客服電話:
02-8979-8887
服務時間:
週一至五 9:30-17:30
來信聯絡:
info@twister5.com.tw
2023.10.05 | Cloudflare

正確的資安配置才能讓你高枕無憂 - Cloudflare 資安政策及源站保護策略探討

Cloud storage background, business network design

極風技術團隊解析,這種攻擊的唯一觸發條件是攻擊者已經知道源站的 IP 地址。只要源站的防火牆及安全措施能夠有效地阻擋所有來源,並且 Cloudflare 的配置中合法來源 IP 地址設定正確,再加上啟用了 SNI 驗證功能,問題就可以迎刃而解。而且通常情況下,源站的 IP 地址並不會公開,因此絕大多數用戶無需擔心這個問題。

極風技術團隊敦促大眾警覺,資訊安全問題時刻潛伏,而僅仰賴資安保護措施是不足夠的。當前最迫切的挑戰在於提升資安意識。我們全心致力於向客戶提供最新的資訊安全知識,並提供最先進的資安技術,確保企業的資料得以完全保護。極風團隊時刻待命,能夠快速回應並解決客戶的問題,以確保企業的資訊安全無虞。如果您有任何需求或希望更深入了解我們的服務,請隨時聯絡我們info@twister5.com.tw

倘若不幸源站的 IP 地址已經洩露,極風技術團隊 提供以下幾種解決方法:

  • 進行源站的 SNI 名稱驗證。
  • 使用 Cloudflare 專屬的出口 IP。
  • 使用自有憑證進行 Authenticated Origin Pulls 驗證。
  • 利用 Cloudflare tunnel 隱藏原始的公共 IP。
  • 利用 Cloudflare transform rule,為源站增加特定的 request header 以強化驗證。
  • 定期更換源站 IP 地址。

在解決這些問題時,需要特別關注以下方面:

一、SSL 憑證問題:

  1. Cloudflare 提供的 MTLS 憑證是共用的,當源站啟用”Authenticated Origin Pulls (MTLS)”以驗證請求是否來自 Cloudflare 網路時,有可能無法確保請求來自與用戶所屬域名相對應的憑證。
  2. 解決方案:在啟用 Authenticated Origin Pulls 時,使用自己生成的憑證 (custom CA) 進行 MTLS 驗證,以避免使用 Cloudflare 的共用憑證。
  • 如果未啟用 Authenticated Origin Pulls,用戶可以將其域名的 A record 指向他們想要攻擊的源站。
  • 解決方案:使用 SNI 驗證來限定僅允許特定的域名。

二、Cloudflare 白名單問題:

  1. 通常,源站會設定白名單,僅允許來自 Cloudflare IP 的存取。然而,攻擊者只需擁有一個 Cloudflare 帳號並知道源站 IP,就有可能透過設定目標源站的 A record 並使用 Proxy 功能來攻擊源站,從而繞過白名單設置。
  2. 解決方案:使用 Cloudflare 專屬的 IP 服務。

此外,為了確保網路的安全性,用戶可以考慮以下措施:

  • 重新檢查其 Cloudflare 帳戶的預設設置,特別是關於網域流量信任的設置。根據需要,重新配置這些設置以提高安全性。
  • 啟用額外的安全性檢查和防護措施,例如 Web 應用程式防火墻 (WAF) 或其他安全性工具,以增加網路的保護層次。
  • 定期監控網路流量,以檢測異常活動並迅速採取行動。使用網路監控工具可以幫助識別潛在的攻擊和風險。

最後,請參考以下極風技術團隊建議源站伺服器的最佳建議:

保護來源站的安全是確保您的網路和線上服務不受惡意攻擊和未經授權存取的關鍵部分。以下是保護來源站安全的關鍵步驟:

