Comment protéger votre site avec Cloudflare
Presented by: Venceslas Devillard, Tobias Rohrle
Originally aired on April 15, 2021 @ 4:00 AM - 4:30 AM EDT
Durant cette session, nous allons voir comment protéger et accélérer votre site avec simplicité grâce à Cloudflare.
French
French
Security
Transcript (Beta)
Bonjour à tous, bienvenue sur Cloudflare TV. Je me présente, je m'appelle Tobias, je suis solution engineer, je suis accompagné de Venceslas.
Tu fais bonjour. Bonjour à tout le monde, très bien.
Si tu arrives à me faire rire, c'est pas mal, ça va un petit peu me décomplexer.
Nous allons rapidement aujourd'hui vous présenter Cloudflare et comment protéger votre site très rapidement.
Nous allons commencer par une rapide présentation de Cloudflare, puis Venceslas vous montrera comment onborder votre site.
Il faut comprendre que Cloudflare est historiquement une solution de CDN et de sécurité basée sur du Reverse Proxy.
Nous avons construit depuis 10 ans un superbe réseau Anycast.
Ça signifie que chaque adresse IP est portée par chacun des points de présence et nous avons 200 points de présence à travers le globe.
Pour résister aux attaques des DOS volumétriques, nous disposons d'une capacité réseau de 37 Tbps.
La grande force de Cloudflare va être d'avoir des plans gratuits, d'avoir 26 millions de domaines qui sont proxyés par Cloudflare.
Ça nous donne une super bonne visibilité.
Je ne vais pas parler des 10-15% de trafic, ce n'est pas bon.
Juste après ça, je pense que Vences va nous montrer comment accélérer et protéger son site sur Cloudflare.
Pour parler de la DDoS, je vais basculer sur TheBurritoBot et je vais aller montrer la jauge qui est vraiment live.
C'est une visibilité sur les attaques des DOS niveau 3.
Là, on est en train de vous parler du niveau 7. Normalement, le niveau 7 apparaît au-dessus.
C'est moi qui fais le mot de la fin, vu que je termine sur le WAF ?
Oui, si tu le sens.
Ok. Est-ce que j'ai des trucs qui vont bipper ou faire du bruit qu'il faut que je coupe ?
Non.
Est-ce qu'il y a un Google Assistant ? Il n'y a que mon téléphone, mais il est en mute, donc il ne va pas me casser les pieds.
Tu n'as pas de notification sur Windows ?
Je ne sais pas si tu as désactivé les notifications. Ça, c'est complètement désactivé.
Ok. Tu es bien sur le dashboard d'authentifier ? Oui. Ok, c 'est bon.
J'ai celui-là qui est prêt.
J'ai demandé à ma femme, à ma haut-père, de ne pas regarder de films pendant la saisie.
Ça va taper large au niveau de la banque d 'achat.
Tu as vu la catastrophe hier ?
Virgin Media était en panne toute la matinée. Oui.
Putain. C'était un problème au niveau de leur corps, des équipements.
Ils ont été très sympas.
Ils ont dit « Ah non, ce n'est pas nous. Bien sûr que ce n'est pas vous, c 'est quelqu'un d'autre.
» Là, là, là, là. Je t'entends. 58.
Il nous reste une minute et cinquante secondes. Mon téléphone est à l'heure.
Est-ce que ça a commencé à broadcaster avant ? Bon, c 'est parti de maintenant.
Je crois que je vais commencer à arrêter de dire de la merde et rester silencieux.
Je regarde le chat.
Je t'ai dit si je vois un message, c'est bien. Tu la vois, ma barre en bas, la « present » ?
Oui. Et après, là, attends. Elle ne va pas partir si j'attends.
Voilà. Une minute.
Bonne chance.
Merci. Merci.
Quatre.
Bonjour à tous.
Merci de nous rejoindre sur Cloudflare TV. Je m'appelle Tobias. Je suis Solutions Engineer chez Cloudflare.
Je suis avec Vince. Bonjour. Bonjour tout le monde.
Tu vas bien, Tobias ? Ça va très bien. Et toi ? Oui. Nous voulions vous présenter très rapidement Cloudflare.
Quelle est cette société ? Qu'est-ce qu'on peut faire de bien pour vous ?
Et en particulier, comment protéger votre site vraiment en quelques minutes ?
Pour commencer, il faut comprendre un petit peu ce qu'est Cloudflare.
Cloudflare, c'est un acteur important de l'Internet. On existe depuis dix ans.
Et en dix ans, nous avons réussi à construire un super réseau Anycast.
Le réseau Anycast, ça signifie qu 'une adresse IP de Cloudflare va être accessible sur tous nos points de présence.
Nous avons réussi à monter un réseau de plus de 200 points de présence.
Et donc ça, ça nous permet d'avoir une proximité avec l'utilisateur.
C'est-à-dire que si on se trouve à Rio, on va sur un site Web qui est protégé par Cloudflare.
Le point de contact, ce qu'on appelle le Edge, va être celui, le point de présence de Rio.
Ça va permettre d'accélérer et de protéger plus efficacement votre site Web.
Nous avons une capacité réseau en cumulé de 37 Tbps qui permet d'absorber des très grosses attaques DDoS.
Nous proxyons aujourd'hui plus de 26 millions de domaines.
C'est en fait cette volumétrie qui nous donne une super visibilité sur le trafic mondial.
Nous traitons 14 millions de requêtes par seconde en moyenne et nous bloquons de l'ordre de 45 milliards de requêtes par jour.
Et donc grâce à cette solution Cloud, cette solution SaaS, vous n'avez aucun matériel à acheter.
Il suffit juste de faire quelques clics, c'est ce que va vous montrer Vince dans quelques secondes.
Vous pouvez accélérer et protéger votre site.
