所有使用互联网的用户每天都可能会接触到Cloudflare的网络,要么通过我们的1.1.1.1解析器访问受Cloudflare保护的站点,要么通过使用我们的Cloudflare One产品的网络进行连接。
因此Cloudflare承担着巨大的责任-就是让覆盖全球数十亿用户的互联网更加安全。为此,我们向所有Cloudflare用户免费提供威胁情报和10多种新的安全功能。无论是使用Cloudflare来保护自己的网站、家庭网络还是办公室,您都会发现一些有价值的功能,只需几次点击就能开始使用。这些功能主要针对网络安全领域一些日渐增长的重要问题,包括帐户接管攻击、供应链攻击、针对API端点的攻击、网络可见性以及网络数据泄漏。
为每个人提供更多安全保障
在展开介绍各项功能的更多信息之前,我们先为大家做一个简短的摘要。
如果您是网络安全爱好者:可以访问我们全新的Cloudforce One威胁情报网站,了解威胁行为者、攻击活动和其他涉及整个互联网的安全问题。
如果您是网站所有者:从现在开始,所有Free计划用户都可以访问对应区域的安全分析。此外,我们还通过GraphQL向所有人提供DNS分析。
获得可见性后,只需要将好的流量与恶意流量区分开来。所有用户都将可以使用始终开启的帐户接管攻击检测、API模式验证(用于对其API端点上实施积极的安全模型),以及Page Shield脚本监控器,以获取您正在加载的第三方资源(可能被用于执行基于供应链的攻击)的可见性。
如果您使用Cloudflare来保护您的人员和网络:我们将把一些Cloudflare One产品捆绑到一个新的免费产品中。捆绑包中将包括我们目前免费提供的Zero Trust产品,以及一些新产品,例如Magic Network Monitoring(提供网络可见性)、数据丢失防护(保护敏感数据)以及Digital Experience Monitoring(衡量网络连接和性能)。Cloudflare是目前唯一提供同类产品免费版本的厂商。
如果您是新用户:我们将会提供新的身份验证选项。今天开始,我们将推出使用Google身份验证来注册和登录Cloudflare的选项,这将使我们的一些用户更容易登录,并且减少对输入密码的依赖,从而降低其Cloudflare帐户被盗用的风险。
现在让我们来详细介绍一下:
威胁情报与分析
Cloudforce One
我们的威胁研究和运营团队Cloudforce One现已推出一个可免费访问的专用威胁情报网站。我们将通过这个网站发布关于最新威胁行为者活动和策略的技术及实施情况相关信息,以及关于新兴恶意软件、漏洞和攻击的见解。
我们还将发布两则新的威胁情报(后续还会发布更多威胁情报)。欢迎访问新网站以查看最新研究报告,该研究报告会提及一名持续针对南亚和东亚地方组织的活跃威胁行为者,以及双重经纪货运欺诈的兴起。我们会将更多的研究报告及相关数据以自定义指标推送的形式定期发送给用户。大家可以通过订阅电子邮件通知以接收后续更多威胁研究报告。
Security Analytics
Security Analytics会为您提供覆盖所有HTTP流量(而不仅仅是被缓解的请求)的安全视角,让您能够专注于最重要的事情:被视为恶意但可能未被缓解的流量。这意味着,除了使用Security Events查看我们的应用安全产品套件所采取的安全措施外,您还可以使用Security Events来审查所有流量中的异常行为,然后利用获得的见解制定基于特定流量模式的精确缓解规则。从今天开始,我们将向所有计划级别的用户提供这一视角。Free和Pro计划用户现在可以访问Security Analytics的新仪表板,您可以在流量分析图表中查看流量的高级别概述,包括分组和过滤能力,以便您可以轻松关注异常情况。您还可以查看重要统计数据,并从多个维度进行筛选,包括国家/地区、源浏览器、源操作系统、HTTP版本、SSL协议版本、缓存状态和安全操作。
DNS分析
现在,Cloudflare的每位用户都可以访问经过改进的新DNS分析仪表板,还可以通过我们强大的GraphQL API访问新的DNS分析数据集。现在,您可以轻松分析对您的域进行的DNS查询,这可用于排除问题、检测模式和趋势,或通过应用强大的过滤器和按来源分类DNS查询来生成使用情况报告。随着Foundation DNS推出,我们引入了基于GraphQL的新DNS分析,但这些分析之前仅适用于使用高级域名服务器的区域。然而,由于这些分析提供了深入的洞察,我们认为这项功能应该向所有人提供。从今天开始,基于GraphQL的新DNS分析可以在使用了Cloudflare的权威DNS服务的每个区域的DNS分析界面中访问。
应用威胁检测和缓解
帐户接管检测
