İnternet Kesintisinin Sebebi Olan Cloudflare Nedir, Neden Büyük Siteler Onu Kullanıyor?
Cloudflare nedir, ne işe yarar?
cloudflare nimettir, candır ama arada bir böyle "404 not found" dedirtip adamı deli eder. kullanın ama acil durum planınız cebinizde olsun.
normalde site kurduğunuzda ziyaretçi direkt sunucunuza gelir. araya cloudflare koyduğunuzda ise ziyaretçi önce buna gelir, bu arkadaş kimlik kontrolü yapar, zararlıysa kapıdan kovar, temizse içeri alır.
kullanmanın üç temel sebebi var:
bedava olması (ssl sertifikası dahil),
siteyi dünyanın her yerinden fişek gibi açması (cdn ile hız)
ve ddos gibi saldırılara karşı en başta kalkan olması (güvenlik).
fakir dostu, performansı şampiyonlar ligi.
lakin bugünkü olayda gördüğümüz üzere; kapıdaki badigard ishal olup tuvalete kilitlenince, mekana kimse giremiyor. içeride dj çalmaya devam ediyor (sunucular ayakta), barmen içki hazırlıyor ama kapı duvar olduğu için müşteri içeri giremiyor. biz de kapıda "404 not found" diye mal gibi kalıyoruz.
şimdi hemen "abi cloud'a güven olmaz, alalım ofise bi tane f5, bi tane fortinet cihazı (appliance), kendi göbeğimizi kendimiz keselim" diyen cengaverler çıkacaktır. teoride haklısınız ama pratikte o iş yaş. sen ofisinin kapısına dünyanın en sağlam çelik kapısını da taksan, sana gelen saldırı bir sel felaketi gibi geldiğinde; kapın sağlam kalır ama o binaya giden bütün yollar, sokaklar sular altında kalır. kimse sana ulaşamaz. cloudflare denen bu yapı ise barajı şehrin 50 km dışına kurduğu için seli orada tutuyor, şehre damla düşürtmüyor.
velhasıl; akamai, fastly falan varken tüm internet aleminin anahtarını tek bir firmanın cebine koyunca neler olabileceğini bize bugün acı bir tecrübeyle hatırlatmıştır. internetin "tek nokta hatası" (single point of failure) olmaya doğru hızla gidiyor, hayırlısı.
Mevzunun derinine dalmak isteyenler için teknik detaylar
2013 yılından bu yana neredeyse tüm özelliklerini kullanmış biri olarak bir çoğu bu yazıya sığmayacak olsa da cloudflare'in neler yapabildiğini az çok anlatmak isterim.
öncelikle cloudflare'in ana işi olan atak korumasıyla işe başlayalım. sanırım çoğu kişi için cloudflare denince akla gelen ilk konu bu.
cloudflare ücretsiz versiyonunda dahi atak koruması sağlamakta ve bu nedenle yaygın olarak kullanılmakta. ancak bu servisin düzgün çalışabilmesi için doğru yapılandırmanın önemi büyük.
burada süreç cloudflare'in alan adınızın dns servisi olmasıyla başlar. artık tüm dns kayıtlarınızı cloudflare üzerinde yöneteceksiniz. sanılanın aksine korumanın işe yaraması için bir dns kaydındaki proxy status'u proxied olarak değiştirmeniz yeterli değil. size saldırmak isteyen birisinin cloudflare'i gördüğünde yapabileceği bazı hamleler var.
1. diğer dns kayıtları
tek bir sunucunuz olduğunu varsayalım. www kaydındaki proxy status'u proxied olarak yapılandırdınız ancak aynı sunucuya bakan subdomainler dns only konumunda duruyorsa saldırgan basit bir nslookup sorgusuyla bunu öğrenebilir ve cloudflare'e hiç uğramadan doğrudan sunucunuza atak yapabilir. bu nedenle korunmak istenen sunucuya ait tüm kayıtların proxied konumunda olması gerekir.
2. dns geçmişi
securityrails gibi ücretsiz servislerden bile bir alan adındaki subdomainleri listeleyebilir, bu subdomainlerin geçmiş dns kayıtlarını görebilirsiniz. cloudflare kullanmaya başlamadan önce sunucunuza doğrudan yönlenen bir dns kaydınız varsa sunucunuzun ip adresi görülecek ve yine cloudflare'e uğramadan doğrudan sunucunuza atak yapılabilecektir. burada yeni bir ip adresi almayı düşünebilirsiniz. ancak bu durumda da bir şekilde ip adresiniz açığa çıktığında savunmasız kalabilirsiniz.
eğer tüm site trafiğini cloudflare üzerinden geçirmek sizin için uygunsa (ki çoğu durumda uygun olabiliyor) sunucunuzun güvenlik duvarında 80 ve 443 portlarına dışarıdan gelen tcp isteklerini sadece https://www.cloudflare.com/ips/ adresinde yer alan ip adreslerine açarak bunu önleyebilirsiniz.