On voulait avec Vince vous parler un petit peu de Cloudflare et de la notoriété que ça a en France.
Souvent les gens vont dire, Cloudflare, super, c'est un CDN.
Oui, mais on a aussi une solution de sécurité, c'est ce qu'on va vous montrer aujourd'hui.
On voulait aussi casser une autre fausse vérité qui est de dire, pour aller sur Cloudflare, il faut changer ses DNS.
On est très bon sur les DNS, mais vous allez voir qu'on peut le faire sans changer ses DNS.
Vince, tu laisses la parole. Oui, pas de problème. Du coup, je vais présenter mon écran et tu vas me notifier d'où tu peux le voir correctement.
Impec, je le vois.
OK, nickel. Qu'est-ce que vous avez besoin aujourd'hui pour me suivre au travers de l'onboarding de votre site Internet ?
Avant tout, vous avez besoin d 'un compte sur Cloudflare et de vous connecter sur dashboard.Cloudflare.com.
La première chose que vous allez voir sur dashboard.Cloudflare.com, c'est ce petit bouton qui est pour ajouter un site.
Aujourd'hui, nous avons deux sites. Un premier qui est Vince.xyz, qu'on utilisera un peu plus tard.
Et ce que je vais vous montrer, c'est un autre site sur lequel on va onborder, qui est actuellement sur GoDaddy.
Il pourrait être sur n'importe quel autre registraire. Mais du coup, j'ai choisi celui-là pour l'ajouter.
Qu'est-ce qu'on va faire ? On va ici rentrer le nom de notre domaine.
Donc ici, c'est Vince-cf .xyz. Et on va rajouter très simplement ce site sur Cloudflare en cliquant sur Add site.
Alors, qu'est-ce qui se passe en tâche de fond ?
En fait, Cloudflare va vérifier les informations. Tout d'abord, c 'est un domaine qui existe.
Et il va également lancer quelques scans pour pouvoir récupérer les entrées DNS qu'il va pouvoir.
La deuxième fenêtre qui s'affiche à votre écran, ça va être le choix de votre plan.
Comme vous pouvez le voir, on a des offres gratuites et on a aussi des offres pro, business et entreprise.
Donc aujourd'hui, pour la démo, je vais choisir un plan entreprise.
Vous pouvez très bien continuer sur un plan free.
Il n'y a aucun problème là-dessus. Donc maintenant, je vais confirmer ce choix.
Et alors là, comme vous pouvez le voir, on a un écran qui va afficher les DNS qui sont actuellement sur Codavis.
Du coup, je vais aborder un peu plus en détail cela un peu plus tard.
Je vous propose juste de cliquer sur continuer et on reviendra un peu plus.
Le dernier écran que vous avez, c'est la partie Change.
C'est pour changer vos nameservers au niveau de Codavis. Ce que je vais faire, c'est que je vais me connecter sur Codavis, sur mon compte.
Et du coup, je vais changer par ces deux nameservers que Cloudflare m'a donnés.
Je vais aller sur Codavis.
Ici, je suis sur mon dashboard. Ici, je vois que j'ai mes nameservers.
Du coup, je vais les changer pour notifier les deux nouveaux que Cloudflare m'a donnés.
Parfait.
On va sauvegarder tout cela. Ici, le plus dur, c'est de bien recopier comme il faut les nameservers.
Parce que du coup, c'est très facile de faire des erreurs, rajouter un point ou des choses comme cela par inadvertance.
Une fois qu 'on a fait cela, on va juste bien regarder que notre changement a été pris en compte.
On voit bien qu'au niveau de Codavis, il affiche bien les deux nameservers que j'ai ajoutés.
Maintenant, on va laisser travailler Cloudflare et on va dire que tout cela est bon.
Du coup, Cloudflare va vérifier que ses nameservers ont bien été changés.
Qu'est-ce qui va se passer à partir du moment où il va détecter ce changement ?
La zone va devenir active et on aura bien vérifié que vous êtes le owner de ce domaine.
Je vais prendre un peu de temps pour parler des autres modes d'intégration de Cloudflare, comme en a parlé Tobias tout à l'heure.
Cloudflare peut être déployé dans trois modes.
Le premier mode, ce qu'on est en train de voir ici, c'est le mode qu'on appelle full.
C'est-à-dire que Cloudflare est votre autorité de DNS.
Pour ce faire, vous devez changer les nameservers. Le deuxième mode, c'est le mode secondaire.
On sera en secondaire au niveau DNS. Cela veut dire que vous avez déjà votre propre infrastructure DNS et que vous voulez avoir une deuxième infrastructure qui sera un réplica de votre première infrastructure.
Cloudflare peut être aussi déployé dans ce mode-là. On ne l'abordera pas aujourd'hui.
Et le dernier mode, qui est la partie CNAME. La partie CNAME, ça va être l'idée d'envoyer uniquement un sous-domaine qui sera un CNAME vers Cloudflare.
J'ai un petit exemple ici pour vous montrer au niveau DNS quand ça se passe.
Tobias a un site qui s'appelle role .net et notamment un qui s'appelle testcname.
Quand vous êtes en mode CNAME, vous allez pouvoir voir au niveau de la réponse DNS.
Ici, pour accéder à testcname .role, on voit que ça renvoie vers Cloudflare, vers un enregistrement qui est testcname.role.net.cdn.Cloudflare.net.
Ça va être la méthode d'implémentation en CNAME.
Et du coup, on va dire que testcname doit être managé par Cloudflare.
Et du coup, on va retourner deux adresses IP qui sont celles de Cloudflare.
Donc là, ici, on voit également que ce domaine-là est proxifié.
Parfait.
Du coup, on va revenir sur le dashboard. Je vais rafraîchir juste pour voir si, à tout hasard, ça a été activé.
On voit que c'est toujours en cours. On peut aussi également monitorer ça via, ici, l'itemline ou un autre xsrcz.
