Cloudflare 让互联网更安全：免费威胁情报、分析和新型威胁检测

所有使用互联网的用户每天都可能会接触到 Cloudflare 的网络，要么通过我们的1.1.1.1 解析器访问受 Cloudflare 保护的站点，要么通过使用我们的 Cloudflare One 产品的网络进行连接。

因此 Cloudflare 承担着巨大的责任 - 就是让覆盖全球数十亿用户的互联网更加安全。为此，我们向所有 Cloudflare 用户免费提供威胁情报和 10 多种新的安全功能。无论是使用 Cloudflare 来保护自己的网站、家庭网络还是办公室，您都会发现一些有价值的功能，只需几次点击就能开始使用。这些功能主要针对网络安全领域一些日渐增长的重要问题，包括帐户接管攻击、供应链攻击、针对 API 端点的攻击、网络可见性以及网络数据泄漏。

为每个人提供更多安全保障

在展开介绍各项功能的更多信息之前，我们先为大家做一个简短的摘要。

如果您是网络安全爱好者：可以访问我们全新的 Cloudforce One 威胁情报网站，了解威胁行为者、攻击活动和其他涉及整个互联网的安全问题。

如果您是网站所有者 ：从现在开始，所有 Free 计划用户都可以访问对应区域的安全分析。此外，我们还通过 GraphQL 向所有人提供DNS 分析。

获得可见性后，只需要将好的流量与恶意流量区分开来。所有用户都将可以使用始终开启的帐户接管攻击检测、API 模式验证（用于对其 API 端点上实施积极的安全模型），以及Page Shield 脚本监控器，以获取您正在加载的第三方资源（可能被用于执行基于供应链的攻击）的可见性。

如果您使用 Cloudflare 来保护您的人员和网络 ：我们将把一些 Cloudflare One 产品捆绑到一个新的免费产品中。捆绑包中将包括我们目前免费提供的 Zero Trust 产品，以及一些新产品，例如Magic Network Monitoring（提供网络可见性）、数据丢失防护（保护敏感数据）以及Digital Experience Monitoring（衡量网络连接和性能） 。Cloudflare 是目前唯一提供同类产品免费版本的厂商。

如果您是新用户：我们将会提供新的身份验证选项。今天开始，我们将推出使用 Google 身份验证来注册和登录 Cloudflare 的选项，这将使我们的一些用户更容易登录，并且减少对输入密码的依赖，从而降低其 Cloudflare 帐户被盗用的风险。

现在让我们来详细介绍一下：

威胁情报与分析

Cloudforce One我们的威胁研究和运营团队Cloudforce One现已推出一个可免费访问的专用威胁情报网站。我们将通过这个网站发布关于最新威胁行为者活动和策略的技术及实施情况相关信息，以及关于新兴恶意软件、漏洞和攻击的见解。

我们还将发布两则新的威胁情报（后续还会发布更多威胁情报）。欢迎访问新网站以查看最新研究报告，该研究报告会提及一名持续针对南亚和东亚地方组织的活跃威胁行为者，以及双重经纪货运欺诈的兴起。我们会将更多的研究报告及相关数据以自定义指标推送的形式定期发送给用户。大家可以通过订阅电子邮件通知以接收后续更多威胁研究报告。

Security Analytics

Security Analytics 会为您提供覆盖所有 HTTP 流量（而不仅仅是被缓解的请求）的安全视角，让您能够专注于最重要的事情：被视为恶意但可能未被缓解的流量。这意味着，除了使用 Security Events 查看我们的应用安全产品套件所采取的安全措施外，您还可以使用Security Events 来审查所有流量中的异常行为，然后利用获得的见解制定基于特定流量模式的精确缓解规则。从今天开始，我们将向所有计划级别的用户提供这一视角。Free 和 Pro 计划用户现在可以访问 Security Analytics 的新仪表板，您可以在流量分析图表中查看流量的高级别概述，包括分组和过滤能力，以便您可以轻松关注异常情况。您还可以查看重要统计数据，并从多个维度进行筛选，包括国家/地区、源浏览器、源操作系统、HTTP 版本、 SSL 协议版本、缓存状态和安全操作。

DNS 分析

现在，Cloudflare 的每位用户都可以访问经过改进的新 DNS 分析仪表板 ，还可以通过我们强大的 GraphQL API访问新的 DNS 分析数据集。现在，您可以轻松分析对您的域进行的 DNS 查询，这可用于排除问题、检测模式和趋势，或通过应用强大的过滤器和按来源分类 DNS 查询来生成使用情况报告。随着Foundation DNS 推出，我们引入了基于 GraphQL 的新 DNS 分析，但这些分析之前仅适用于使用高级域名服务器的区域。然而，由于这些分析提供了深入的洞察，我们认为这项功能应该向所有人提供。从今天开始，基于 GraphQL 的新 DNS 分析可以在使用了 Cloudflare 的权威 DNS 服务的每个区域的 DNS 分析界面中访问。

