Segurança de sites
Aprofunde-se nos detalhes sobre como os produtos da Cloudflare protegem seus ativos e escolha as definições de segurança adequadas para você.
Segurança de contas
Adotar uma forte postura de segurança para sua conta da Cloudflare é um passo importante para garantir a segurança geral do seu site. A autenticação de dois fatores (2FA) aprimora a segurança de contas ao exigir uma segunda informação para validar sua identidade quando você faz login.
Siga essas instruções para habilitar a 2FA registrando-se por meio de seu aplicativo móvel de autenticação preferido. Salve uma cópia dos códigos de recuperação em um local seguro para evitar o bloqueio de sua conta.
Notificações
Gerencie suas notificações para definir sobre o que você deseja ser avisado e como. Recomendamos ativar:
- Alertas passivos de monitoramento de origem: seja notificado quando seu servidor web de origem estiver inacessível em nossa Rede de borda por pelo menos 5 minutos, assim é possível corrigir o problema rapidamente.
- Alertas de DDoS HTTPS: inscreva-se para receber um e-mail em tempo real quando a Cloudflare detectar e mitigar automaticamente um ataque DDoS direcionado ao seu ativo da internet.
- Alerta de eventos de segurança: receba um alerta em até duas horas de qualquer pico de eventos relacionados ao firewall em todos os serviços da Cloudflare que geram entradas de registros relacionadas.
Gerencie registros de DNS
Quando você usa o DNS da Cloudflare, todas as consultas de DNS do seu domínio são respondidas por nossa Rede Anycast global. Os registros de DNS ajudam a comunicar informações sobre seu domínio para visitantes e outros serviços web.
Com o DNS da Cloudflare, você pode gerenciar todos os registros do seu site na guia DNS — assista a um vídeo sobre o passo a passo das opções disponíveis no Painel de controle da Cloudflare.
Nuvem laranja versus nuvem cinza
Um símbolo de nuvem laranja significa que o tráfego para esse hostnameestá sendo executado pela Cloudflare. Isso habilita recursos como ocultar seu IP de origem, Caching, SSL e firewall de aplicativos web. Recomendamos habilitar a nuvem laranja para registros A, AAAA e CNAME.Uma nuvem cinza significa que a Cloudflare anunciará esses registros no DNS, mas todo o tráfego será roteado para sua origem e não pela Cloudflare. Isso é útil em alguns contextos, como registros que não sejam A, AAAA ou CNAME, se você estiver tentando validar um serviço com um registro ou tráfego que não seja da web, incluindo e-mail e FTP. Se você tiver problemas com um registro na Cloudflare, poderá pausar a Cloudflare para o registro colocando-o na nuvem cinza na guia DNS.Se você tiver problemas com e-mails que não podem ser entregues após a integração, coloque na nuvem cinza os registros de DNS usados para receber e-mails na guia de DNS. A configuração padrão permite apenas o proxy de tráfego HTTP e interromperá o tráfego de e-mail.
Ocultar seu endereço de IP de origem
A Cloudflare oferece muitos recursos para detectar e bloquear tráfego malicioso. No entanto, se usuários maliciosos encontrarem o IP de origem do seu servidor, que é onde seus recursos reais estão hospedados, eles poderão enviar tráfego ou ataques diretamente aos servidores.
Considere tomar medidas para evitar o vazamento dessas informações:
- Analise os registros de DNS de sua(s) zona(s). Se possível, mantenha todos os seus subdomínios na Cloudflare e verifique se há registros SPF e TXT para obter informações de origem.
- Não hospede um serviço de e-mail no mesmo servidor que o recurso da web que deseja proteger, pois e-mails enviados para endereços inexistentes são devolvidos ao invasor e revelam o IP do servidor de e-mail.
- Certifique-se de que seu servidor web não se conecte a endereços arbitrários fornecidos pelos usuários.
- Uma vez integrado, alterne seus IPs de origem, pois os registros de DNS são de domínio público. Os registros históricos são mantidos e contêm endereços de IP antes de ingressar na Cloudflare.
Habilite o DNSSEC
O DNSSEC cria um Domain Name System seguro ao adicionar assinaturas criptográficas aos registros de DNS existentes. Essas assinaturas digitais são armazenadas nos nameservers do DNS juntamente com tipos comuns de registros, como o A, o AAAA, o MX, o CNAME etc.Ao verificar a assinatura associada, é possível verificar se um registro de DNS solicitado vem do nameserver autoritativo e não foi alterado pelo caminho, ao invés de um registro falso injetado em um ataque de invasores intermediários.