Et on va regarder au niveau des nameservers.
Donc là, on voit toujours que c'est Godali.
Donc, on va le laisser tourner tranquillement. Et ce que je vous propose, c'est de passer sur vans.xsrcz, sur lequel on va continuer notre déroulement.
Parfait.
Donc là, ici, maintenant, je suis sur ce domaine, vans.xsrcz, que je viens de border, du coup, d'hier pour la démo d 'aujourd'hui.
Et on va voir quelques notions importantes sur le dashboard.
Donc, tout d'abord, au niveau du dashboard, ça va commencer par l'onglet DNS.
Donc, au niveau de cet onglet, tout à l'heure, je vous ai parlé de proxifier.
Qu 'est-ce que ça veut dire ? En fait, c'est cette petite colonne-là, qui s'appelle proxy status.
Et vous pouvez voir que vous avez des records qui vont être en orange, et puis d'autres qui vont être en gris.
La différence entre ces deux, c'est que c'est le positionnement de Cloudflare.
Donc, quand on va être en mode grisé, qui s 'appelle DNS, en mode DNS, on va répondre uniquement au niveau DNS, et du coup, on va retourner les IP de votre origine.
Si on est en mode proxy, dans ce cas-là, on va être en mode reverse proxy.
Donc, c'est -à-dire qu'on va forcer le trafic à passer par Cloudflare, et on va pouvoir ensuite appliquer l'ensemble des fonctionnalités de performance et de sécurité au niveau de Cloudflare, qui sont configurables sur ce dashboard.
Donc, pour vous illustrer ça, on va retourner sur mon petit online.
Je vais peut-être grossir. Je ne sais pas si c'est assez clair.
Parfait. Du coup, ici, je vais regarder la différence. Donc, mon 3w.dency.exe, vous voyez ici qu'il retourne mon IP de mon origine.
Donc, ça correspond bien à ce qu'on a vu sur le dashboard, qui était en mode DNS only.
Et si on passe sur un mode qui est proxifié, et là, on voit que, du coup, on retourne les IP de Cloudflare.
Derrière, ça va être la même origine. Ils prennent tous les deux vers la même entrée A.
Donc là, c'est juste pour vous montrer un peu les différences entre la partie DNS only et proxy.
Donc, à partir du moment où vous êtes en mode proxy, comme je vous l'ai dit, on va signifier entre l'origine et vos utilisateurs pour pouvoir optimiser et sécuriser.
Donc, la première chose pour pouvoir sécuriser, c'est avant tout les connexions SSL TLS.
Donc, ici, on va aller dans l'onglet SSL TLS, dans la partie overview, et on voit qu'il y a différents modes d'intégration de Cloudflare.
Donc, actuellement, je suis en mode flexible. C 'est-à-dire que si l'utilisateur utilise un certificat qui sera présenté par Cloudflare, derrière, je vais communiquer en non chiffré vers l'origine.
Du coup, ce qu'on va faire, nous, c'est qu'on va augmenter ce niveau-là.
On va passer en mode full, voire même en full strict.
La différence étant qu'en full strict, on va vérifier le certificat qui est présenté par l'origine et on va uniquement initier la communication avec l'origine, si ce certificat, il est d'une autorité connue, qui est certifié par une autorité de certification, ou alors que vous avez poussé des certificats qu'on vous donne au niveau de la partie d'origine serveur.
Donc, pour le reste de la démo, je vais rester en mode full et on va passer sur les certificats qu'on présente aux utilisateurs, donc ici, qu'on appelle Edge Certificates.
Par défaut, au niveau de Cloudflare, on vous donne un certificat de type universel qui va couvrir votre APEX et qui va couvrir un premier niveau de profondeur au niveau de votre zone.
Ici, on a un wildcard sur Vens.xyz et on a également l 'APEX qui est protégé, donc Vens.xyz.
Je vais rester un petit peu sur cette partie pour juste illustrer quelques optimisations que vous pouvez faire.
La première, qui est la partie Always Use HTTPS, je vous recommande de l'activer.
Ça permet de s'assurer qu'on sera toujours dans un canal chiffré entre vos utilisateurs et Cloudflare.
Également, vous avez ici la partie TLS, donc la configuration de la version minimum qu'on va pouvoir supporter.
Ici, on va passer sur du TLS 1.2 qui est la recommandation actuelle au niveau sécurité.
Parfait.
Du coup, je vais juste revenir un peu sur les certificats. J'ai oublié d 'aborder ce point-là.
Au-delà de la partie universelle, vous avez aussi la possibilité de commander des certificats auprès de Cloudflare qui vont vous permettre de protéger jusqu'à plus de 50 hostnames.
Vous allez pouvoir descendre beaucoup plus profondément au niveau de vos certificats.
Et vous avez également la possibilité d'uploader vos propres certificats.
La différence étant que si vous commandez les certificats via Cloudflare, nous allons gérer vos certificats pour vous.
Nous allons les renouveler, nous allons les pousser sur notre Edge automatiquement.
Alors que si vous passez par un custom certificate, il faudra bien penser à se reconnecter sur l 'interface de Cloudflare pour pouvoir uploader le nouveau certificat dès la date d'expiration.
Donc, ce que je vous propose maintenant, c'est de vérifier un peu tout ça au niveau de mon domaine.
Donc, hop, je vais livrer ça dans une nouvelle table.
Donc, je pense que je vais pouvoir le fermer.
Parfait. Donc ici, je suis sur mon domaine qui est proxifié. Vous voyez bien que je suis en HTTPS.
Si on regarde au niveau du certificat, on voit bien que c 'est un certificat qui a été livré par Cloudflare.
Maintenant, si vous essayez d 'accéder en mode HTTP, vous allez voir que vous êtes redirigé automatiquement sur HTTPS.
