CloudFlare, een handige aanvulling op uw VPS

Site management

In dit artikel gaan we in op een handige dienst genaamd CloudFlare. Met CloudFlare kan een website versneld en beter beveiligd worden. Het motto van CloudFlare is eenvoudig: "Wij maken iedere website twee keer zo snel en beveiligen hem tegen een breed scala aan bedreigingen". CloudVPS is op geen enkele manier verbonden aan CloudFlare, echter de dienst is een goede aanvulling op de producten die wij leveren omdat in de meeste gevallen de snelheid en veiligheid van VPS'en zonder extra kosten en al te veel moeite kan worden verbeterd.

Wat is CloudFlare?

CloudFlare omvat een aantal diensten gericht op het versnellen van websites. De belangrijkste dienst is de caching. Hierbij kijkt CloudFlare naar de site en bepaalt welke delen statisch zijn. Denk aan stylesheets, de 'over ons' pagina en bijvoorbeeld afbeeldingen. Deze data wordt voor een bepaalde periode door CloudFlare opgeslagen en aan bezoekers geserveerd. Alleen de dynamische delen worden nog op de VPS opgehaald en aan de bezoeker gestuurd. Hierdoor daalt de belasting en het verkeer naar de VPS aanzienlijk en kan de server veel meer bezoekers aan, die ook nog eens snellere laadtijden ervaren. CloudFlare zegt zelf hiermee ook DDoS-aanvallen af te kunnen vangen.

De tweede handige feature is de gratis SSL-beveiliging. Met CloudFlare is het mogelijk om een site die geen eigen SSL-certificaat heeft toch te beveiligen. CloudFlare plaatst een gedeeld certificaat waardoor het verkeer tussen de bezoeker en CloudFlare versleuteld is. Het verkeer tussen CloudFlare en de VPS niet. CloudFlare heeft ook de mogelijkheid een bestaand certificaat te gebruiken, dan wordt het verkeer beveiligd doorgezet.

Als derde bieden ze opties om sites te beschermen tegen hackers en spammers. E-mailadressen worden gemaskeerd voor twijfelachtige bezoekers, bij beruchte bezoekers moet zelfs eerst een CAPTCHA-code ingevuld worden voordat de site bekeken kan worden. Hierdoor kunnen ook ongewenste bots, hackers en crawlers niet meer bij de site. E-mailadressen komen niet meer zomaar op een spamlijst, maar normale bezoekers zien de site en gegevens nog wel zonder problemen.

Alle diensten kunnen los van elkaar aangezet worden.

Hoe werkt de caching?

CloudFlare is geen product dat wij aanbieden, maar een dienst van een derde partij. Deze dienst zit tussen de website/VPS en uw bezoekers in. Beknopt omvat het proces het volgende. Eerst registreert u een CloudFlare-account. U voegt uw website(s) toe en krijgt van CloudFlare instructies om uw DNS-servers aan te passen. Bij uw domeinleverancier voert u deze wijziging door, waarna al het verkeer via CloudFlare gaat lopen nadat de TTL verlopen is.

Al het verkeer komt op de servers van CloudFlare binnen. Alle bezoekers, maar ook alle bots en hackers. De servers bij CloudFlare filteren het verkeer van ongewenste zaken, verzorgen de SSL en de caching en sturen daarna alleen het noodzakelijke door naar uw VPS. Doordat CloudFlare een gecachte en gecomprimeerde pagina heeft, is deze veel sneller bij de bezoeker binnen. Het wereldwijde CDN van CloudFlare zorgt er voor dat ook uw Australische klanten supersnel een pagina kunnen laden. Een CDN is een netwerk dat content aanbiedt en verspreidt over de hele wereld. Iemand die in Hong Kong de website bekijkt, laadt de plaatjes uit Azië en iemand die hier in Nederland zit, laadt ze vanuit Europa. CloudVPS biedt ook een gratis CDN aan, meer informatie daarover kunt u hier vinden: http://www.cloudVPS.nl/openstack/cdn

De caching is op ieder moment uit te zetten, tijdelijk middels de zogenaamde 'Developer Mode', maar ook permanent.

Alleen de dynamische verzoeken, bijvoorbeeld voor het winkelmandje, het beveiligde portaal en andere niet cachebare zaken worden door de servers van CloudFlare doorgezet naar uw website. Dit scheelt enorm in de load op de VPS en in het verbruikte dataverkeer.

Het grote voordeel van de caching is dat wanneer u bijvoorbeeld ineens zeer veel bezoekers krijgt, de VPS hier waarschijnlijk weinig last van zal hebben. Zonder CloudFlare is dit natuurlijk ook mogelijk, echter is er dan veel meer handmatige optimalisatie vereist. Denk aan cachingplugins, een key-value store zoals Redis of Memcached, database(query) optimalisatie, meer resources toevoegen of horizontaal schalen met meer VPS'en.