65%的互联网用户因密码重复使用和大规模数据泄露频率上升而面临帐户接管(ATO)风险。帮助构建一个更好的互联网意味着让每个人都能轻松获得关键的帐户保护。
从今天开始,我们将免费向所有人——从个人用户到大型企业——提供预防凭据填充和其他ATO攻击的强大帐户安全服务,并免费提供“泄露凭据检查”和ATO检测等增强功能。
这些更新包括自动检测登录,仅需极少设置即可获取的暴力攻击预防,以及拥有超过150亿条密码的综合泄露凭据数据库,其中将包含来自Have I Been Pwned(HIBP)服务的泄露密码以及我们自己的数据库。客户可以通过Cloudflare的WAF功能对泄露的凭据请求采取行动,例如速率限制规则和自定义规则,或者可以在源站采取行动,实施多因素身份验证(MFA)或根据发送到源的标头要求重置密码。
设置很简单:Free计划用户可以获得自动检测,而付费用户可以在Cloudflare仪表板中一键激活新功能。有关设置和配置的更多详细信息,请参阅我们的文档。
API模式验证
API流量占Cloudflare网络上动态流量的一半以上。API的流行开启了一种全新的攻击手段。面对这些新威胁,Cloudflare API Shield的模式验证是加强API安全的第一步。
这是有史以来第一次,所有Cloudflare用户都可以使用模式验证,确保仅有效的API请求才能到达源服务器。
此功能可以阻止bug导致的意外信息泄露,预防开发人员因非标准流程以有害方式暴露端点,并自动阻止僵尸API(因为您的API清单作为您的CI/CD流程的一部分将保持最新状态)。
我们建议您使用Cloudflare的API或Terraform provider将端点添加到Cloudflare API Shield,并更新模式,作为您的代码构建后CI/CD流程的一部分进行。通过这种方式,API Shield就会成为一个现成的API清单工具,而模式验证将处理对您的API发出的任何非预期请求。
虽然API都是为了与第三方集成,但有时集成是通过将库直接加载到您的应用中来完成的。接下来,我们将保护用户免受恶意第三方脚本从您的网页输入中窃取敏感信息的侵害,从而帮助保护更多网络。
供应链攻击防护
现代Web应用通过使用第三方JavaScript库来改善用户体验并减少开发人员的时间。由于拥有对页面上一切内容的特权访问权限,遭到破坏的第三方JavaScript库可以在最终用户或网站管理员毫不察觉的情况下,秘密地将敏感信息泄露给攻击者。为应对这种威胁,我们在三年前推出了Page Shield。我们现在向所有用户免费提供Page Shield的Script Monitor(脚本监测器)。
使用Script Monitor,您将看到页面上加载的所有JavaScript资源,而不仅仅是您的开发人员加入的那些资源。这种可见性包括由其他脚本动态加载的脚本。一旦攻击者攻陷了某个库,添加一个新的恶意脚本会变得非常简单,无需更改原始HTML上下文,而是在现有的JavaScript资源中包含新代码:
当有关pollyfill.io库所有权变更的消息传出时,Script Monitor发挥了至关重要的作用。Script Monitor的用户可以立即看到他们网站上加载的脚本,快速轻松地了解他们是否处于风险之中
我们很高兴向所有用户提供Script Monitor,从而尽可能扩展这些脚本的可见性。您可以在此处的文档中了解如何开始。Page Shield的现有用户可以立即过滤受监控的数据,了解他们的应用是否使用了polyfill.io(或任何其他库)。此外,我们构建了一个polyfill.io重写以响应遭到入侵的服务,并已于2024年6月向Free计划用户自动启用。
Turnstile作为Google Firebase扩展
我们很高兴地宣布推出适用于Google Firebase的Cloudflare Turnstile App Check Provider,提供无需手动设置的无缝集成。这个新的扩展允许在Firebase上构建移动或网络应用的开发人员使用Cloudflare的CAPTCHA替代方案来保护其项目免受机器人的侵害。通过利用Turnstile的机器人检测和质询功能,您可以确保只有真实的人类访问者与您的Firebase后端服务交互,从而增强安全性和用户体验。Cloudflare Turnstile是一种注重隐私的CAPTCHA替代方案,可以在不影响用户体验的情况下区分人类和机器人。与用户经常会放弃的传统CAPTCHA解决方案不同,Turnstile是隐形运行的,并提供各种模式来确保无摩擦的用户交互。
Turnstile的Firebase App Check扩展易于集成,使开发人员能够以最少的配置快速提升应用安全性。对于已经在使用Turnstile的免费版本用户,此扩展可免费无限制使用。通过结合Google Firebase的后端服务和Cloudflare Turnstile的优势,开发人员可以为其用户提供安全和无缝的体验。