Donc, on est bien conforme par rapport à ce qu'on a mis en place sur Cloudflare.
Donc, regardons un peu ce qu 'il y a sur ce site et voyons voir un peu ce que nous allons pouvoir optimiser.
Donc ici, on est sur un mode très simple, un site qui est en one page HTML sur lequel nous avons trouvé des images, du texte, du CSS.
Et à la fin, on va avoir un petit formulaire. Donc, nous allons retourner sur le dashboard de Cloudflare pour voir un peu les options d'optimisation en termes de performance qu'on va pouvoir appliquer sur ce site.
Pour cela, ça va se passer dans l'onglet Speed et Optimisation.
Donc, il y a trois notions sur lesquelles je voudrais revenir, qui vont être importantes ici pour notre site, qui est Polish.
Polish qui va permettre d 'activer ou non une compression sur mes images.
Donc ici, vu que c'est quelques images, je vais choisir un mode de compression et je vais également spécifier que je vais utiliser le protocole de type Wattpay quand celui-ci est plus optimal par rapport à l'image d'origine sur mon site.
Autre possibilité, la partie Autominify. Donc là, ça va permettre de réduire la taille de vos pages HTML, JavaScript et CSS.
Du coup, on va les activer.
Vous voyez également que vous avez une petite note sur laquelle il va falloir purger votre cache.
On va faire ça juste après. Et la dernière option que je voudrais qu'on active, c'est la partie Brotli.
Brotli qui est un protocole de compression qui va permettre du coup de compresser à la volée vos contenus avant de renvoyer à l'utilisateur si celui-ci supporte ce protocole-là.
Maintenant, nous allons passer sur la partie Caching.
Donc là ici, on va juste appliquer un purge au niveau de mon Hostname.
Donc là, comme vous pouvez voir, vous avez différents modes de purge.
Donc un purge au niveau de l'URL, un purge au niveau de l'Hostname ou un purge par tag.
Vous voyez que Hostname et tag sont des features qui sont uniquement possibles au niveau entreprise.
Donc ici, je vais juste le faire sur mon sous-domaine Bens3w-cf.bens.xyz.
Je vais purger tout ça. Il faut savoir que tout changement sur le dashboard va se faire, va se propager sur nos 200 points de présence en un espace de moins de 30 secondes.
Donc voilà, c'est très rapide. Maintenant, je vais pouvoir retourner sur mon site.
Parfait, je vais pouvoir rafraîchir tout ça.
Et du coup, maintenant, on va essayer de regarder comment est-ce que je vais pouvoir regarder que mes paramétrages ont bien été exécutés.
Pour cela, vous avez un petit plugin que vous pouvez utiliser qui s'appelle DrFlare et qui va en fait analyser ce qui est renvoyé par votre site à partir du moment qu'il utilise Cloudflare et va vous donner des petites statistiques.
Donc là ici, je vois que Images Polish fonctionne bien.
J'ai l 'ensemble de mes images qui ont été compressées.
Alors ici, je vois que elles n'ont pas été compressées. Je suis dans une compression qui est 100%.
Il y a un truc sur le dashboard. Je vais juste revenir ici.
En effet, j'étais en lossless. Parfait, je vais revenir ici. Voilà, comme je viens de vous le montrer, ça vous permet d'optimiser, de regarder quelle est la configuration et du coup de la réadapter si besoin.
Parfait, du coup, la partie Autominify, là on voit ici que celui-ci a bien été activé et que du coup, on a eu des gains en termes de kilobytes.
Et on voit également que celui-ci a été activé sur nos contenus en CSS et nos javascripts.
Parfait, du coup, je pense que je vous ai montré les différentes possibilités d'un point de vue performance.
Et du coup, maintenant, je vais laisser la main à Tobias qui va vous parler plus de la partie Sécurité.
Merci, Vince.
Je vais vous parler de la partie Sécurité. Parler de la Sécurité chez Cloudflare en 10 minutes, c'est un sacré challenge.
Donc, je vais juste effleurer le sujet.
Tu vois bien mon écran, Vince ? Oui, je vois bien. Super. La Sécurité chez Cloudflare, c'est vraiment le cœur de notre métier.
Au départ, on est plutôt pour faire de la Sécurité que de la Performance.
Donc, on est vraiment très très bon sur la Sécurité.
J'en profite pour vous montrer qu'on vient d'apprendre, bravo Vince, que ton site vient d'être activé.
Donc, Cloudflare is now protecting your site.
Si vous avez un petit problème avec l 'anglais, vous avez un superbe interface en français.
Il y a quelques traductions qui font encore un petit peu mal aux oreilles.
Donc, si vous avez peur, vous repassez en anglais.
Je vais moi aussi me mettre sur Vince.xyz et je vais vous parler un petit peu de la Sécurité.
La Sécurité d'un site web, ça va commencer chez Cloudflare par la protection DNS.
Donc, sur la partie DNS, on va être capable de vous mettre en place du DNSSEC.
Donc, ça permet de signer les requêtes DNS.
On va être capable de faire du CNAME flattening. Ça va améliorer un peu les performances et ça va aussi faire de la Sécurité par obfuscation.
Parce que plutôt que d'exposer une liste de CNAME, Cloudflare va résoudre lui-même cette chaîne de CNAME et va exposer seulement l 'adresse IP finale.
Mais Cloudflare, compte tenu de la performance et des Sécurités DNS, je vous invite à aller dans Google.
Vous cherchez DNS Performance. Vous prenez le premier ou le deuxième lien.
Vous allez tomber sur un top 10 des classements. Vous allez voir que Cloudflare est le premier en rapidité, en fiabilité.
Vous pouvez choisir dans le monde en moyenne ou en Europe.
