Cloudflare đã công bố một sự nâng cấp quan trọng cho bảo mật API của mình bằng cách chuyển tất cả lưu lượng API sang kết nối chỉ HTTPS. Động thái này nhằm bảo vệ dữ liệu nhạy cảm trong quá trình truyền tải bằng cách đóng tất cả các cổng HTTP cho các điểm cuối API trên api.cloudflare.com.
Hiểu Vấn Đề
Động lực chính đằng sau sự thay đổi này là để giải quyết một lỗ hổng nghiêm trọng trong các kết nối HTTP rõ văn bản. Khi khách hàng thực hiện các yêu cầu qua HTTP không mã hóa, thông tin nhạy cảm như mã thông báo API có thể bị lộ trước khi máy chủ có cơ hội chuyển hướng hoặc từ chối kết nối.
Cách Tiếp Cận Tốt Hơn Đối Với Bảo Mật API
Cách tiếp cận của Cloudflare vượt xa thực hành phổ biến là chuyển hướng lưu lượng HTTP sang HTTPS hoặc hoàn trả phản hồi 403 Forbidden. Thay vào đó, công ty đang thực hiện một phương thức chủ động hơn bằng cách từ chối kết nối rõ văn bản tại tầng truyền tải. Điều này đảm bảo rằng mọi kết nối không mã hóa đến api.cloudflare.com sẽ hoàn toàn bị từ chối, loại bỏ nguy cơ rò rỉ dữ liệu.
Thực Hiện Kỹ Thuật
Để đạt được biện pháp bảo mật nâng cao này, Cloudflare đã thực hiện những thay đổi sau:
- Đóng Cổng: Tất cả các cổng HTTP rõ văn bản cho lưu lượng API trên mạng toàn cầu của Cloudflare đã bị đóng.
- Cấu Hình Tường Lửa: Công ty đã mở rộng cấu hình tường lửa iptables toàn cầu của mình để từ chối các gói tin đến trên các cổng HTTP. Cấu hình này đảm bảo rằng các kết nối đến các địa chỉ IP này trên các cổng HTTP bị lọc và từ chối ở tầng truyền tải.
- Cập Nhật Chính Sách DNS: Cloudflare đã cập nhật các phân bổ DNS của mình để chuyển hướng lưu lượng API qua các địa chỉ IP chính xác. Điều này đã được thực hiện bằng cách sử dụng một chương trình Topaz khai báo trong máy chủ DNS ủy quyền của họ, đảm bảo rằng các truy vấn DNS nhắm vào lớp ‘lưu lượng API’ trả về các địa chỉ IP giao diện chỉ HTTPS tương ứng.
Tác Động và Kế Hoạch Tương Lai
Tác động ngay lập tức của sự thay đổi này là mọi kết nối không mã hóa đến api.cloudflare.com sẽ hoàn toàn bị từ chối. Các nhà phát triển không còn mong đợi phản hồi 403 Forbidden cho các kết nối HTTP, vì kết nối cơ bản sẽ bị ngăn chặn không được thiết lập.
Nhìn về phía trước, Cloudflare có kế hoạch mở rộng tính năng bảo mật này cho khách hàng của mình. Đến quý cuối của năm 2025, công ty dự kiến sẽ phát hành khả năng cho khách hàng tự chọn tắt một cách an toàn toàn bộ lưu lượng cổng HTTP cho các trang web của họ trên Cloudflare.
Theo Dõi và Chuyển Tiếp
Cloudflare khuyên khích khách hàng theo dõi các kết nối không mã hóa cho các miền của họ trước khi thực hiện tính năng này. Điều này có thể được thực hiện thông qua bảng điều khiển Cloudflare dưới phần “Phân Tích & Nhật Ký”, cung cấp một phân tích về lưu lượng mã hóa và không mã hóa.
Động thái này của Cloudflare đại diện cho một bước tiến quan trọng trong bảo mật API, thiết lập một tiêu chuẩn mới cho việc bảo vệ dữ liệu nhạy cảm trong quá trình truyền tải. Khi internet tiếp tục phát triển, những biện pháp bảo mật chủ động như vậy sẽ trở nên ngày càng quan trọng trong việc bảo vệ các giao tiếp và giao dịch kỹ thuật số.
