Sicurezza dei siti Web
Approfondisci come i prodotti Cloudflare proteggono le tue risorse e scegli le impostazioni di sicurezza a te più adatte.
Sicurezza degli account
L'adozione di una solida posizione di sicurezza per il tuo account Cloudflare è un passo importante per garantire la sicurezza generale del tuo sito Web. L'autenticazione a due fattori (2FA) migliora la sicurezza dell'account richiedendo un secondo blocco di informazioni per convalidare l'identità dell'utente durante l'accesso.
Segui queste istruzioni per abilitare 2FA registrandoti tramite la tua applicazione di autenticazione mobile preferita. Salva una copia dei codici di ripristino in un luogo sicuro per evitare di chiudere il tuo account.
Notifiche
Gestisci le tue notifiche per definire su cosa vuoi essere avvisato e come. Consigliamo di abilitare:
- Avvisi di monitoraggio dell'origine passiva: ricevi una notifica quando il tuo server Web di origine non è raggiungibile dalla nostra rete perimetrale per almeno 5 minuti in modo da poter risolvere rapidamente il problema.
- Avvisi DDoS HTTPS: registrati per ricevere un'e-mail in tempo reale quando Cloudflare rileva e mitiga automaticamente un attacco DDoS che prende di mira la tua proprietà Internet.
- Avvisi degli eventi di sicurezza: Ricevi un avviso entro due ore da qualsiasi picco di eventi relativi al firewall in tutti i servizi Cloudflare che generano voci di registro correlate.
Gestisci i record DNS
Quando utilizzi Cloudflare DNS, tutte le query DNS per il tuo dominio ricevono risposta dalla nostra rete globale Anycast. I record DNS aiutano a comunicare le informazioni sul tuo dominio ai visitatori e ad altri servizi Web.
Con Cloudflare DNS, puoi gestire tutti i tuoi record per il tuo sito Web nella scheda DNS; guarda una panoramica del dashboard Cloudflare per le opzioni disponibili.
Cloud arancione e cloud grigio
Un simbolo cloud arancione significa che il traffico verso quel nome host è in esecuzione tramite Cloudflare. Ciò abilita funzionalità come nascondere l'IP di origine, il caching, SSL e Web Application Firewall. Consigliamo di abilitare il cloud arancione per i record A, AAAA e CNAME.
Un cloud grigio significa che Cloudflare annuncerà quei record in DNS, ma tutto il traffico verrà instradato alla tua origine anziché tramite Cloudflare. Ciò è utile in alcuni contesti come record diversi da A, AAAA o CNAME, se stai cercando di convalidare un servizio con un record o traffico non Web, inclusi posta e FTP. Se riscontri problemi con un record su Cloudflare, puoi mettere in pausa Cloudflare per il record oscurandolo in grigio nella scheda DNS.
Se riscontri problemi con e-mail non recapitate dopo la registrazione, oscura i record DNS utilizzati per ricevere la posta nella scheda DNS. La configurazione predefinita consente solo l'inoltro del traffico HTTP e interromperà il traffico di posta.
Nascondi il tuo indirizzo IP di origine
Cloudflare offre numerose funzionalità per rilevare e bloccare il traffico dannoso. Tuttavia, se utenti malintenzionati trovano l'IP di origine del tuo server, che è dove sono ospitate le tue risorse effettive, potrebbero essere in grado di inviare traffico o attacchi direttamente ai server.
Prendi in considerazione l'adozione di misure per evitare di far trapelare queste informazioni:
- Rivedi i record DNS per le tue zone. Se possibile, mantieni tutti i tuoi sottodomini su Cloudflare e controlla i record SPF e TXT per le informazioni sull'origine.
- Non ospitare un servizio di posta sullo stesso server della risorsa Web che desideri proteggere, poiché le e-mail inviate a indirizzi inesistenti vengono rimbalzate all'attaccante e rivelano l'IP del server di posta.
- Assicurati che il tuo server web non si connetta a indirizzi arbitrari forniti dagli utenti.
- Una volta registrato, ruota i tuoi IP di origine, poiché i record DNS sono di dominio pubblico. I record storici vengono conservati e conterranno gli indirizzi IP prima di unirsi a Cloudflare.
Abilita DNSSEC
DNSSEC crea un sistema di nomi di dominio sicuro aggiungendo le firme crittografiche ai record DNS esistenti. Queste firme digitali vengono memorizzate nei nameserver DNS insieme a tipi di record più comuni, come A, AAAA, MX e CNAME.