Alors, si on regarde en Europe, on va normalement avoir aussi Cloudflare en premier qui a un query speed de 7 millisecondes en moyenne.
On est meilleur que Route 53, que Godaddy, que Google, qu'OVH.
Il y a d'autres outils ici comme le DNS Speed Benchmark.
Vous pouvez mettre un nom de domaine qui n'est pas chez Cloudflare et vous allez avoir un aperçu de la vitesse de résolution, en gros la qualité DNS de la poste.fr dans ce test -là.
On voit un peu de rouge partout. Si on prend un nom de domaine qui utilise Cloudflare, on risque d'avoir beaucoup plus de vert sur la carte.
C'est-à-dire qu 'ici, à Sao Paulo, au Brésil, il a fallu 4 millisecondes pour atteindre le NS de World.com.
Vous me dites que c'est de la performance et pas de la sécurité. En fait, pour être capable d'obtenir ces vitesses, il nous faut beaucoup de POPs, mais il faut aussi qu'on les protège tous.
Donc nous, tous nos POPs sont déjà protégés.
Si vous mettez vos NS chez Cloudflare, vous allez également les protéger de toutes les attaques de type DNS Flood qui peuvent faire assez mal.
C 'est pour ça que le premier point d'entrée de la sécurité chez Cloudflare, ça va être les DNS.
On va vous accompagner avec le flattening et DNS Sec et notre réseau de 200 POPs.
La deuxième partie, ça va être le DDoS. Le DDoS n'est pas très visuel chez nous parce que c'est quelque chose de magique.
Ici, on voit qu'on n'était pas attaqué et donc on n'a pas été protégé.
Je vais plutôt aller sur un autre site pour vous montrer rapidement à quoi ça ressemble quand on est attaqué.
Quand on est attaqué par une DDoS, ça ressemble à ça.
Et donc là, on peut savoir que la dernière semaine, Cloudflare a bloqué 30 millions de paquets TCP sur ce nom de domaine.
Là, on parle vraiment de la protection niveau 3 dans le modèle. Ce dont on vous parle avec Vens depuis tout à l'heure, c'est la protection niveau 7.
Sur la protection niveau 7, on va avoir ici un moteur de sécurité qui va être HTTP DDoS.
Si on sélectionne ce moteur de sécurité, donc là, il n'y en a pas sur ce nom de domaine, on va distinguer les DDoS niveau 7 des DDoS niveau 3.
Et nous protégeons des deux.
Je reviens sur mon site de démonstration qui fonctionne toujours bien, je vérifie.
On vous a montré qu'en quelques clics, on était capable d'apporter des modifications sur les performances.
On appuie sur un bouton, je veux mettre en cache, je ne veux pas mettre en cache.
En 3 secondes, c 'est protégé, c'est super.
Là, je vais aller voir la partie Firewall. Dans la partie Firewall, on peut retrouver des informations sur le DDoS, mais le DDoS va être un peu automatique avec des thresholds globaux.
S'il y a plus de 100 000 requêtes par seconde, ça va bloquer.
Mais on va aussi faire du pourcentage pour voir si vos serveurs d'origine retournent du 503 temporaire inavailable.
On va être capable d'ajuster spécifiquement pour votre nom de domaine et déclencher des protections DDoS.
Vous êtes vraiment bien protégé des DDoS avec Cloudflare. Je voudrais maintenant parler un peu du Firewall.
On parle du WAF, le Web Application Firewall.
Là, sur vence.yx.z, on voit qu'il est à off. Si je veux me protéger, j'appuie là-dessus.
En 3 secondes, les 200 points de présence de Cloudflare viennent protéger par le WAF votre nom de domaine.
On va actualiser ici.
Ah super, ça marche encore. Le WAF, normalement, est assez conservatif. Par défaut, vous activez le WAF, ça ne casse pas votre site.
C'est vraiment l'objectif de Cloudflare.
Ce WAF se compose de deux briques principales. Nous avons ce que l 'on appelle les Manager Sets.
Ce sont des jeux de règles. Là, on voit le paramétrage par défaut.
Ce sont des jeux de règles qui sont déployés, maintenus, chouchoutés par notre équipe d'ingénieurs.
C'est vraiment une grosse valeur ajoutée. On a aussi un package au WASP.
Pour ceux qui ne jurent que par le WASP, on pense que ce n'est pas la meilleure façon de se protéger aujourd 'hui.
Ça ne va pas être le WASP Mode Security.
On l'a. Là, il est éteint. On peut le mettre à high, etc. On va pouvoir gérer tout ça.
Je vais plutôt m'attarder sur les Manager Sets, et en particulier celui qui s'appelle Cloudflare Specials.
Il dit qu'on bloquait 40 milliards de requêtes par jour.
Lui, il en bloque 80% de ces 40 milliards. C'est vraiment lui qui est très efficace.
Au sein d'un rule set, on va avoir une liste de rules. Elles ont un ID, une description qui est volontairement peu claire, parce qu'on ne va pas expliquer à nos amis les attaquants comment nous casser.
Mais on peut voir un petit peu.
C'est du Query String Cache Bursting. Là, c'est LCVI, etc. On est capable de laisser le mode par défaut ou venir overrider le mode de la règle.
Le mode va être l'action qui va être appliquée quand elle est trigger.
Par défaut, ça va prendre celle qui est dans la colonne défaut.
On est capable de la désactiver.
Si jamais on se dit, sur mon site web, j'ai un blog technique, et les gens vont poster des codes JavaScript, donc j'ai besoin de désactiver cette règle.
C'est normal, je fais mon check en interne. On va pouvoir désactiver. Simulate, ça va loguer le hit, mais ça ne va ni le bloquer, ni rien du tout.
On peut le bloquer.
Dans ce cas-là, l'utilisateur verra une page d'erreur. Ou le challenge. Il va avoir un petit capture.