Hoe werkt de SSL-dienst?

Omdat CloudFlare tussen de bezoekers en uw server in zit, is het voor CloudFlare mogelijk een beveiligde verbinding op te zetten tussen de bezoeker en de servers bij CloudFlare. CloudFlare maakt een gedeeld certificaat aan. Het certificaat voor uw website van CloudFlare bevat nog ongeveer 20 andere websites. Als bezoekers dat bekijken, is het dus gelijk duidelijk dat uw website CloudFlare gebruikt. Dit is op zich niet erg. Al het verkeer tussen uw VPS en CloudFlare is dan weer niet versleuteld. Het is aan te raden op de VPS ook een certificaat te installeren. CloudFlare biedt ook de mogelijkheid om het verkeer tussen uw VPS en CloudFlare versleuteld te laten verlopen, maar daarvoor moet de VPS wel een certificaat gebruiken. U profiteert nog steeds van alle caching en beveiligingsmogelijkheden van CloudFlare.

Hoe werken de andere beveiligingsdiensten?

Ook hier is het weer een voordeel dat CloudFlare tussen uw website en de bezoekers in zit. Middels geavanceerde algoritmes detecteren ze normale bezoekers en ongewone bezoekers. Een ongewone bezoeker kan, in geval van een site met alleen Nederlandse bezoekers, een bezoeker uit Congo zijn. Het kan ook een bot zijn. Maar mocht u nu een API aanbieden, dan kan een normale bezoeker weer een abnormaal patroon zijn. Dit is per geval verschillend, daar houdt de dienst rekening mee.

Als u de extra beveiligingsmethodes aan zet dan kunt u meerdere niveaus aangeven. Alles onder High is veilig aan te zetten, dan krijgen alleen beruchte bezoekers de captcha te zien. High geeft alle bezoekers die de afgelopen twee weken verdacht gedrag vertoond hebben een captcha en alles daarboven wordt alleen aangeraden wanneer uw website daadwerkelijk aangevallen wordt. Ook gewone bezoekers krijgen dan een captcha.

CloudFlare bepaalt wanneer een bezoeker berucht is op basis van de threat score. Meer over de theat score kunt u lezen op de site van CloudFlare: https://support.CloudFlare.com/hc/en-us/articles/200170116-What-do-the-Threat-Scores-mean-. Extra informatie over de beveiligingsniveaus is hier te vinden: https://support.CloudFlare.com/hc/en-us/articles/200170056-What-is-CloudFlare-s-Basic-Security-Level-.

Zijn er nadelen aan CloudFlare?

Naast alle voordelen die de gratis dienst biedt, zijn er wel een aantal nadelen. De grootste is natuurlijk dat u volledig afhankelijk wordt van CloudFlare. DNS-wijzigingen kosten tijd, dus even snel CloudFlare verwijderen van de site duurt in de praktijk toch een paar dagen. Mocht CloudFlare een storing hebben dan heeft u in het ergste geval een storing van meerdere dagen.

Sommige mensen hebben verder privacy-bezwaren doordat al het verkeer door CloudFlare loopt. Inmiddels gebruikt 25 procent van alle sites CloudFlare, waardoor deze partij zeer veel data over bezoekers heeft, onder andere over gedrag en patronen.

Verder is het voor aanvallers nog steeds mogelijk de achterliggende servers te vinden. Dit kan doordat bepaalde DNS-records (SPF bijvoorbeeld) nog steeds het IP van de server bevatten, of bijvoorbeeld uitgaande e-mails die door de VPS verstuurd worden (boekingen/orderbevestigingen etc.). Als de achterliggende VPS een groot gapend beveiligingsgat is dan zal CloudFlare voor een gerichte aanvaller hoogstens een kleine hobbel vormen.

Conclusie

CloudFlare is een grotendeels gratis dienst die websites versnelt en beter beveiligd. Dit is een goede aanvulling op de VPS'en van CloudVPS, daar het een hoop werk aan beveiligen en optimaliseren kan besparen. Echter wordt wel een afhankelijkheid van een derde partij geïntroduceerd, de gevolgen en risico's moeten hiervan goed afgewogen worden door u.

Nogmaals, CloudVPS is op geen enkele manier verbonden aan, gesponsord of gecompenseerd door CloudFlare. We kunnen u ondersteunen bij de opzet hiervan door bijvoorbeeld de DNS om te zetten als u domeinen bij ons afneemt. Problemen en specifieke supportvragen zult u echter bij CloudFlare neer moeten leggen.

U kunt beginnen met CloudFlare via de website: https://www.cloudflare.com.