Cloudflare a annoncé que son ensemble de règles gérées de pare-feu d'application Web (WAF) est disponible pour tous les utilisateurs, absolument gratuitement.
Le pare-feu de l'entreprise, décrit comme le « composant central » de la plateforme Cloudflare, est l'un des produits les plus utilisés de son portefeuille et bloque plus de six cent cinquante zéro requêtes HTTP malveillantes par seconde (pour un total de cinquante sept zéro millions de cyberattaques). menaces par jour).
Les utilisateurs de Cloudflare bénéficiant du forfait gratuit sont déjà protégés, a ajouté la société. Dans les semaines et les mois à venir, tous les utilisateurs du plan Free Zone pourront également accéder à l'interface utilisateur Cloudflare WAF dans le tableau de bord, et pourront intégrer et configurer le nouvel ensemble de règles.
Suivre les mises à jour et les correctifs
Les personnes qui souhaitent accéder à l'ensemble plus large d'ensembles de règles WAF (tels que l'ensemble de règles géré par Cloudflare, l'ensemble de règles principal Cloudflare OWASP et l'ensemble de règles de vérification des informations d'identification Cloudflare) ou aux fonctionnalités avancées de WAF devront passer au moins au plan PRO.
"Les propriétaires et les équipes de petites applications n'ont pas toujours le temps de suivre l'évolution rapide des correctifs liés à la sécurité, compromettant et/ou utilisant à mauvais escient de nombreuses applications", a déclaré Michael Tremante de Cloudflare dans un article de blog annonçant le changement.
« Les vulnérabilités de haut niveau ont un impact énorme sur Internet et affectent les organisations de toutes tailles. Nous l’avons vu récemment avec Log4J, mais même avant cela, des vulnérabilités majeures comme Shellshock et Heartbleed ont laissé des cicatrices sur Internet.
Bien que l'ensemble de règles soit intégré par défaut à toutes les nouvelles zones Cloudflare, il est « particulièrement développé » pour réduire autant que possible les faux positifs, explique Tremante, ajoutant que les clients pourront désactiver l'ensemble de règles, si nécessaire. .
Une configuration et un filtrage supplémentaires sont également possibles. Pour commencer, l'ensemble de règles est livré avec ces règles : des règles Log4J qui correspondent aux charges utiles dans les en-têtes URI et HTTP ; Règles de choc ; Règles pour les exploits Wordpress courants.
Lorsqu'une règle correspond, le service produit un événement, visible dans l'onglet Résumé de sécurité.