Il va falloir qu'il clique sur les feux rouges ou sur les chiens.
C'est le Manage Rule Set. C'est vraiment très efficace. Au niveau Firewall Rule, on va être aussi capable de créer nos propres règles.
Quand on crée sa propre règle, on va lui donner un petit nom.
On va construire un filtre avec ce superbe formulaire WYSIWYG, mais on est capable de passer en mode un peu plus technique.
On va pouvoir écrire ici. Je vais réutiliser l 'expression builder pour le coup.
Je vais mettre, par exemple, european union égale à off.
On peut faire des filtres sur l'URI, l 'URL, la valeur du cookie, le user agent.
On a vraiment beaucoup de choix ici.
Je vais juste laisser l'union européenne. Comme action, je vais lui dire que je veux faire un log.
Deploy. Si j'actualise cette page-là, deux ou trois fois, c'est souvent de l'ordre d'une minute, mais ça peut remonter un peu plus vite.
Ici, je vais passer sur le last 30 minutes.
Là, on est sur le firewall events qui permet d'inspecter. Là, on va avoir un bloc.
Le bloc, ce n'était pas moi. Enfin, c'était peut-être moi. Non, ce n'était peut-être pas moi.
C'est quelqu'un d 'autre. Il y a peut-être quelqu'un qui nous regarde.
Non, ça doit être moi. C 'était moi, pour le coup. Merci, Vince, de m'attaquer.
Je cherchais à montrer les logs. Je me suis peut-être trompé dans ma règle.
J'ai mis quoi ? J'ai mis european union égale à off et je suis effectivement en union européenne.
Forcément, ça ne devait pas marcher.
Je vais passer à la suite. Je vais vous montrer comment on a activé le WAF et comment on s'en protège.
Si je viens faire une espèce de petite injection SQL vraiment très basique.
Il me reste une minute. Je suis bloqué par le firewall. Je vais le voir ici.
Je suis capable de voir ce hit qui a été bloqué. Je vais mettre les 30 dernières secondes, minutes.
Je suis capable de voir la règle qui a été trigger.
C'était la XSL HTML injection. Je peux cliquer ici et j'ai le détail. C 'était un get sur le favicon.eco.
C'est parce que dans le référeur, j'avais ma page.
Mais là, la query string a été bloquée avec précisément la rule ID. Je pense qu'on a été coupé.
Si vous me voyez encore, je vous remercie de nous avoir suivis.
N'hésitez pas à nous contacter sur sales-at-Cloudflare.com. Cloudflare peut également protéger, remplacer votre VPN, protéger au niveau 3 les attaques des DOS et vous libérer des bots avec Bot Management.
Merci beaucoup, au revoir. Merci, au revoir.
Sous -titrage ST' 501 Sous-titrage ST' 501 Sous -titrage ST' 501 Sous-titrage ST' 501 Sous -titrage ST' 501 Sous-titrage ST' 501 Sous-titrage ST' 501 Sous-titrage ST' 501 Sous-titrage ST' 501 Sous-titrage ST' 501 Sous -titrage ST' 501 Sous-titrage ST' 501 Sous -titrage ST' 501 Sous-titrage ST' 501 Sous -titrage ST' 501 Sous-titrage ST' 501 Sous-titrage ST' 501 votre nom d 'utilisateur et votre password.
Après avoir loginé, vous verrez une liste de domaines associés à votre compte.
ArgoTunnel connecte votre machine à la Cloudflare Network en l'associant avec un nom d'host dans votre compte Cloudflare.
Je vais localiser le domaine que je souhaite utiliser pour représenter mon serveur et sélectionner son nom dans la table.
Une fois que vous avez sélectionné le domaine, CloudflareD va automatiquement installer un certificat pour authentiquer votre machine à la Cloudflare Network pour votre host spécifique.
Une fois que CloudflareD installe le certificat, vous verrez un message de succès dans votre browser et vous pouvez commencer à utiliser CloudflareD et ArgoTunnel.
Maintenant que j'ai le certificat, je dois retourner et éditer la politique d'accès que j'ai créée auparavant.
Retournons à l 'application d'accès pour le changer.
Comme vous pouvez le voir ici, la politique originale a dénoncé tout le monde.
Avec cette configuration, notre ArgoTunnel ne fonctionnera pas.
Je vais changer la politique pour permettre certaines connexions.
Vous avez l'option d 'inclure par e-mail ou des groupes pré -définis.
Je choisirai d'allouer les e -mails terminant dans atorangecloud.com et cliquer sur sauver pour updater la politique.
Maintenant, je suis prête à établir mes connexions RDP en utilisant ArgoTunnel.
ArgoTunnel permet le trafic sur HTTP et HTTPS.
CloudflareAccess ouvre une connexion sécurisée pour proximer le trafic RDP à travers le réseau Cloudflare.
Assurez-vous que les connexions RDP sont enregistrées sur l'application d'accès.
Dans Windows 10 Pro, vous pouvez le faire en visant les séquences, les connexions RDP, puis les enregistrer.
Sur l 'application d'accès, appuyez sur le commandement suivant pour assigner le nom d'adresse.
L'accès s'appuie sur le port 3389 pour les connexions RDP.
Maintenant que nous avons créé le tunnel, nous allons établir une connexion RDP.
Pour cela, vous devez installer le software CloudflareD sur votre application client.
Faites-le en utilisant le même processus qu'on a suivi auparavant. Assurez-vous d'enregistrer la version correcte de CloudflareD pour votre système d'opération.
Vous pouvez initier une connexion RDP à une machine derrière l 'accès avec le commandement suivant.
Le commandement va initier une connexion RDP, à travers une proxie, pour atteindre le démonstrateur CloudflareD correspondant en fonctionnant sur le réseau.
Vous pouvez spécifier n'importe quel port sur la hostie locale dans le commandement ci -dessus.