Cloudflare One
Cloudflare One是一个全面的安全访问服务边缘(SASE)平台,旨在保护和连接互联网上的人员、应用、设备和网络。它将Zero Trust网络访问(ZTNA)、安全Web网关(SWG)等服务整合到单一解决方案中。Cloudflare One可以帮助每个人保护人员和网络,管理访问控制,防范网络威胁,保护数据,通过Cloudflare的全球网络路由网络流量,从而提高网络性能。它通过提供基于云的方法来取代传统的安全措施,以保护和简化对企业资源的访问。
现在,人人都可以免费使用Cloudflare One在近两年中新增的四款产品:
-云访问安全代理(CASB),用于缓解SaaS应用风险。
-数据丢失防护(DLP),用于防止敏感数据离开您的网络和SaaS应用。
-Digital Experience Monitoring,了解用户使用任何网络时的体验。
-Magic Network Monitoring,查看您的网络中传输的所有流量。
这是对Cloudflare One平台现有网络安全产品的补充:
-Access,用于验证用户身份,只允许他们使用应该使用的应用。
-Gateway,用于保护出站前往公共互联网和进入您的专用网络的网络流量。
-Cloudflare Tunnel,我们的应用连接器,其中包括cloudflared和WARP Connector,用于将不同的应用、服务器和专用网络连接到Cloudflare网络。
-Cloudflare WARP,我们的设备代理,用于安全地从笔记本电脑或移动设备向互联网发送流量。
任何拥有Cloudflare帐户的用户都将自动获得50个免费名额在其Cloudflare One架构中使用上述产品。请访问我们的Zero Trust和SASE计划页面,进一步了解我们的免费产品,并了解我们面向50名成员以上团队的“随用随付”和“合约计划”。
使用Google进行身份验证
Cloudflare仪表板本身已成为一种需要保护的重要资源,我们花费了大量时间确保Cloudflare用户帐户不会遭到入侵。
为此,我们通过添加额外的身份验证方法来提高安全性,包括基于应用的双因素身份验证(2FA)、通行密钥、SSO和使用Apple登录。现在,我们又进一步新增了使用Google帐户注册和登录。
Cloudflare支持多种针对不同用例定制的身份验证流程。虽然SSO和通行密钥是首选且最安全的身份验证方法,但我们认为提供比密码更强的身份验证因素将填补一个空白,并提高用户的整体平均安全水平。使用Google登录使用户变得更轻松,并且可以避免他们在已经使用Google身份浏览网络时还需要记住另一个密码的情况。
“使用Google登录”基于OAuth 2.0规范,并允许Google安全地共享有关特定身份的识别信息,同时确保是由Google提供此信息,从而防止任何恶意实体冒充Google。
这意味着,我们可以将身份验证委托给Google,防止直接针对该Cloudflare账户的零知识攻击。
进入Cloudflare登录页面后,您将看到如下按钮。点击按钮即可注册Cloudflare,完成注册后,您无需输入密码即可使用您在Google帐户中设置的任何现有保护措施登录。
随着这一功能的推出,Cloudflare现在使用自己的Cloudflare Workers为与OIDC兼容的身份提供商(例如GitHub和Microsoft帐户)提供一个抽象层,这意味着我们的用户可以期待在未来看到更多身份提供商(IdP)连接支持。
目前,只有通过Google注册的新用户才能使用他们的Google帐户登录,但我们将来会为更多用户实现这一功能,包括链接/取消链接社交登录提供商,我们还会添加更多社交登录方式。目前,已经创建SSO设置的企业级用户无法使用这种方法,而基于Google Workspace创建SSO设置的用户将被引导至他们的SSO登录流程。我们正在考虑如何简化已设置的Access和IdP策略,以保护您的Cloudflare环境。
如果您未使用过Cloudflare,并且拥有Google帐户,那么使用Cloudflare来保护你的网站、构建新服务或尝试Cloudflare提供的其他服务将变得比以往任何时候更简单。
更安全的互联网
Cloudflare的目标之一是让网络安全工具大众化,让每个人都能安全地提供内容和连接到互联网,即便不具备大型企业及组织的资源条件。
我们决定向所有Cloudflare用户免费提供大量新功能,涵盖广泛的安全使用案例,适用于Web管理员、网络管理员和网络安全爱好者。
登录您的Cloudflare帐户,立即开始体验上述的一系列新功能。同时,也欢迎在我们的社区论坛上提供反馈。