3. site üzerinden gönderilen e-postalar
çoğu yazılımcı farkında değil ancak e-posta headerlarında sunucunuzu açık edebilecek bilgiler yer alır. burada sendgrid gibi servisler kullanarak e-posta göndermeyi düşünebilirsiniz. ya da bunun yerine az önce bahsettiğim sadece cloudflare ip adreslerine izin verme yoluna da gidebilirsiniz.
4. mx kayıtları
eğer sitenizi barındırdığınız sunucuyu aynı zamanda mail server olarak kullanıyorsanız mx kayıtlarınız sunucunuzu işaret ediyor olacaktır. şu an için dns yönetiminde mx kayıtlarını proxy arkasına almak mümkün olmadığından yine bu yöntem kullanılarak sunucunuzun ip adresi öğrenilebilir. burada cloudflare'in area 1 çözümünü kullanmayı düşünebilirsiniz ancak maliyetler çok yükseleceğinden office 365, zoho gibi bir servis üzerinden e-posta sunucusu yapılandırmak daha mantıklı olacaktır.
5. cloudflare workers ve warp
workers'ın ne olduğundan birazdan bahsedeceğim. kısaca özeti herhangi bir sunucunuz olmadan yazdığınız kodların cloudflare tarafından bir endpoint haline getirilerek cloudflare sunucularında çalıştırılabilmesi diyebiliriz. bunun konumuzla olan ilgisi ise 2. maddeye yazdığımız sadece cloudflare ip adreslerine izin verme çözümünün delinmesine neden olması.
bir saldırgan sitenizi hedef aldı ancak karşısında cloudflare'i buldu. bir şekilde ip adresinizi öğrendi ancak firewall geçişe izin vermedi. eğer size saldıracak bir kodu cloudflare workers üzerinde çalıştırırsa ya da warp ağını kullanıp internete cloudflare ip'leri üzerinden çıkış sağlarsa artık sunucunuza ulaşabilecektir.
işte burada yapılandırması biraz daha zor olan ancak en etkili çözümümüz geliyor. cloudflare'in yarattığı bu sorunu yine cloudflare tunnels (cloudflared) kullanarak aşabilirsiniz. eğer daha önce ngrok kullandıysanız reverse proxy ve tunnel kavramına aşina olabilirsiniz.
bilmeyenler için basitleştirilmiş kısa özeti şu: sunucunuza kurduğunuz bir agent ile cloudflare sunucuları kendi aralarında haberleşebilir hale gelir. bunu teamviewer gibi de düşünebilirsiniz. sabit bir ip adresiniz olmadan, herhangi bir port yapılandırması yapmadan herhangi birisi teamviewer kullanarak sizin bilgisayarınıza bağlantı kurabilir. cloudflare tunnels tam olarak bunu yapar.
bunlar dışında birkaç yöntem daha var ancak entry fazla uzadığı ve bu önlemler çoğu durumda yeterli olduğu için bunları atlıyorum.
gelelim atak korumasının neyi kapsadığına. eğer cloudflare'i ücretsiz olarak kullanıyorsanız size sağlayacağı koruma ddos'tan ibaret olacaktır.
peki, bu adamlar deli gibi trafiği üstlenip bunu neden ücretsiz veriyor derseniz yanıt basit
cloudflare, barındırdığı binlerce ücretsiz site sayesinde anlık olarak hangi ip adreslerinden, hangi isp'lerden (asn), nasıl bir yöntemle saldırı yapıldığını gözlemleyebiliyor. bu ücretsiz siteler için aslında bir sla garantisi de bulunmuyor. ancak buradan elde ettiği veriyi sla kapsamındaki ücretli müşterileri korumak için kullanıyor.
atak korumasını kısmen de olsa sağladık. güvenlik için cloudflare başka neler sağlıyor derseniz burada karşımıza waf çıkıyor. ücretsiz kullanımda kendinizin tanımlayabileceği 5 waf kuralına izin verse dahi bunun güvenlik anlamında size sağlayacağı pek bir fayda yok. eğer sitenizin önünde gerçek bir waf bulunmasını istiyorsanız en azından aylık $20 olan pro pakete geçmeniz gerek.
burada cloudflare, owasp ruleset'leri barındıran, super bot fight mode ve rate limiting gibi ek özelliklerle desteklenmiş bir waf hizmeti sağlıyor. bu sayede sql injection'dan bot ataklarına kadar pek çok konuda size çözüm getiriyor. ayrıca waf üzerinde 20 tane ek kural tanımlaması yaparak güvenliği daha da artırabilirsiniz. örneğin digitalocean, ovh gibi asn'leri, tor ağının tamamını ya da belirli bir ülkedeki tüm trafiği tamamen bloklayabilirsiniz. ya da sitenizin admin arayüzünü sadece izin verdiğiniz ip adreslerinden erişim sağlanacak şekilde kısıtlayabilirsiniz. eğer amacınız belirli bir subdomain'in sadece belirli kişiler tarafından erişilebilir olmasını sağlamaksa bunun için çok daha fazlasını yapabileceğiniz cloudflare access'i (yeni adıyla zero trust) de kullanabilirsiniz. birazdan buna da kısaca değineceğim.
iyi, güzel peki başka neler yapabiliyoruz?
anlatacak yüzlerce özellik var ancak hepsini bu kadar detaylı yazacak vakti şu an bulamıyorum. eğer entry ilgi görürse editleyerek daha kapsamlı hale getirebilirim. bu noktadan sonra sadece en kullanışlı ve en önemli özellikleri kısa özetler halinde geçeceğim.