Il n'a pas besoin de matcher le port en utilisation sur la machine d 'affichage.
CloudflareD va démarrer une fenêtre de browser qui contient la même page d'accès que vous trouverez quand vous essayez d'atteindre une application Web.
Sélectionnez votre propriétaire d'identité et procédez à vous inscrire.
Si la fenêtre de browser n'a pas été lancée, vous pouvez aussi utiliser l'output unique URL dans votre ligne de commandement.
Lorsque vous avez réussi à vous authentiquer, le browser va retourner votre token à CloudflareD dans un transfert cryptographique et le réserver.
Le token est valide pour la durée de session configurée par votre administrateur d 'accès.
CloudflareD réservera le token et l'utilisera pour s'authentiquer à vos demandes.
Vous pouvez maintenant configurer vos clients RDP pour pointer à localhost 2244 et commencer votre session RDP.
Ceci conclut la walkthrough vidéo sur l'assurance RDP avec CloudflareAccess.
Si vous avez des questions ou si vous souhaitez utiliser Access pour assurer d 'autres applications ou ressources, visitez teams.Cloudflare.com backslash access backslash access Backslash access Backslash access Backslash features Bonjour, nous sommes Cloudflare.
Nous construisons l'un des plus grands réseaux cloud globaux du monde pour aider à rendre l'Internet plus rapide, plus sécuritaire et plus reliable.
Rencontrez notre client, Falabella. Ils sont la plus grande chaîne de boutique de départements de l'Amérique du Sud, avec plus de 100 locations et opérations dans plus de 6 pays.
Je suis le directeur de développement de Falabella .com.
Mon rôle est d'améliorer les plateformes technologiques. Je m'appelle Karan Tiwari, je suis le directeur d 'architecture à Falabella.
Comme d'autres commerçants de l'industrie, Falabella est au milieu d'une transformation numérique pour évoluer leur culture de business, pour maintenir leur avantage compétitif et pour mieux servir leurs clients.
Nous avons un légage de boutique que nous devons adapter à la culture numérique.
C 'est un légage logistique, un légage d 'opérations, un légage qui fonctionne très bien.
Il n'a pas fonctionné très bien, mais le défi, c'est de le transformer.
Cloudflare a été un pas important pour ne pas seulement accélérer les propriétés de leur site, mais aussi pour augmenter les efficacités opérationnelles et l'agilité de leur organisation.
Alors, le thème de Cloudflare, par exemple, n'est pas seulement une décision de TI, c'est aussi une décision de business.
C'est-à-dire, plus vite nous pouvons envoyer la date à nos clients, plus vite, en moins de temps et de secondes de charge, nous pouvons améliorer notre site.
Et ça, internaliser ça comme une métrique de business. C'est-à -dire que le business comprend que la performance, c'est-à-dire un seconde de charge d'une page, c'est une vente.
C'est -à-dire, une perte de données des clients, c'est une perte de confiance.
Nous avons donc cherché à améliorer l'agilité, à améliorer le temps de réponse en termes de soutien, à améliorer les capacités opérationnelles.
Avant, pour une perte de données, ça prenait environ deux heures. Aujourd'hui, ça prend environ 20 secondes, 30 secondes, pour faire une perte de données.
Votre site web charge plus vite. Votre première vue est beaucoup plus rapide.
C'est rapide. Cloudflare joue un rôle important en garantissant l 'information du client et en améliorant l 'efficacité de tous ses propriétés web.
Cloudflare, pour moi, c'est une illustration parfaite de comment nous pouvons donner de la valeur aux clients de manière rapide.
Le grand défi qui vient c 'est de commencer à construire la culture et de construire les fondations pour permettre aux équipes, à qui que ce soit, d'ici à cinq ou dix ans, de pouvoir faire leur travail.
Avec des clients comme Falabella et plus de 10 millions d'autres domaines qui confient à Cloudflare avec leur sécurité et leur performance, nous faisons que l'Internet soit rapide, sécuritaire et reliable pour tout le monde.
Cloudflare, aide à construire un meilleur Internet. Cloudflare, aide à construire un meilleur Internet.
Cloudflare, aide à construire un meilleur Internet.
Cloudflare, aide à construire un meilleur Internet.
Cloudflare, aide à construire un meilleur Internet.
Cloudflare, aide à construire un meilleur Internet.
aide à construire un meilleur Internet. Cloudflare, aide à construire un meilleur Internet.
Cloudflare, aide à construire un meilleur Internet.
Cloudflare, aide à construire un meilleur Internet. Cloudflare, aide à construire un meilleur Internet.
aide à construire un meilleur Internet.
Cloudflare, Cloudflare, Cloudflare, Cloudflare, aide à construire un meilleur Internet.
Cloudflare, aide à construire un meilleur Internet. Cloudflare, Cloudflare, aide à construire un meilleur Internet.
Cloudflare, Cloudflare, aide à construire un meilleur Internet.
Cloudflare, aide à construire un meilleur Internet.
Cloudflare, aide à construire un meilleur Internet. Cloudflare, aide à construire un meilleur Internet.
Le déploiement de sites de travail C'est super facile de déployer des applications statiques pour les travailleurs de Cloudflare.
Dans cet exemple, j'utiliserai Create React App pour déployer rapidement une application React pour les travailleurs de Cloudflare.
Pour commencer, j'utiliserai NPX Create React App en passant le nom de mon projet.
Ici, je l'appellerai My React App. Une fois que Create React App a terminé d'installer mon projet, nous pouvons aller dans le fichier et utiliser Wrangler init –site.
C'est ici qu'il y a des défauts saines que nous pouvons utiliser pour commencer à déployer notre réact-app.
Wrangler.toml, dont nous en parlerons plus tard, représente la configuration de mon projet et le fichier de travail est le code défaut nécessaire pour l'utiliser sur la plateforme des travailleurs.