应用威胁检测和缓解

帐户接管检测

65% 的互联网用户 因密码重复使用和大规模数据泄露频率上升而面临帐户接管（ATO）风险。帮助构建一个更好的互联网意味着让每个人都能轻松获得关键的帐户保护。

从今天开始，我们将免费向所有人——从个人用户到大型企业——提供预防凭据填充和其他 ATO 攻击的强大帐户安全服务，并免费提供“泄露凭据检查”和 ATO 检测等增强功能。

这些更新包括自动检测登录，仅需极少设置即可获取的暴力攻击预防，以及拥有超过 150 亿条密码的综合泄露凭据数据库，其中将包含来自Have I Been Pwned (HIBP)服务的泄露密码以及我们自己的数据库。客户可以通过 Cloudflare 的 WAF 功能对泄露的凭据请求采取行动，例如速率限制规则和自定义规则，或者可以在源站采取行动，实施多因素身份验证 (MFA)或根据发送到源的标头要求重置密码。

设置很简单：Free 计划用户可以获得自动检测，而付费用户可以在 Cloudflare 仪表板中一键激活新功能。有关设置和配置的更多详细信息，请参阅我们的文档。

API 模式验证

API 流量占 Cloudflare 网络上动态流量的一半以上。API 的流行开启了一种全新的攻击手段。面对这些新威胁，Cloudflare API Shield 的模式验证是加强API 安全的第一步。

这是有史以来第一次，所有 Cloudflare 用户都可以使用模式验证，确保仅有效的 API 请求才能到达源服务器。

此功能可以阻止 bug 导致的意外信息泄露，预防开发人员因非标准流程以有害方式暴露端点，并自动阻止僵尸 API（因为您的 API 清单作为您的 CI/CD 流程的一部分将保持最新状态）。

我们建议您使用 Cloudflare 的API或 Terraformprovider将端点添加到 Cloudflare API Shield，并更新模式，作为您的代码构建后 CI/CD 流程的一部分进行。通过这种方式， API Shield 就会成为一个现成的 API 清单工具，而模式验证将处理对您的 API 发出的任何非预期请求。

虽然 API 都是为了与第三方集成，但有时集成是通过将库直接加载到您的应用中来完成的。接下来，我们将保护用户免受恶意第三方脚本从您的网页输入中窃取敏感信息的侵害，从而帮助保护更多网络。

供应链攻击防护

现代 Web 应用通过使用第三方 JavaScript 库来改善用户体验并减少开发人员的时间。由于拥有对页面上一切内容的特权访问权限，遭到破坏的第三方 JavaScript 库可以在最终用户或网站管理员毫不察觉的情况下，秘密地将敏感信息泄露给攻击者。为应对这种威胁，我们在三年前推出了 Page Shield 。我们现在向所有用户免费提供 Page Shield 的 Script Monitor（脚本监测器）。

使用Script Monitor，您将看到页面上加载的所有 JavaScript 资源，而不仅仅是您的开发人员加入的那些资源。这种可见性包括由其他脚本动态加载的脚本。一旦攻击者攻陷了某个库，添加一个新的恶意脚本会变得非常简单，无需更改原始 HTML 上下文，而是在现有的 JavaScript 资源中包含新代码：

当有关 pollyfill.io 库所有权变更的消息传出时，Script Monitor 发挥了至关重要的作用。Script Monitor 的用户可以立即看到他们网站上加载的脚本，快速轻松地了解他们是否处于风险之中

我们很高兴向所有用户提供 Script Monitor，从而尽可能扩展这些脚本的可见性。您可以在 此处的文档中 了解如何开始。Page Shield 的现有用户可以立即过滤受监控的数据，了解他们的应用是否使用了 polyfill.io （或任何其他库）。此外，我们构建了一个 polyfill.io 重写以响应遭到入侵的服务，并已于 2024 年 6 月向 Free 计划用户自动启用。

Turnstile 作为 Google Firebase 扩展

我们很高兴地宣布推出适用于 Google Firebase 的 Cloudflare Turnstile App Check Provider，提供无需手动设置的无缝集成。这个新的扩展允许在 Firebase 上构建移动或网络应用的开发人员使用 Cloudflare 的 CAPTCHA 替代方案来保护其项目免受机器人的侵害。通过利用 Turnstile 的机器人检测和质询功能，您可以确保只有真实的人类访问者与您的 Firebase 后端服务交互，从而增强安全性和用户体验。Cloudflare Turnstile 是一种注重隐私的 CAPTCHA 替代方案，可以在不影响用户体验的情况下区分人类和机器人。与用户经常会放弃的传统 CAPTCHA 解决方案不同， Turnstile是隐形运行的，并提供各种模式来确保无摩擦的用户交互。

Turnstile 的 Firebase App Check 扩展易于集成，使开发人员能够以最少的配置快速提升应用安全性。对于已经在使用 Turnstile 的免费版本用户，此扩展可免费无限制使用。通过结合 Google Firebase 的后端服务和 Cloudflare Turnstile 的优势，开发人员可以为其用户提供安全和无缝的体验。

