Website-Sicherheit

Erfahren Sie mehr darüber, wie Cloudflare-Produkte ihre Assets schützen und entscheiden Sie, welche Sicherheitseinstellungen für Sie die richtigen sind.

Kontosicherheit

Die Einführung eines strengen Sicherheitskonzepts für Ihr Cloudflare-Konto ist ein wichtiger Schritt zur Gewährleistung der allgemeinen Sicherheit Ihrer Website. Zwei-Faktor-Authentifizierung (2FA) bringt zusätzliche Sicherheit für Ihr Konto, denn bei der Anmeldung wird eine zweite Information angefordert, um Ihre Identität zu bestätigen.

Folgen Sie diesen Anweisungen, um 2FA zu aktivieren, indem Sie sich über Ihre bevorzugte Anwendung für mobile Authentifizierung anmelden. Bewahren Sie eine Kopie der Wiederherstellungscodes an einem sicheren Ort auf. So vermeiden Sie, dass Sie sich selbst aus Ihrem Konto aussperren.

Benachrichtigungen

Verwalten Sie Ihre Benachrichtigungen, um festzulegen, worüber Sie gewarnt werden möchten und wie. Wir empfehlen die Aktivierung von:

  • Passive Origin Monitoring-Warnungen: Lassen Sie sich benachrichtigen, wenn Ihr Ursprungswebserver für mindestens 5 Minuten von unserem Edge-Netzwerk nicht erreichbar ist, damit Sie das Problem schnell beheben können.
  • HTTPS DDoS-Warnungen: Melden Sie sich an, um eine Echtzeit-E-Mail zu erhalten, wenn Cloudflare automatisch einen DDoS-Angriff auf Ihre Internetwebsite erkennt und abwehrt.
  • Sicherheitsereignis-Warnung: Sie erhalten innerhalb von zwei Stunden eine Warnung, wenn sich Firewall-bezogene Ereignisse in allen Cloudflare-Diensten häufen, die entsprechende Protokolleinträge erzeugen.
Mehr dazu

DNS-Einträge verwalten

Wenn Sie Cloudflare DNS nutzen, werden alle DNS-Anfragen für Ihre Domain von unserem globalen Anycast-Netzwerk beantwortet. DNS-Einträge helfen dabei, Informationen über Ihre Domain an Besucher und andere Webdienste zu übermitteln.

Mit Cloudflare DNS können Sie alle Einträge für Ihre Website unter der Registerkarte „DNS“ verwalten – sehen Sie sich in einer Präsentation des Cloudflare-Dashboards die verfügbaren Optionen an.

Orange Wolke vs. graue Wolke

Ein oranges Wolkensymbol bedeutet, dass der Traffic zu diesem Hostnamen über Cloudflare läuft. Dies ermöglicht Funktionen wie das Verbergen Ihrer Ursprungs-IP, Caching, SSL und Web Application Firewall. Wir empfehlen, das orange Wolkensymbol für A-, AAAA- und CNAME-Einträge zu aktivieren.

Ein graues Wolkensymbol bedeutet, dass Cloudflare diese Einträge im DNS ankündigt, aber der gesamte Datenverkehr wird zu Ihrem Ursprungsserver anstatt über Cloudflare geleitet. Dies ist in einigen Kontexten nützlich, z. B. bei anderen Einträgen als A, AAAA oder CNAME, wenn Sie versuchen, einen Dienst mit einem Eintrag oder Nicht-Web-Traffic zu validieren, einschließlich Mail und FTP. Wenn Sie Probleme mit einem Datensatz auf Cloudflare haben, können Sie Cloudflare für den Datensatz pausieren, indem Sie ihn auf der Registerkarte DNS grau einfärben (graues Wolkensymbol).Wenn Sie nach dem Onboarding Probleme mit nicht zustellbaren E-Mails haben, grauen Sie die DNS-Einträge, die für den Empfang von E-Mails verwendet werden, auf der Registerkarte DNS aus (graue Wolke). Die Standardkonfiguration erlaubt nur das Proxying von HTTP-Traffic und unterbricht den Mailverkehr.

Mehr dazu

Verbergen Sie Ihre Ursprungsserver-IP-Adresse

Cloudflare bietet viele Funktionen, um bösartigen Datenverkehr zu erkennen und zu blockieren. Wenn böswillige Benutzer jedoch die Ursprungs-IP Ihres Servers finden, also den Ort, an dem Ihre eigentlichen Ressourcen gehostet werden, können sie möglicherweise Datenverkehr oder Angriffe direkt an die Server senden.

Ziehen Sie es in Erwägung, Maßnahmen zur Verhinderung von Datenlecks zu ergreifen:

  1. Überprüfen Sie die DNS-Einträge für Ihre Zonen. Wenn möglich, lassen Sie alle Ihre Subdomains bei Cloudflare und überprüfen Sie die SPF- und TXT-Einträge auf Herkunftsinformationen.
  2. Hosten Sie keinen Mail-Dienst auf demselben Server wie die Web-Ressource, die Sie schützen möchten, da E-Mails, die an nicht-existierende Adressen gesendet werden, an den Angreifer zurückgeschickt werden und die IP des Mail-Servers preisgeben.
  3. Stellen Sie sicher, dass Ihr Webserver keine Verbindung zu beliebigen Adressen herstellt, die von Benutzern angegeben werden.
  4. Rotieren Sie nach der Einrichtung Ihre Ursprungs-IPs, da die DNS-Einträge öffentlich zugänglich sind. Alte Einträge werden gespeichert und würden IP-Adressen enthalten, die Sie vor der Nutzung von Cloudflare hatten.

