订阅以接收新文章的通知:

使用 Zone Holds 保护您的域

2023-04-06

3 分钟阅读时间
这篇博文也有 English日本語한국어繁體中文版本。

今天,我们宣布推出 Zone Holds,这是一项面向 Enterprise 计划客户的新功能,让他们可以控制其他人是否以及何时可以将同一区域添加到另一个 Cloudflare 帐户。当公司的多个团队想要使用 Cloudflare 时,一个团队可能会意外地进入另一个团队的区域,并尝试在两个帐户中管理同一区域。使用 Zone Holds,除了区域帐户所有者授予明确权限的情况外,可以强制只有一个帐户能够包含给定域(可选择包含子域或自定义主机名),从而确保这种情况不会发生。

今天可能出现的问题

Cloudflare 已经要求在通过我们的全球网络代理流量之前通过 DNS 对区域进行身份验证。这可确保只有域所有者才能授权通过 Cloudflare 发送和控制流量。然而,我们的许多客户都是大型组织,许多团队都在努力保护和加速他们的 Web 资产。在这些情况下,一个团队可能没有意识到给定域已受到 Cloudflare 的保护。如果他们在 Cloudflare 中激活同一域的第二个实例,他们最终会替换另一个团队已经使用 Cloudflare 管理的原始区域。这可能会造成停机或安全问题,直到可以重新激活原始区域为止。如果这两个团队相互了解并进行沟通,那么在大多数情况下,可以通过多种选项之一来避免问题——子域、自定义主机名等。我们如何确保这些团队在犯这些错误之前意识到潜在的风险?

Zone Holds 如何保护客户

使用 Zone Holds,任何添加被保留域的尝试都会返回错误,让用户知道他们需要先联系域所有者。默认情况下,所有企业区域均启用 Zone Holds。可以从“区域概览”屏幕管理保留。或者,可以扩展保留以应用于子域和自定义主机名。禁用保留时,您可以将保留设置为在设定的时间后重新启用。这可以确保您不会意外地使保留永久禁用。让我们深入研究一个示例,了解 Zone Holds 如何帮助客户。

活动区域保留不包括保护子域

Example Corp:在使用 Zone Holds 前

Example Corp 是 Cloudflare 的大客户。具体来说,他们的基础设施团队使用 Cloudflare 来保护 example.com 上的所有流量。这包括其营销网站 www.example.com 和面向客户的 API api.example.com。当他们使用 Cloudflare 时,他们让管理公司所有 DNS 的 IT 部门在注册商处设置 DNS 记录,使 example.com 的所有流量都通过 Cloudflare 路由。

一年后,他们的市场部希望采用 Cloudflare 的机器人管理解决方案来处理 www.example.com 上的流量。他们注册了 example.com,并联系 IT 部门在注册商处设置所提供的 NS 记录。IT 部门没有意识到 Cloudflare 已经在使用中,因此他们没有考虑到这将影响基础设施团队管理的现有区域。新区域被激活后发生了网络事件,不仅 www.example.com 的流量受到影响,api.example.com 的流量也受到了影响。如果有了 Zone Holds,这一事件就可以避免。让我们看看是如何避免的。

Example Corp:现在采用 Zone Holds 后

Example Corp 注册 Cloudflare 并将 example.com 添加到其帐户中作为 ENT 区域。域上将自动启用 Zone Hold,这将阻止任何其他 Cloudflare 帐户添加 example.com。他们还可以为 example.com 域下的任何子域或自定义主机名启用保留。

后来 ACME 的营销部门希望开始将 Cloudflare 用于 www.example.com。当他们尝试将该域添加到 Cloudflare 时,他们会收到一条错误消息,通知他们需要联系域所有者。

ACME 的营销部门联系内部并得知基础设施团队正在管理此域,并且激活此区域会导致事件!但是,两个团队都认为营销团队应该添加 www.example.com 的子域,以便他们可以控制营销网站。基础设施团队解除了对 acme.com 的子域保留,营销团队将 www.example.com 添加到他们自己的帐户中。

设置并激活后,他们现在就可以开始利用机器人管理来保护他们的营销网站,而且不会出现意外影响。

开始使用 Zone Holds

Zone Holds 现在可供所有企业区域使用,默认情况下在域级别启用。可以从任何企业区域的“区域概览”屏幕管理 Zone Holds。或者,可以扩展保留以应用于子域和自定义主机名。禁用保留时,您可以将保留设置为在设定的时间后重新启用。这可以确保您不会意外地使保留永久禁用。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
Dashboard产品新闻

在 X 上关注

Cloudflare|@cloudflare

相关帖子

2024年10月24日 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

2024年10月08日 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

2024年9月27日 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...