Cloudflare 獲評 Forrester Wave™ DDoS防護解決方案領導者

我們在此欣然宣布，Cloudflare 已獲評為 2021 年第一季度 Forrester WaveTM DDoS 防護解决方案領導者。

Forrester 公司安全與風險高級分析師 David Holmes 撰寫的這份報告稱，“Cloudflare 從邊緣防護 DDoS 攻擊，而且反應迅速。客戶薦言將 Cloudflare 的邊緣網路視為保護和交付應用程序方面一種令人嘆服的方式。”

Cloudflare 的使命是幫助建設更美好的互聯網——其中 DDoS 攻擊的影響不再存在。在過去 10 年中，我們一直堅定不移地保護客戶的互聯網資産免受各種 DDoS 攻擊影響。在2017年，我們宣布免費的不計量DDoS 保護，包含於Cloudflare 的每一項服務和計劃中，包括免費計劃，旨在確保每一個組織都受到保護並維持可用性。

得益於我們自行開發的自動 DDoS 防護系統，我們能免費提供不計量和無限制的 DDoS 保護 。我們的自動化系統持續進步分析流量樣本以免影響性能。系統對OSI 模型的 3-7 層進行掃描以監測 DDoS 攻擊。系統在 IP 數據包、HTTP 請求和 HTTP 響應中尋找模式。在發現攻擊時，系統以臨時緩解規則的形式生成一個實時簽名。該規則傳播至我們網路邊緣上的最優位置，以獲得經濟高效的緩解：例如在 Linux 內核的 eXpress Data Path (XDP)，Linux 用戶空間 iptables 中或在 HTTP 反向代理中。由於採用這種經濟高效的策略，我們能在不影響性能的情况下緩解最大容量的分布式攻擊。

我們希望說 DDoS 攻擊已成為過去。但不幸的是，情况並非如此。

相反，我們繼續觀察到 DDoS 攻擊的頻率、複雜程度和地理分布每個季度都在增加。過去一年來，Cloudflare 觀察到並自動緩解了一些最大型及可以說是最有創造性的網路攻擊。由於攻擊者所採取的方式日益大膽和狡猾，組織也在尋求對付這些攻擊而不導致其提供的服務中斷的方法。

今年1月，我們分享了一則消息：我們幫助一家財富全球 500 强企業抗擊一次勒索型 DDoS 攻擊並保持在綫。這並非孤例。事實上，2020 年第四季度期間，17% 的受訪 Cloudflare 客戶報告收到一次 DDoS 勒索攻擊或攻擊威脅。2021 年第一季度，這個比例增加到 26% —— 大約四分之一受訪者報告一次勒索威脅且網路基礎設施遭受到一次 DDoS 攻擊。

隨著攻擊繼續演變，使用我們服務的客戶數量也在增加，Cloudflare 不斷投資於我們的技術，從而總是領先於攻擊者幾步。我們進行了大量投資，增强緩解容量，優化檢測算法，向客戶提供更佳的分析能力。我們的目標是使 DDoS 攻擊對所有客戶的影響成為過去，正如 90 年代的垃圾郵件。

在 2019 年，我們推出了自主 DDoS 檢測和緩解系統，dosd。作為我們緩解堆疊的一個組成部分，dosd 是完全軟件定義的，利用 Linux 的 eXpress Data Path (XDP)，讓我們能迅速自動部署 eBPF 規則，對每個接收到的數據包進行檢測——在邊緣平均不到 3 秒即可緩解最複雜的攻擊，並即時緩解其他普通攻擊。其工作方式是檢測攻擊流量中的模式，然後迅速自動部署規則，在瞬息間擊退攻擊者。此外，dosd 在每個數據中心中獨立運行，不依賴於集中式數據中心，這極大地增强了我們網路的韌性。

dosd 通過檢測流量中的模式來緩解攻擊的方式非常有效，但沒有模式的攻擊如何應對呢？這時 flowtrackd 就有了用武之地。這是我們在 2020 年創建的新型 TCP 狀態分類引擎，用於防禦針對我們Magic Transit 客戶的破壞性 L3/L4 攻擊。這種技術能檢測並緩解最隨機、最複雜的攻擊。此外，在 L7，我們也學習客戶的流量基綫並在其源服務器遭受壓力時加以識別。在某個源服務器顯示惡化迹象時，我們的系統就會啓動軟緩解，以便降低對服務器的影響並允許其恢復正常狀態。

