Katika kila TLD iliyowekwa katika Cloudflare kuna vipimo vya jumla na huduma ambazo zinaweza kusanidiwa. Katika ukurasa huu tutachunguza vipimo vinavyohusiana na usalama wa kila sehemu:

Muhtasari

• Pata hisia ya kiasi gani cha huduma za akaunti zilizotumiwa

• Pata pia kitambulisho cha eneo na kitambulisho cha akaunti

Takwimu za Uchambuzi

• Katika Usalama angalia ikiwa kuna Upeo wa Kikomo

DNS

• Angalia data yenye kuvutia (nyeti?) katika rekodi za DNS

• Angalia subdomains ambazo zinaweza kuwa na habari nyeti kulingana na jina (kama admin173865324.domin.com)

• Angalia kurasa za wavuti ambazo hazijafichwa

• Angalia kurasa za wavuti zilizofichwa ambazo zinaweza kupatikana moja kwa moja kupitia CNAME au anwani ya IP

• Hakikisha DNSSEC ime wezeshwa

• Hakikisha CNAME Flattening ina tumika katika CNAME zote

• Hii inaweza kuwa na manufaa kuficha udhaifu wa kuchukua tena kwa subdomain na kuboresha muda wa kupakia

• Hakikisha uwanja hauna udhaifu wa kughushi

Barua pepe

KAZI

Spectrum

KAZI

SSL/TLS

Muhtasari

• Ufichamishaji wa SSL/TLS unapaswa kuwa Kamili au Kamili (Thabiti). Vinginevyo itatuma trafiki wazi wakati fulani.

• Mshauri wa SSL/TLS unapaswa kuwa umewezeshwa

Vyeti vya Edge

• Tumia HTTPS Daima inapaswa kuwa imewezeshwa

• Usalama Mkali wa Usafirishaji wa HTTP (HSTS) unapaswa kuwa umewezeshwa

• Toleo la TLS la Chini linapaswa kuwa 1.2

• TLS 1.3 inapaswa kuwa imewezeshwa

• Uandikishaji wa HTTPS wa Kiotomatiki unapaswa kuwa umewezeshwa

• Ufuatiliaji wa Uwazi wa Cheti unapaswa kuwa umewezeshwa

Usalama

• Katika sehemu ya WAF ni muhimu kuangalia kwamba Mfumo wa Kizuizi cha Moto na kanuni za upeo wa kikomo zinatumika kuzuia matumizi mabaya.

• Hatua ya Kupuuza ita lemaza vipengele vya usalama vya Cloudflare kwa ombi. Haipaswi kutumika.

• Katika sehemu ya Kinga ya Ukurasa inashauriwa kuangalia kwamba ime wezeshwa ikiwa ukurasa wowote unatumika

• Katika sehemu ya Kinga ya API inashauriwa kuangalia kwamba ime wezeshwa ikiwa API yoyote inafunuliwa katika Cloudflare

• Katika sehemu ya DDoS inashauriwa kuwezesha ulinzi wa DDoS

• Katika sehemu ya Vipimo:

• Hakikisha Kiwanja cha Usalama ni wa kati au zaidi

• Hakikisha Kupita Changamoto ni saa 1 au chini

• Hakikisha Uchunguzi wa Uadilifu wa Kivinjari umewezeshwa

• Hakikisha Msaada wa Kupita faragha umewezeshwa

Kinga ya DDoS ya CloudFlare

• Ikiwezekana, wezesha Bot Fight Mode au Super Bot Fight Mode. Ikiwa unalinda programu fulani ya API inayopatikana kwa njia ya programu (kutoka kwa ukurasa wa mbele wa JS kwa mfano). Huenda usiweze kuwezesha hii bila kuvunja ufikiaji huo.

• Katika WAF: Unaweza kuunda vipimo vya kikomo kwa njia ya URL au kwa bots zilizothibitishwa (kanuni za upeo wa kikomo), au kwa kuzuia ufikiaji kulingana na IP, Cookie, referrer...). Kwa hivyo unaweza kuzuia maombi ambayo hayatoki kwenye ukurasa wa wavuti au ina cookie.

• Ikiwa shambulio linatoka kwa bot iliyethibitishwa, angalau ongeza kikomo cha kasi kwa bots.

• Ikiwa shambulio ni kwa njia maalum, kama kinga ya kuzuia, ongeza kikomo cha kasi kwenye njia hii.

• Unaweza pia kuweka safi anwani za IP, safu za IP, nchi au ASNs kutoka kwa Zana katika WAF.

• Angalia ikiwa kanuni zilizosimamiwa zinaweza pia kusaidia kuzuia utumiaji wa udhaifu.

• Katika sehemu ya Zana unaweza kuzuia au kutoa changamoto kwa anwani za IP na wakala wa mtumiaji.

• Katika DDoS unaweza kubadilisha baadhi ya kanuni kuwa ngumu zaidi.

• Vipimo: Weka Kiwanja cha Usalama kuwa Cha Juu na kuwa Chini ya Shambulio ikiwa Uko Chini ya Shambulio na kwamba Uchunguzi wa Uadilifu wa Kivinjari umewezeshwa.

• Katika Domaini za Cloudflare -> Takwimu -> Usalama -> Angalia ikiwa kikomo cha kasi kime wezeshwa

• Katika Domaini za Cloudflare -> Usalama -> Matukio -> Angalia kwa Matukio mabaya yaliyogunduliwa

Upatikanaji

Kasi

Singeweza kupata chaguo lolote linalohusiana na usalama

Kuhifadhi

• Katika sehemu ya Usanidi fikiria kuwezesha Zana ya Uchunguzi wa CSAM

Njia za Wafanyakazi

Umechunguza tayari wafanyakazi wa cloudflare

Kanuni

KAZI

Mtandao

• Ikiwa HTTP/2 ime wezeshwa, HTTP/2 kwa Asili inapaswa kuwa imewezeshwa

• HTTP/3 (na QUIC) inapaswa kuwa imewezeshwa

• Ikiwa faragha ya watumiaji wako ni muhimu, hakikisha Onion Routing ime wezeshwa

Trafiki

KAZI

Kurasa za Desturi

• Ni hiari kuweka kurasa za desturi wakati kosa linalohusiana na usalama linapotokea (kama kuzuia, kikomo cha kasi au niko chini ya shambulio mode)

Programu

KAZI

Scrape Shield

• Angalia Ufusaji wa Anwani ya Barua pepe umewezeshwa

• Angalia Vikwazo upande wa Seva vimezimwa

Zaraz

TODO

Web3

TODO