Controllando la sua firma associata, puoi verificare che un record DNS richiesto provenga dal suo server dei nomi autorevole e non sia stato alterato lungo il percorso, al contrario di un record falso iniettato in un attacco lungo il percorso.
Consigliamo di abilitare DNSSEC per aggiungere un livello di autenticazione sopra il tuo DNS per i domini su Cloudflare.
Abilita la crittografia SSL
I certificati SSL crittografano le informazioni degli utenti e mantengono gli utenti al sicuro su Internet. La configurazione manuale di SSL richiede tuttavia diversi passaggi e configurazioni errate possono impedire agli utenti di raggiungere il tuo sito Web.
Con Cloudflare, diventi abilitato per HTTPS con un semplice clic. Offriamo certificati edge e certificati di server di origine.
- Certificati edge: per impostazione predefinita, emettiamo e rinnoviamo certificati SSL gratuiti, non condivisi e pubblicamente attendibili a tutti i domini Cloudflare. Il tuo dominio dovrebbe ricevere automaticamente il suo certificato SSL universale entro 24 ore dall'attivazione del dominio. Ti consigliamo di abilitare una delle opzioni Full o Full (Strict) come impostazione per garantire la riservatezza dei dati sul tuo sito Web.
- Certificate Authority (CA) di origine: usa questi certificati per crittografare il traffico tra Cloudflare e il tuo server Web di origine. Una volta distribuiti, questi certificati sono compatibili con la modalità Strict SSL.
Proteggiti con un WAF
Distribuendo un Web Application Firewall (WAF), puoi decidere se consentire tipi di traffico in entrata e in uscita tramite un insieme di regole (spesso chiamate policy). I WAF proteggono da attacchi come l'iniezione SQL, scripting tra siti e contraffazione dei siti.
Il nostro WAF offre protezione automatica e la flessibilità di creare regole personalizzate:
- Regole di limitazione della frequenza: Definisci i limiti di frequenza per le richieste in entrata corrispondenti a un'espressione e l'azione da intraprendere quando tali limiti vengono raggiunti.
- Set di regole gestite dal WAF: abilita le politiche preconfigurate per ottenere una protezione immediata, anche dalle vulnerabilità zero-day avanzate.
- Verifiche delle credenziali esposte: monitora e blocca l'uso di credenziali rubate/esposte per l'acquisizione dell'account.
- Analisi del firewall: indaga sulle minacce alla sicurezza, quindi personalizza le tue configurazioni di sicurezza in base al registro delle attività.
Suggerimenti per la configurazione del WAF
Quando si utilizzano i set di regole gestiti:
- Abilita solo i gruppi di regole che corrispondono al tuo stack tecnologico. Ad esempio, se utilizzi WordPress, abilita il gruppo Cloudflare WordPress. Hai anche la possibilità di creare regole personalizzate.
- Consigliamo di attivare il WAF e di abilitare Cloudflare Specials in modo da proteggere automaticamente i tuoi sistemi dai vettori di attacco più recenti.
Esplora le basi del caching
Il caching è il processo di archiviazione di copie di file in una posizione di archiviazione temporanea in modo da potervi accedere rapidamente. I browser Web memorizzano nella cache file HTML, JavaScript e immagini per tempi di caricamento rapidi, i server DNS memorizzano nella cache i record DNS per ricerche più rapide e i server delle CDN memorizzano nella cache i contenuti per ridurre la latenza.
- Scopri di più sul comportamento predefinito della cache.
- Per il caching HTML, puoi utilizzare Cloudflare Page Rules per configurare le regole su come memorizzare nella cache il contenuto dinamico.
Informazioni su Browser Cache TTL e Edge Cache TTL
Queste importanti funzionalità aiutano a proteggere il tuo sito e a garantire che i contenuti siano aggiornati.
- Edge Cache TTL (Time to Live) specifica per quanto tempo memorizzare nella cache una risorsa sulla nostra rete perimetrale. Puoi configurare per quanto tempo conserviamo la risorsa memorizzata nella cache prima di chiederne nuovamente l'origine.
- Browser Cache TTL imposta la scadenza per le risorse memorizzate nella cache nel browser di un visitatore.
Ad esempio, se stai aggiornando una pagina dei risultati elettorali con risorse memorizzate automaticamente nella cache ogni 20 minuti, imposta Edge Cache TTL su 20 minuti, con Browser Cache TTL circa 1 minuto in modo che gli utenti abbiano dati aggiornati. In alternativa, puoi svuotare manualmente la cache in base all'URL del file o al nome host ogni volta che aggiorni il file.