構建先進的 DDoS 防護系統不僅事關檢測，也涉及到經濟高效的緩解。基於這個要求，我們向全世界推出了 IP Jails：IP Jails 是一種gatebot 能力，可在不影響性能的情况下緩解最大容量的分布式攻擊。在攻擊容量顯著增加時，gatebot 就會激活 IP Jails。這時，系統不再在 L7 進行阻止，取而代之，IP Jails 會暫時斷開攻擊 IP 地址（這些 IP 地址産生的請求匹配 gatebot 所創建的攻擊簽名）的連接。IP Jails 利用 Linux iptables 機制來在瞬間丟弃數據包。在 L4 斷開 L7 攻擊極大地提高了成本效益，我們的客戶和站點可靠性工程團隊均從中受益。

鑒於我們觀察到和緩解的攻擊日益複雜，為了向我們的客戶提供更佳的可見性和洞察，我們在 2019 年推出了 防火墻分析 （Firewall Analytics）儀錶板。該儀錶板提供了對 L7 層 HTTP 應用程序安全和 DDoS 活動的洞察，並允許客戶在分析儀錶板中直接配置規則 ，從而縮短了事件響應的反饋循環。在2020年, 我們為 Magic Transit 和 Spectrum 企業客戶發布了針對 L3/4 活動的同等功能儀錶板，即網路分析（Network Analytics）儀錶板。網路分析儀錶板提供對數據包級別流量和 DDoS 攻擊活動的洞察，同時提供定期的洞察與趨勢（Insights and Trends）。作為這些儀錶板的補充，並為我們的用戶在其需要時提供正確的信息，我們推出了實時 DDoS 警報以及定期 DDoS 報告 ——直接投遞到您的郵箱。您也可以選擇直接投送到 SIEM 儀錶板。

今年，由於我們先進的 DDoS 保護能力，Cloudflare 在策略類別獲得最高分，並在當前提供産品類別進入前三名。此外，我們在該報告的 15 項標準中獲得最高分數，包括：

．威脅檢測
．爆發性攻擊
．響應自動化
．實施速度
．產品願景
．性能安全運營中心（SOC）服務

我們相信，我們今天的成績源於過去幾年來對我們全球 Anycast 網路的持續投資——這是我們向客戶提供的所有服務的基礎。

我們的網路具備可擴展的架構設計——每一項服務都運行於遍布全球 200 多個城市的每一個 Cloudflare 數據中心中的每一台服務器。與報告中的部分其他供應商相反，Cloudflare 的每一項服務都是從我們的每一個邊緣數據中心交付的。

一家領先的應用性能監測公司使用了 Cloudflare 的無服務器計算和內容交付服務。該公司最近告訴我們，他們希望將其性能和安全服務整合到一個供應商。他們放棄了原有的 L3 服務提供商，並啓用 Cloudflare 的應用和網路服務（Magic Transit），以便獲得更輕鬆的管理和更佳的支援。

我們越來越多地看到這種情况。使用單一雲提供商以獲得一體化安全和性能服務的益處不可勝數：

管理更輕鬆 —— 用戶可通過單一儀錶板和單一 API 端點管理 Cloudflare 的所有服務，例如 DDoS 保護，WAF，CDN， 機器人管理和無服務器計算。

深度服務集成 —— 我們的所有服務都是深度集成的，用戶得以充分利用 Cloudflare 的强大功能。例如，機器人管理規則是通過我們的應用程序防火墻部署的。

故障排除更輕鬆 —— 我們的客戶在排除故障時只有一個聯繫點，而不必聯繫多個供應商。我們還通過攻擊求助熱綫提供即時人工響應。

更低延遲 —— 由於我們的每一項服務都是從我們所有數據中心交付的，不存在任何性能損失。例如，從 DDoS 服務到機器人管理服務到 CDN 服務沒有額外的路由躍點。

然而，並非所有雲服務都是相同的，當今大多數供應商都不能提供一套全面和健壯的解决方案。Cloudflare 具有獨特的架構，能够提供一個擁有全明星産品陣容的集成解决方案，例如：

．CDN
2020 年度 Garnet Peer Insights “客戶之聲”：全球 CDN 評選中榮獲“客戶之選”領導者稱號

．DDoS
在 2020 年度 Gartner DDoS 雲清洗中心解决方案比較報告中獲得最多最高分

．WAF
Cloudflare 成為 2020 年度 Gartner Web 應用程序防火墻魔力象限報告中的挑戰者（在“執行能力”項目獲得最高排名)

．零信任
Cloudflare為 2020 年 Omidia 市場雷達：零信任訪問報告中的領導者

．機器人管理
2020 年 SPARK Matrix 機器人管理市場領導者

．集成解决方案
2020 年 Frost & Sullivan 全面 Web 保護市場創新領導者

我們很高興獲評為 2021 年第一季度 Forrester Wave™ DDoS 防護解决方案領導者，並將繼續不懈努力，如報告所述，保持為客戶“保護和交付應用程序的一個令人嘆服的方式”。