É altamente recomendável ativar o DNSSEC para adicionar uma camada de autenticação no seu DNS para domínios na Cloudflare.
Habilitar criptografia SSL
Certificados SSL criptografam as informações do usuário e mantêm os usuários seguros na internet. A configuração manual do SSL requer diversas etapas e uma configuração malfeita poderá evitar o acesso de usuários ao seu site.
Com a Cloudflare, você pode se tornar habilitado por HTTPS com o clique de um botão. Oferecemos certificados de borda e certificados de servidor de origem.
- Certificados de Borda: por padrão, emitimos e renovamos certificados SSL gratuitos, não compartilhados e publicamente confiáveis para todos os domínios Cloudflare. Seu domínio deve receber automaticamente seu certificado Universal SSL dentro de 24 horas após a ativação do domínio. Recomendamos ativar Completo ou Completo (estrito) nas configurações para garantir a confidencialidade dos dados em seu site.
- Autoridade de certificação (CA) de origem: usam esses certificados para criptografar o tráfego entre a Cloudflare e seu servidor web de origem. Uma vez implantados, esses certificados são compatíveis com o modo Strict SSL.
Fique protegido com um WAF
Ao implantar um firewall de aplicativos web (WAF), você pode decidir se permite tipos de tráfego de entrada e saída por meio de um conjunto de regras (geralmente chamadas de políticas). Os WAFs protegem contra ataques como ataques de injeção de SQL, Cross-Site Scripting e falsificação de solicitação entre sites.
Nosso WAF oferece proteção automática e flexibilidade para criar regras personalizadas:
- Regras de Rate Limiting: Defina limites de taxa para solicitações de entrada correspondentes a uma expressão e a ação a ser tomada quando esses limites forem atingidos.
- Conjuntos de regras gerenciadas do WAF: habilite as políticas pré-configuradas para obter proteção imediata, inclusive contra vulnerabilidades zero-day avançadas.
- Verificações de credenciais expostas: monitore e bloqueie o uso de credenciais roubadas/expostas para controle de conta.
- Firewall Analytics: investigue ameaças de segurança e, em seguida, personalize suas configurações de segurança com base no registro de atividades.
Dicas de configuração do WAF
Ao usar conjuntos de regras gerenciados:
- Habilite apenas grupos de regras que correspondam à sua pilha de tecnologia. Por exemplo, se você usa o WordPress, ative o grupo Cloudflare WordPress. Você também pode criar regras personalizadas.
- Recomendamos ativar o WAF e habilitar o Cloudflare Specials para se proteger automaticamente contra os vetores de ataque mais recentes.
Aprenda os conceitos básicos do Caching
Caching é o processo de armazenar cópias de arquivos em um local de armazenamento temporário para que possam ser acessados rapidamente. Os navegadores web armazenam em cache arquivos HTML, JavaScript e imagens para tempos de carregamento rápidos; Os servidores de DNS armazenam em cache os registros de DNS para pesquisas mais rápidas; e os servidores de CDN armazenam conteúdo em cache para reduzir a latência.
- Saiba mais sobre o comportamento de cache padrão.
- Para armazenar em cache HTML, você pode usar o Page Rules da Cloudflare para definir regras sobre como armazenar em cache o conteúdo dinâmico.
Noções básicas sobre o TTL do cache do navegador e o TTL do cache de borda
Esses recursos importantes ajudam a proteger seu site e garantir que o conteúdo esteja atualizado.
- O TTL (Tempo de vida) do cache de borda especifica por quanto tempo armazenar em cache um recurso em nossa Rede de borda. Você pode configurar por quanto tempo mantemos o recurso em cache antes de solicitar novamente à origem.
- O TTL do cache do navegador define a expiração dos recursos armazenados em cache no navegador de um visitante.Por exemplo, se você estiver atualizando uma página de resultados de eleições com recursos que armazenamos em cache automaticamente a cada 20 minutos, defina o TTL do cache de borda para 20 minutos e o TTL do cache do navegador em torno de 1 minuto para que os usuários tenham dados atualizados. Ou você pode limpar manualmente o cache por URL de arquivo ou hostnamesempre que atualizar o arquivo.