HaveIBeenPwned?

Troy Hunt setzt Cloudflare zum Schutz seiner Website und API ein, um Anwendern eine sichere Online-Erfahrung zu ermöglichen.

Troy Hunt ist Regional Director bei Microsoft und unabhängiger Forscher zum Thema Sicherheit im Internet. Er ist bekannt für seinen einschlägigen Blog www.troyhunt.com und seinen Dienst HaveIBeenPwned (HIBP), der Datenschutzverletzungen sammelt und Nutzern hilft, zu erkennen, ob sie Ziel böswilliger Aktivitäten im Internet geworden sind. Sein Ziel ist es, mit seinem Wissen und seinem Dienst so vielen Menschen wie möglich zu helfen.

Troy Hunts Herausforderung: Menschen helfen, ohne Betrügern in die Hände zu spielen

Mit begrenzten Ressourcen so vielen Menschen wie möglich zu helfen, ist nicht immer leicht. Eine der größeren Schwierigkeiten für Hunt stellt der Umgang mit schnell auftretenden Traffic-Spitzen auf seinen Websites und der API dar, die auf der Azure-Infrastruktur von Microsoft laufen. Diese Spitzen verursachen Probleme bei der Performance, erhöhen die Bandbreitenkosten und bedeuten Ausfallzeiten und Vertrauensverlust für einen Dienst, bei dem es in erster Linie auf Vertrauen und Integrität ankommt. Wenn große Unternehmen aufgrund von Datenschutzverletzungen in die Schlagzeilen geraten (wie jüngst Ashley Madison und Dropbox), verzeichnet Hunts HIBP-Dienst einen starken Anstieg des Traffic. Diese Traffic-Spitzen bringen laut Hunt die CPUs an ihre Grenzen und beeinträchtigen die Performance, bis weitere Instanzen eingesetzt werden: „Autoscale, der Azure-Dienst zur automatischen Lasthandhabung, funktioniert wunderbar, solange der Datenverkehr stetig zunimmt. Wenn der Traffic aber plötzlich stark ausschlägt, bricht die Performance bei mir ein.“ Unter diesen Traffic-Spitzen leidet nicht nur die Performance, sondern auch Hunts Geldbeutel, weil sich Autoscale per „Load on Demand“ an die Datenlast anpasst.

Außerdem fürchtete Hunt, dass einige die HIBP-API für unlautere Zwecke eingesetzt werden könnte. Ursprünglich wurde die API entwickelt, damit Nutzer feststellen können, ob sie von einer Datenschutzverletzung betroffen sind. Doch Hunt zufolge gab es in „letzter Zeit Anzeichen dafür, dass die API zweckentfremdet wurde. Ich möchte nicht, dass das so weitergeht.“

Hunt suchte daher nach einer Lösung, um die Web-Performance aufrechtzuerhalten, die durch Traffic-Spitzen verursachten Kosten zu senken und den Missbrauch seiner API zu verhindern.

Troy Hunts Lösung: Durchsatzratenbegrenzung im Kampf gegen böswillige Akteure

Die vielfältigen Anforderungen von Troy Hunt können alle durch die Durchsatzratenbegrenzung von Cloudflare erfüllt werden. Die Durchsatzratenbegrenzung erleichtert die Bewältigung von Traffic-Spitzen, weil Hunt damit die Anzahl der Anfragen von einzelnen IP-Adressen begrenzen kann, die seine Websites und API über einen bestimmten Zeitraum erreichen. Auf diese Weise wird die Performance auch bei Traffic-Spitzen nicht beeinträchtigt, da jeder einzelne Nutzer nur eine bestimmte Zahl von Anfragen durchführen kann. Hunt hat diese Obergrenze so festgelegt, dass normale Anwender keine Veränderung des Dienstes registrieren. Demgegenüber werden die Aktivitäten von Personen eingeschränkt, die Hunts Websites und API missbrauchen. So wird sichergestellt, dass seine API für legitimen Traffic leistungsfähig und zuverlässig bleibt, während böswillige Akteure behindert und blockiert werden. Hunt ist zufrieden: „Sie haben die gesamte Website stabiler und schneller für legitime Benutzer gemacht. Sie ist insgesamt sicherer und meine Kosten wurden reduziert.“