Si vous êtes intéressé, vous pouvez regarder dans le fichier de travail pour comprendre comment ça fonctionne, mais pour l'instant, nous utiliserons juste la configuration de défaut.
Pour l 'instant, j'ouvrirai Wrangler.toml et j 'ajouterai quelques clés de configuration.
J'ai besoin de mon account ID de Cloudflare pour indiquer à Wrangler où je veux déployer mon application.
Dans l 'application de Cloudflare, je vais dans mon account, je vais dans les travailleurs, et sur la barre de côté, je vais scroller et trouver mon ID d'account ici et le copier sur mon clippboard.
De retour dans mon Wrangler.toml, je vais imprimer mon ID d'account et Bucket est la location où mon projet sera construit.
Avec Create React App, c'est le fichier de construction.
Une fois que j'ai mis ça en place, j'écrivrai le fichier et j'imprime NPM build.
Create React App va construire mon projet dans quelques secondes, et une fois que c'est fait, je suis prêt à déployer mon projet aux travailleurs de Cloudflare.
J'imprime Wrangler publish, qui prend mon projet, le construit et l 'upload tous les assets statiques aux travailleurs KV, ainsi que le script nécessaire pour servir ces assets de KV aux utilisateurs.
En ouvrant mon nouveau projet dans le browser, vous pouvez voir que ma réaction app est disponible dans mon domaine workers.dev.
Et avec quelques minutes et une petite quantité de config, nous avons déployé une application qui est automatiquement cachée sur les serveurs de Cloudflare, donc elle reste super rapide.
Si vous êtes intéressés à en apprendre plus sur les sites de travailleurs, assurez-vous de regarder nos docs, où nous avons ajouté un nouveau tutoriel pour suivre cette vidéo, ainsi qu'une nouvelle section des sites de travailleurs pour vous aider à apprendre à déployer d'autres applications pour les travailleurs de Cloudflare.
Le vrai privilège de travailler chez Mozilla c'est que nous sommes une organisation missionneuse.
Ce qui signifie que, avant de faire des choses, nous demandons ce qui est bon pour les utilisateurs, à l'inverse de ce qui va faire le plus d'argent.
Les valeurs de Mozilla sont similaires à celles de Cloudflare.
Ils s'occupent de permettre le web pour tout le monde, de façon sécuritaire, de façon privée et de façon confiante.
Nous avons collaboré sur l'amélioration des protocoles qui aident à sécuriser les connexions entre les browsers et les sites de travail.
Mozilla et Cloudflare ont collaboré sur un grand nombre de technologies.
Le premier endroit où nous avons collaboré c'était le nouveau protocole TLS 1.3, puis nous avons suivi ça avec QUIC, DNS Server HTTPS et, la plus récemment, la nouvelle réseau privé de Firefox.
Le DNS est fondamental pour la façon dont tout sur Internet fonctionne. C 'est un protocole très vieux, et c'est aussi en texte simple, ce qui signifie qu 'il n'est pas encrypté.
C'est quelque chose que beaucoup de gens ne réalisent pas.
Vous pouvez utiliser SSL et vous connecter sécuritairement aux sites de travail, mais votre trafic de DNS peut toujours être en encryption.
Quand Mozilla cherchait un partenaire pour offrir le DNS en encryption, Cloudflare était un bon choix.
L'idée était que Cloudflare gagnerait la pièce de serveur, et que Mozilla gagnerait la pièce de client, et que la conséquence serait que nous protégerions le trafic de DNS pour tout le monde qui utilisait Firefox.
Cloudflare était un bon partenaire pour ça, parce qu 'ils étaient vraiment prêts, dès le début, à implémenter le protocole, à mettre en place un résolveur recursif confiant, et à créer cette expérience pour les utilisateurs.
Ils étaient de fortes supporters de cela.
L'une des bonnes choses de travailler avec Cloudflare, c 'est que leurs ingénieurs sont très rapides.
Donc, le temps entre le fait que nous décidions de faire quelque chose et que nous écrivions le projet de protocole le plus bas possible, et qu'ils l'ont en cours dans leur infrastructure, c'est une question de jours à semaines, pas de mois à années.
Il y a une différence entre mettre en place un service que l'une personne peut utiliser, ou que dix personnes peuvent utiliser, et un service que tout le monde sur l'Internet peut utiliser.
Quand nous parlons d'amener de nouveaux protocoles à l'Internet, nous ne parlons pas de millions, pas de dizaines de millions, nous parlons de centaines de millions à des millions de personnes.
Cloudflare a été un bon partenaire dans le domaine de la privacité.
Ils ont été prêts à être extrêmement transparents sur les données qu'ils collectent et pourquoi ils les utilisent, et ils ont aussi été prêts à laisser ces logs.
Vraiment, les utilisateurs obtiennent deux classes de bénéfices grâce à notre partenariat avec Cloudflare.
La première, c'est des bénéfices directs.
C'est-à-dire que nous offrons des services à l'utilisateur qui les rendent plus sécuritaires, et nous les offrons grâce à Cloudflare.
Donc, c'est un bénéfice immédiat que les utilisateurs obtiennent.
Le bénéfice indirect que les utilisateurs obtiennent, c'est que nous développons la prochaine génération de technologies de sécurité et de privacité, et Cloudflare nous aide à le faire.
Et cela bénéficiera finalement à chaque utilisateur, à tous les utilisateurs de Firefox et à tous les utilisateurs d 'Internet.
Nous sommes vraiment excités de travailler avec une organisation comme Mozilla qui est alignée avec les intérêts de l'utilisateur, et de prendre l'Internet et de le déplacer dans une direction plus privée, plus sécuritaire, et qui soit alignée avec ce que nous pensons que l 'Internet doit être.
