Cloudflare Workshop - 姜景懷 (Leo Jiang)

歡迎來到 DevOpsDay Taipei 2024 共筆

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

共筆入口:https://hackmd.io/@DevOpsDay/2024
手機版請點選上方 按鈕展開議程列表。

目錄條

議程介紹

填寫議程滿意度問卷|回饋建言給辛苦的講者

platform

將持續開發開發者的狀況
敏捷式部署跟未來github gitlab 的CICD相關的部署串接。

一切都在數位化

  • 數位化與APP及API息息相關
  • 應用程式無所不在,行動裝置到內部應用在到雲端平台
  • 安全狀態必須同步發展,為推動數位化的技術提供保護
    迭代越來越快,但快速部署跟安全之前有時會有相互牴觸的情形發生,資安事件層出不窮,要怎樣保障資安的相關安全保護跟企業服務的相關資產

威脅無所不在

cloudflare的20%的流量在網際網路上

  • 攻擊面增加
    伴隨自動化部屬的出現,app服務推陳出新的時間快速降低,導致安全面增加的風險
  • 越來越大頻繁的大量攻擊
    2024 ddos報告中超過450萬次的ddos產生,http ddos攻擊比去年增加93%。
  • 不斷變化的攻擊手法
    今年有許多產業受到勒索,軟體跟ddos受到威脅。
    從基本的ddos到機器人相關的攻擊,攻擊思維也慢慢改變
  • 繁瑣的配置跟管理
    各種設備導致維運困難成本高漲,提升效能的同時要怎樣保護資安?

工具資安漏洞

美國CISA示警:GitLab存在嚴重漏洞!利用門檻低,可導致帳戶接管

解決方案

不單單只有cdn服務。

  • 以前都是cdn傳遞跟cache加速外,現在也有企業版方案,提供企業方案
    WAF方案,自動化工具跟工程有保護。
    靜態圖片跟資源可能會有機器人爬蟲來削價競爭,可以透過新的判別把自動化的工具擋在節點之外。
  • url連結db的癱瘓連結,但大部分人會用ip來做限制,會擋到其他公司行號。會做一些限速上更深入的處理,使用cookie上面做一些精確限速。或是不同API的token來做限速管理,有更多手法不單單只有ip去做管理。

節點

全球320個節點,目前台北跟高雄各有一個。都是維運團隊自己所有,沒有在任何公有雲上面。
可以讓更多使用者可以連到上面去。

漏洞狀況

Ivanti 的zero day 漏洞

主動分析

WAF早期像是被動的,但現在也可以主動處理。
但可以透過分析請求的狀況來做分析,來看是否在其他節點有沒有這樣的請求,對於不同請求上面打分數,並且看其他節點有沒有相關的狀況來做更多威脅趨勢的分析跟情境理解。
分數30分以下會是一個潛在的zeroday威脅的狀況,可以主動開啟防護。

及早分佈跟分析,透過AI判斷機制評分做更多的安全防護。

開發者平台

Cloudflare named a leader in Forrester Edge Development Platforms Wave, Q4 2023」
分作三種主要的

  • compute
    全球都會使用更多的用更多serveless方式部署在更多的節點上。
  • data storage
    R2上面也可以跟S3 compatible,可以用api方式把物件轉移上去。
    以往進出都會是一個非用,但R2出去的時候是不收費用的,會比S3會有競爭力一些。
  • developer service
    跟github有相關的連結,放上去之後可以很快的在全球的節點可以訪問

cloud pages

cloudflare pages可以直接處理,不用任何機器可以直接部署在所有的節點上。

  • developer focused
  • advanced collaboration
  • speed, security and scale
  • workflow
    github connect page to create project=> push codecommit change => pages builds in ci system=> pages deploy to cloudflare network in seconds(但需要domain才可以上去)

proxy開啟

若proxy有開啟的話,可以這樣把相關威脅的訪問擋下來。

cloudflareD

terraform的方式快速的部署。透過clounflare tunnel可以跟cloudflare做一個連結,並且cloudflare在前面可以幫你過濾那些訪問,並不會讓所有的人可以防問你的電腦裡面,也可以做一些簡單的SSO來做驗證。

cloud-terraform
Deploy Tunnels with Terraform

tags: DevOpsDays Taipei 2024
Select a repo