  • 防火牆:配置和維護防火牆以過濾流入和流出的流量。防火牆可以根據規則來允許或拒絕特定類型的流量。確保只有經過授權的流量能夠存取來源站。
  • 更新和維護作業系統和軟體:定期更新來源站上的作業系統、應用程式和服務,以修復已知的漏洞和安全問題。關閉不需要的服務和端口,以減少攻擊面。
  • 強密碼策略:確保來源站上的所有使用者帳戶都有強密碼,並定期更改密碼。使用多因素身份驗證(MFA)來增加存取控制的安全性。
  • 安全備份:定期備份來源站的資料,並將備份存儲在離線或安全的位置。這有助於恢復資料,以防發生資料損壞、勒索軟體攻擊或其他資料丟失情況。
  • 安全監控和日誌記錄:設置安全監控系統來監視來源站上的活動,並記錄所有關鍵事件和日誌。這有助於及時發現異常行為和入侵嘗試。
  • 安全策略和培訓:建立安全策略,明確員工的安全責任,並為員工提供安全培訓,使他們了解如何避免社交工程、釣魚攻擊等威脅。
  • 定期漏洞掃描和滲透測試:定期對來源站進行漏洞掃描和滲透測試,以查找潛在的安全漏洞,並採取措施來修復它們。
  • 安全更新管理:跟蹤供應商發布的安全更新和補丁,並及時應用它們,以保護來源站免受已知漏洞的攻擊。
  • 存取控制:嚴格控制誰可以存取源網站,並限制權限以確保每個使用者只能存取他們需要的資訊和功能。
  • 應急計劃:制定應急計劃,以便在發生安全事件時能夠快速響應、隔離問題並恢復正常操作。
  • 第三方安全審查:定期進行第三方安全審查,以評估來源站的安全性,並識別任何潛在的風險和漏洞。
  • 安全宣導:在組織內部樹立安全文化,使員工都認識到安全的重要性,並積極參與維護來源站的安全性。

請注意,源站的安全是一個持續的過程,需要不斷更新和改進。因此,定期審查和更新安全措施是非常重要的。此外,根據組織的特定需求和風險情況,可能需要採取額外的安全措施。

極風技術團隊為雲服務防禦最佳廠商。

PREV

歡迎使用連通雲:連通和保護雲端、網路、應用程式和用戶的現代方式

NEXT

跨多雲WAAP即服務實踐雲地一致安全策略
回到列表頁

Read More

相關文章

2025.05.05 | Cloudflare

Cloudflare 最新威脅洞察:史上最大 DDoS 封包攻擊現身,全球攻擊趨勢總覽

Cloudflare 於近日攔截了史上封包率最高的攻擊,因此將此攻擊列於第一季報告中一同進行分析研究。此次攻擊 […]

2025.02.27 | Cloudflare

Cloudflare推出全新自動稽核日誌:提升系統透明度與問責性

什麼是稽核日誌,為什麼它們很重要? 稽核日誌(Audit logs)是一個關鍵工具,用於追蹤和記錄在 Clou […]

2025.01.16 | Cloudflare

Cloudflare 1.1.1.1 和 WARP 應用程式現採用 MASQUE 技術

Cloudflare近日發布了兩項重要更新,跨平台 1.1.1.1 和 WARP 應用程式(消費者版)以及零信 […]

2024.12.27 | Cloudflare

電子郵件安全解決方案:如何降低新興威脅下的使用者風險

網路釣魚仍是個人與組織所最常遇到的網路攻擊手段之一。現代攻擊手法運用越來越多的欺騙技術,繞過傳統的安全電子郵件 […]

2024.11.18 | Cloudflare

Cloudflare Workers Builds: 以 Workers 平台打造的現代化 CI/CD 系統

Cloudflare 於2024年第四季推出了 Workers Builds 公開測試版 – 這是 […]

2024.10.28 | Cloudflare

Cloudflare 2024台灣網路安全報告與建議

Cloudflare近日發表了2024亞太區網路安全報告,其中一部分針對台灣進行聚焦調查,發現與其他亞太地區相 […]

2024.10.21 | Cloudflare

Cloudflare 收購 Kivera,為 Cloudflare One 的全方位雲端防護升級

Cloudflare於十月初發佈新聞表示正式收購雲端資料安全平台Kivera,此收購不僅能擴展Cloudfla […]

2024.10.11 | Cloudflare

DDoS攻擊威脅升級,鎖國鎖IP無效!?企業如何因應與預防

9月中親俄駭客組織對台發出多起DDoS攻擊,範圍包含政府單位、金融機構、交通機構以及私人機構等,五天期間就有高 […]

2024.09.30 | Cloudflare

親俄駭客DDoS攻擊事件對策與建議

事件概述 9月資安事件沸沸揚揚,依據 Cloudflare 的初步觀察,9月中對台灣有巨量的 Network […]

2024.09.04 | Cloudflare

JA4 Fingerprint 讓 Cloudflare 更加從容的防禦新興的資安威脅

從 JA3 進階到 JA4 的 Fingerprint 資安識別,代表著 Cloudflare 在安全功能上的重大進步,特別是在機器人管理和 DDoS 保護方面。這些工具不僅讓Cloudflare 的流量分析更強大,也展示了網路指紋技術的持續改進。透過高效的 JA4 Fingerprint 計算,我們能夠即時偵測和回應新興的威脅。而 JA4 則藉由彙總統計和跨請求特徵,能夠在極短的時間內深入分析流量模式,確保任何細節都能被捕捉和分析,不會被忽略。