной почты и т.д.

Application Security & Performance

Пакет функций для обеспечения безопасности подключаемых веб-приложений и оптимизация производительности сайтов.

Developers Platform

Тарифные планы подходят для тех, кто использует Cloudflare для защиты бессерверных приложений. В этом случае полная стоимость зависит от того, какой платформой пользуются разработчики.

Network Services

Платформа также предлагает тарифную сетку Network Services. Эти планы обеспечивают повышенная безопасность для корпоративных сетей и позволяют защищать дата-центры против DDoS-атак любой мощности. Так как данные планы рассчитаны на крупные корпорации, стоимость услуг и пакет опций формируются в индивидуальном порядке.

Вывод

Благодаря крупному списку инструментов и решений Cloudflare будет полезен практически каждому, вне зависимости от того, занимаетесь ли вы веб-контентом или разработкой веб-приложений. Но особенно платформа пригодится тем, кто заботится о безопасности своего сайта и хочет быть уверенным в защите и постоянной доступности веб-ресурса.

*запрещенная в РФ организация

Официальный адрес сайта — https://www.cloudflare.com/