Cloudflare One

Cloudflare One

是一个全面的安全访问服务边缘 (SASE)平台，旨在保护和连接互联网上的人员、应用、设备和网络。它将 Zero Trust 网络访问 (ZTNA)、安全 Web 网关 (SWG) 等服务整合到单一解决方案中。Cloudflare One 可以帮助每个人保护人员和网络，管理访问控制，防范网络威胁，保护数据，通过 Cloudflare 的全球网络路由网络流量，从而提高网络性能。它通过提供基于云的方法来取代传统的安全措施，以保护和简化对企业资源的访问。

现在，人人都可以免费使用 Cloudflare One 在近两年中新增的四款产品：

• 云访问安全代理（CASB），用于缓解 SaaS 应用风险。

• 数据丢失防护 (DLP) ，用于防止敏感数据离开您的网络和 SaaS 应用。

• Digital Experience Monitoring，了解用户使用任何网络时的体验。

• Magic Network Monitoring，查看您的网络中传输的所有流量。

这是对 Cloudflare One 平台现有网络安全产品的补充：

• Access，用于验证用户身份，只允许他们使用应该使用的应用。

• Gateway，用于保护出站前往公共互联网和进入您的专用网络的网络流量。

• Cloudflare Tunnel，我们的应用连接器，其中包括 cloudflared 和 WARP Connector，用于将不同的应用、服务器和专用网络连接到 Cloudflare 网络。

• Cloudflare WARP，我们的设备代理，用于安全地从笔记本电脑或移动设备向互联网发送流量。

任何拥有 Cloudflare 帐户的用户都将自动获得 50 个免费名额在其Cloudflare One 架构中使用上述产品。请访问我们的Zero Trust 和 SASE 计划页面，进一步了解我们的免费产品，并了解我们面向 50 名成员以上团队的 “随用随付” 和 “合约计划”。

使用 Google 进行身份验证

Cloudflare 仪表板本身已成为一种需要保护的重要资源，我们花费了大量时间确保 Cloudflare 用户帐户不会遭到入侵。

为此，我们通过添加额外的身份验证方法来提高安全性，包括基于应用的双因素身份验证(2FA)、通行密钥、SSO 和使用 Apple 登录。现在，我们又进一步新增了使用 Google 帐户注册和登录。

Cloudflare 支持多种针对不同用例定制的身份验证流程。虽然 SSO 和通行密钥是首选且最安全的身份验证方法，但我们认为提供比密码更强的身份验证因素将填补一个空白，并提高用户的整体平均安全水平。使用 Google 登录使用户变得更轻松，并且可以避免他们在已经使用 Google 身份浏览网络时还需要记住另一个密码的情况。

“使用 Google 登录”基于OAuth 2.0规范，并允许 Google 安全地共享有关特定身份的识别信息，同时确保是由 Google 提供此信息，从而防止任何恶意实体冒充 Google。

这意味着，我们可以将身份验证委托给 Google，防止直接针对该 Cloudflare 账户的零知识攻击。进入 Cloudflare 登录页面后，您将看到如下按钮。点击按钮即可注册 Cloudflare，完成注册后，您无需输入密码即可使用您在 Google 帐户中设置的任何现有保护措施登录。

随着这一功能的推出， Cloudflare 现在使用自己的 Cloudflare Workers 为与OIDC兼容的身份提供商（例如 GitHub 和 Microsoft 帐户）提供一个抽象层，这意味着我们的用户可以期待在未来看到更多身份提供商 (IdP)连接支持。

目前，只有通过 Google 注册的新用户才能使用他们的 Google 帐户登录，但我们将来会为更多用户实现这一功能，包括链接/取消链接社交登录提供商，我们还会添加更多社交登录方式。目前，已经创建 SSO 设置的企业级用户无法使用这种方法，而基于 Google Workspace 创建 SSO 设置的用户将被引导至他们的 SSO 登录流程。我们正在考虑如何简化已设置的 Access 和 IdP 策略，以保护您的 Cloudflare 环境。

如果您未使用过 Cloudflare，并且拥有 Google 帐户，那么使用 Cloudflare 来保护你的网站、构建新服务或尝试 Cloudflare 提供的其他服务将变得比以往任何时候更简单。

更安全的互联网

Cloudflare的目标之一是让网络安全工具大众化，让每个人都能安全地提供内容和连接到互联网，即便不具备大型企业及组织的资源条件。

我们决定向所有 Cloudflare 用户免费提供大量新功能，涵盖广泛的安全使用案例，适用于 Web 管理员、网络管理员和网络安全爱好者。登录您的 Cloudflare 帐户，立即开始体验上述的一系列新功能。同时，也欢迎在我们的社区论坛上提供反馈。

Cloudflare 保护整个企业网络，帮助客户高效构建互联网规模的应用程序，加速任何网站或互联网应用程序，抵御 DDoS 攻击，防止黑客入侵，并能协助您实现 Zero Trust 的部署与实施。