DNSSEC aktivieren

DNSSEC schafft ein sicheres Domain Name System, indem bestehende DNS-Einträge mit kryptografischen Signaturen versehen werden. Diese digitalen Signaturen werden in DNS-Nameservern neben den üblichen Eintragstypen wie A, AAAA, MX und CNAME gespeichert. Durch Überprüfung der zugehörigen Signatur können Sie verifizieren, ob ein angefragter DNS-Eintrag von seinem autorisierenden Nameserver stammt und unterwegs nicht verändert wurde – im Gegensatz zu einem gefälschten Eintrag, der bei einem On-Path-Angriff injiziert wurde.

Wir empfehlen dringend, DNSSEC zu aktivieren, um eine zusätzliche Authentifizierungsebene auf Ihrem DNS für Domains auf Cloudflare hinzuzufügen.

SSL-Verschlüsselung aktivieren

SSL-Zertifikate verschlüsseln Benutzerdaten und sorgen für die Sicherheit der Benutzer im Internet. Das manuelle Konfigurieren von SSL erfordert allerdings mehrere Schritte und eine Fehlkonfiguration kann dazu führen, dass Besucher Ihre Webseite nicht erreichen können.

Mit Cloudflare können Sie HTTPS mit einem Klick aktivieren. Wir bieten Edge-Zertifikate und Origin-Server-Zertifikate an.

  • Edge-Zertifikate: Standardmäßig stellen wir für alle Cloudflare-Domains kostenlose, nicht freigegebene, öffentlich vertrauenswürdige SSL-Zertifikate aus und erneuern diese. Ihre Domain sollte ihr Universal SSL-Zertifikat automatisch innerhalb von 24 Stunden nach Domainaktivierung erhalten. Wir empfehlen, entweder „Full“ oder „Full (strict)“ als Einstellungen zu aktivieren, um die Vertraulichkeit der Daten auf Ihrer Seite zu gewährleisten.
  • Origin Certificate Authority (CA): Verwenden Sie diese Zertifikate, um den Datenverkehr zwischen Cloudflare und Ihrem ursprünglichen Webserver zu verschlüsseln. Nach der Bereitstellung sind diese Zertifikate mit dem Strict SSL-Modus kompatibel.
Erste Schritte

Jetzt mit WAF schützen

Durch den Einsatz einer Web Application Firewall (WAF) können Sie entscheiden, ob Sie bestimmte Arten von ein- und ausgehendem Datenverkehr über eine Reihe von Regeln (oft Richtlinien genannt) zulassen. WAFs schützen vor Angriffen wie SQL Injection-Angriffen, Cross-Site Scripting und Cross-Site Forgery.

Unsere WAF bietet automatischen Schutz und die Flexibilität, eigene Regeln zu erstellen:

  • Regeln zur Durchsatzbegrenzung: Definieren Sie Ratenlimits für eingehende Anfragen, die einem Ausdruck entsprechen, und die Aktion, die bei Erreichen dieser Obergrenzen erfolgen soll.
  • WAF Managed Rulesets: Aktivieren Sie die vorkonfigurierten Richtlinien, um sofortigen Schutz zu erhalten, auch vor fortgeschrittenen Zero-Day-Sicherheitslücken.
  • Überprüfung auf offengelegte Zugangsdaten: Überwachen und blockieren Sie die Verwendung gestohlener/offengelegter Anmeldeinformationen für die Übernahme von Konten.
  • Firewall Analytics: Untersuchen Sie Sicherheitsbedrohungen und passen Sie dann Ihre Sicherheitskonfigurationen auf der Grundlage des Aktivitätsprotokolls an.
Dokumentation für Entwickler lesen

Tipps zur WAF-Konfiguration

Wenn Sie verwaltete Regelsätze verwenden:

  • Aktivieren Sie nur Regelgruppen, die Ihrem Technologie-Stack entsprechen. Wenn Sie zum Beispiel WordPress verwenden, aktivieren Sie die Cloudflare WordPress-Gruppe. Sie haben auch die Möglichkeit, eigene Regeln zu erstellen.
  • Wir empfehlen, die WAF einzuschalten und Cloudflare Specials zu aktivieren, damit Sie sich automatisch vor den neuesten Angriffsvektoren schützen.

Erlernen Sie die Grundlagen des Caching

Unter Caching versteht man das Speichern von Kopien von Dateien an einem temporären Speicherort, damit schnell auf sie zugegriffen werden kann. HTML-Dateien, JavaScript-Dateien und Bilder werden von Webbrowsern für schnelle Ladezeiten zwischengespeichert; DNS-Einträge werden von DNS-Servern für schnellere Lookup-Abfragen zwischengespeichert und Inhalte werden von CDN-Servern zwischengespeichert, um die Latenz zu reduzieren.

Besseres Verständnis der Browser-Cache-TTL und der Edge-Cache-TTL

Diese wichtigen Funktionen helfen, Ihre Website zu schützen und sicherzustellen, dass die Inhalte auf dem neuesten Stand sind.

  • Edge Cache TTL (Time to Live) gibt an, wie lange eine Ressource in unserem Edge-Netzwerk zwischengespeichert werden soll. Sie können konfigurieren, wie lange wir die Ressource im Cache aufbewahren, bevor wir den Ursprung erneut danach fragen.
  • Browser Cache TTL legt den Ablauf für Ressourcen fest, die im Browser eines Besuchers zwischengespeichert werden.

Wenn Sie beispielsweise eine Seite mit Wahlergebnissen mit Ressourcen aktualisieren, die wir automatisch alle 20 Minuten zwischenspeichern, setzen Sie die TTL für den Edge-Cache auf 20 Minuten und die TTL für den Browser-Cache auf etwa 1 Minute, damit die Benutzer frische Daten erhalten. Sie können den Cache bei jeder Aktualisierung der Datei jedoch auch manuell nach Datei-URL oder Hostname leeren.

Cache-Einstellungen anpassen