HaveIBeenPwned? (個人情報の漏えい確認サイト)

Troy Hunt氏はCloudflareを使用してWebサイトとAPIを保護し、オンラインでの安全性を支援しています。

Troy Hunt is a Microsoft Regional Director and an independent Internet security researcher. He is well known for both his Internet security blog www.troyhunt.com, and his HaveIBeenPwned (HIBP) service, which aggregates data breaches and helps people establish if they've been impacted by malicious activity on the web. Hunt's goal is to help as many people as possible with his knowledge and service.

Troy Hunt's Challenge: Helping People Without Enabling the Bad Guys

リソースが限られている場合、できるだけ多くの人を助けることが困難になることがあります。Hunt氏の主な課題は、MicrosoftのAzureインフラストラクチャで実行されているWebサイトとAPIへのトラフィックの急増を管理することです。このようなトラフィックの急増は、パフォーマンスの問題を引き起こし、帯域幅コストが増加し、信頼と整合性がすべてであるサービスのダウンタイムと信頼性の喪失を招きます。大規模な機関でのデータ漏えいが広く公表されると(最近のAshley MadisonやDropboxの情報漏えいなど)、Hunt氏のHIBPサービスでは、トラフィックが急増します。Hunt氏によると、こうしたトラフィックスパイクはCPUを使い果たし、より多くのインスタンスが配備されるまでパフォーマンスを低下させます。Azureの自動負荷処理であるオートスケールは、トラフィックが安定的に上昇するとみごとに機能しますが、トラフィックが突然チャートから外れた場合、パフォーマンスは低下します。」このようなトラフィックスパイクは、パフォーマンスの低下を意味するだけでなく、オートスケールがオンデマンドの負荷に順応するため、急増はHunt氏のウォレットに直接取り付けられたレバーのように機能します。

さらに、Hunt氏はHIBPのAPIを悪用する不正アクターを憂慮していました。APIは、データ漏えいの影響を受けているかを調べるために作成されましたが、Hunt氏は、「このところ、APIが作成された当初の目的にそぐわないような方法で使用されていることを示すさまざまな事例があるのです. . . 」と説明しています。こうした事態が続くことは避けたいのです。」

こうして、Hunt氏はトラフィックスパイクをきっかけにWebパフォーマンスを維持しながら、コストを軽減し、APIの悪用を防止するためのソリューションを探していました。

Troy Hunt's Solution: Rate Limiting Malicious Actors

Troy Hunt found a single solution for his multiple requirements in Cloudflare's Rate Limiting service. Rate Limiting helps Hunt manage traffic spikes by allowing him to set a limit on the number of requests from individual IP addresses that respectively hit his websites and API over a given period of time. Rate limiting prevents spikes in traffic from reducing performance because each unique user is limited to a certain number of requests. Hunt has set this limit such that normal users don't see any change in service, while people abusing Hunt's websites and API get throttled ensuring that his API stays high performing and reliable for legitimate traffic, while abusers are prevented and blocked. Hunt applauded, "You have made the entire site more stable, faster for legitimate users, and more secure while reducing my costs."

関連導入事例
主な成果

レート制限により、悪意のあるアクターによるHIBPのAPIの乱用を防止

インフラストラクチャのコストを90%削減

リクエストの99.5%をCloudflareのキャッシュから直接配信

Rate Limitingによって、サービスを安定的に、コスト効率よく、倫理的に運用できます。

Troy Hunt氏