У кожному TLD, налаштованому в Cloudflare, є деякі загальні налаштування та сервіси, які можна налаштувати. На цій сторінці ми збираємося проаналізувати налаштування, пов'язані з безпекою, кожного розділу:

Огляд

• Оцініть, наскільки використовуються послуги облікового запису

• Знайдіть також ідентифікатор зони та ідентифікатор облікового запису

Аналітика

• У Безпеці перевірте, чи є обмеження швидкості

DNS

• Перевірте цікаві (чутливі?) дані в DNS записах

• Перевірте піддомени, які можуть містити чутливу інформацію лише на підставі назви (наприклад, admin173865324.domin.com)

• Перевірте веб-сторінки, які не проксіюються

• Перевірте проксійовані веб-сторінки, до яких можна звертатися безпосередньо за допомогою CNAME або IP-адреси

• Перевірте, що DNSSEC увімкнено

• Перевірте, що CNAME Flattening використовується в усіх CNAME

• Це може бути корисно для приховування вразливостей піддоменів та покращення часів завантаження

• Перевірте, що домени не вразливі до підробки

Електронна пошта

TODO

Спектр

TODO

SSL/TLS

Огляд

• Шифрування SSL/TLS повинно бути Повним або Повністю строгим. Будь-яке інше буде відправляти трафік у відкритому вигляді на деякому етапі.

• Рекомендується увімкнути Рекомендатор SSL/TLS

Сертифікати краю

• Завжди використовуйте HTTPS повинно бути увімкнено

• Строгий транспортний захист HTTP (HSTS) повинен бути увімкнений

• Мінімальна версія TLS повинна бути 1.2

• TLS 1.3 повинен бути увімкнений

• Автоматичні перезаписи HTTPS повинні бути увімкнені

• Моніторинг прозорості сертифікатів повинен бути увімкнений

Безпека

• У розділі WAF цікаво перевірити, що використовуються правила брандмауера та обмеження швидкості для запобігання зловживанням.

• Дія Обхід вимкне функції безпеки Cloudflare для запиту. Це не повинно використовуватися.

• У розділі Захист сторінки рекомендується перевірити, що він увімкнений, якщо використовується яка-небудь сторінка

• У розділі Захист API рекомендується перевірити, що він увімкнений, якщо яке-небудь API викладено в Cloudflare

• У розділі DDoS рекомендується увімкнути захист від DDoS

• У розділі Налаштування:

• Перевірте, що Рівень безпеки є середнім або вище

• Перевірте, що Прохід виклику не перевищує 1 годину

• Перевірте, що Перевірка цілісності браузера увімкнена

• Перевірте, що Підтримка приватності увімкнена

Захист від DDoS CloudFlare

• Якщо можливо, увімкніть Режим боротьби з ботами або Супер режим боротьби з ботами. Якщо ви захищаєте якусь API, до якої програмно звертаються (наприклад, з JS сторінки), ви можливо не зможете це зробити без порушення цього доступу.

• У WAF: Ви можете створити обмеження швидкості за шляхом URL або для перевірених ботів (Правила обмеження швидкості), або для блокування доступу на основі IP, Cookie, referrer...). Таким чином, ви можете блокувати запити, які не надходять з веб-сторінки або не мають cookie.

• Якщо атака від перевіреного бота, принаймні додайте обмеження швидкості для ботів.

• Якщо атака спрямована на конкретний шлях, як запобіжний механізм, додайте обмеження швидкості на цьому шляху.

• Ви також можете додати в білий список IP-адреси, діапазони IP, країни або ASNs з Інструментів в WAF.

• Перевірте, чи Керовані правила також можуть допомогти у запобіганні використанню вразливостей.

• У розділі Інструменти ви можете блокувати або встановлювати виклик для конкретних IP-адрес та агентів користувачів.

• У DDoS ви можете перевизначити деякі правила, щоб зробити їх більш обмеженими.

• Налаштування: Встановіть Рівень безпеки на Високий та на Під атакою, якщо вас атакують, і переконайтеся, що Перевірка цілісності браузера увімкнена.

• У Cloudflare Домени -> Аналітика -> Безпека -> Перевірте, чи увімкнено обмеження швидкості

• У Cloudflare Домени -> Безпека -> Події -> Перевірте наявність виявлених зловмисних подій

Доступ

Швидкість

Я не зміг знайти жодної опції, пов'язаної з безпекою

Кешування

• У розділі Конфігурація розгляньте можливість увімкнення Інструменту сканування CSAM

Маршрути робітників

Ви вже мали перевірити робітників Cloudflare

Правила

TODO

Мережа

• Якщо HTTP/2 увімкнено, HTTP/2 до початку також повинно бути увімкнено

• HTTP/3 (з QUIC) повинно бути увімкнено

• Якщо приватність ваших користувачів важлива, переконайтеся, що Маршрутизація через Onion увімкнена

Трафік

TODO

Спеціальні сторінки

• Опціонально налаштуйте спеціальні сторінки, коли спрацьовує помилка, пов'язана з безпекою (наприклад, блокування, обмеження швидкості або режим "Я під атакою")

Додатки

TODO

Scrape Shield

• Перевірте, що Замаскування адрес електронної пошти увімкнено

• Перевірте, що Виключення на стороні сервера увімкнено

Зараз

TODO

Web3

TODO