1. ssl
cloudflare arkasında duran her web sitesi için ücretsiz bir ssl sertifikası sağlar ve bu sertifikayı otomatik olarak yeniler. kendi sunucunuzda ssl sertifikası olmasa dahi (flexible ssl) sitenizi internete ssl sertifikası ile sunabilirsiniz. burada uçtan uca güvenli kalmayı tercih edecekseniz full ssl modunu kullanıp sunucunuza da geçerliliği olan bir ssl sertifikası koyabilirsiniz. ancak bunun için ücret ödemek istemiyorsanız cloudflare certificate authority tarafından ücretsiz sağlanacak ve sadece cloudflare tarafından güvenli sayılacak bir sertifikayı da (origin certificate) ücretiz alabilir, ssl yapılandırmanızı full (strict) olarak tutabilirsiniz.
eğer saas olarak hizmet sağlıyorsanız farklı alan adları cname ile sizin alan adınıza bakıyor olabilir. bu durumda cloudflare for saas kapsamındaki custom hostnames'i kullanarak doğrulama sonrasında farklı alan adları için de geçerli bir sertifika üretip bu sitelerde bunun kullanılmasını sağlayabilirsiniz. bu sertifikalar doğrulama sırasında eklenen dns kayıtları kaldırılmadığı sürece yine ücretsiz ve otomatik olarak yenilenecektir. ayrıca cname ile sizin alan adınıza yönlenen domainde sizin cloudflare hesabınızda tanımladığınız ddos, waf, bot management ve rate limit kulalları geçerli olacaktır.
2. access / zero trust / warp
sunucularınıza ya da subdomainlerinize vpn olmadan da vpn varmış gibi güvenli bir şekilde dış erişim sağlayabilirsiniz. üstelik 50 kullanıcıya kadar da bu servisi ücretsiz kullanabilirsiniz. bunun için sunucularınızı cloudflare tunnels ile zero trust'ta oluşturacağınız bir network'e bağlayabilir, sunucunuzdaki ssh, rdp gibi servislere application oluşturabilir, bu application'ları kullanıcı veya takım bazında limitleyebilir, kullanıcılarınızın da azure ad, google workspace ya da saml gibi bir identity provider ile giriş yapmalarını sağlayabilirsiniz.
3. caching
basit bir konu olduğundan uzun uzun yazmayacağım. cloudflare kullandığınızda sitenizin tüm trafiği zaten cloudflare üzerinden geçiyor. css, js ya da görsellerinizin cloudflare edge'lerde saklanarak sunucunuza uğramadan doğrudan son kullanıcıya ulaşmasını sağlayarak sunucunuzda ciddi bant genişliği avantajı yakalayabilir, sitenizde de hızlanma sağlayabilirsiniz.
4. rules
alan adınızda configuration, transform, redirect ve origin rules olmak üzere 4 farklı yapıda kural tanımlaması yapabilirsiniz. kendi içinde çok daha fazla özellik barındırsa da her birini bir kullanım örneğiyle kısaca açıklayacak olursak:
configuration rules: user agent'a bakıp ssl desteği olmadığını bildiğiniz bir client için automatic https rewrite'ı devre dışı bırakabilirsiniz.
trasform rules: sitenize images/user1.jpg olarak gelen bir isteğin sunucuya /api/user/profilepicture?id=user1 gibi gitmesini sağlayabilir, bu sırada bu isteğe bir authorization header'ı ekleyebilirsiniz.
redirect rules: sitenizdeki linkleri dinamik olarak kurallara bağlayıp yine dinamik bir şekilde 301, 302, 303, 307 ve 308 yönlendirmesi sağlatabilirsiniz. örneğin hostname m.eksisozluk.com ise ve user agent android içeriyorsa google play store uygulama sayfasına git, user agent ios içeriyorsa app store uygulama sayfasına git gibi kurallar oluşturabilirsiniz.
5. traffic
bu konu kendi içinde birkaç parçaya ayrılmakta. kısaca özetleyecek olursak:
argo: cloudflare ile son kullanıcı arasındaki route'ların optimize edilmesi yoluyla sitenizin %30 kadar daha düşük latency ile görüntülenmesini sağlar. kısaca cdn olarak özetleyebiliriz.
load balancing: cloudflare'in en güzel özelliklerinden biri diyebiliriz. burada kendimin kullandığı gerçek bir kullanım örneğini vereceğim.
yüksek trafik alan ve down olmasını göze alamayacağım bir servisim var. projemizi ölçeklenebilir bir şekilde yazdık. veritabanımızı mongodb atlas'a aldık. burada multi cloud kullanarak hem aws, hem azure hem de google cloud'ta 8 farklı ülkede 24 farklı node açarak high availability ve scalability sağlamış olduk.
siteyi aws'te host edip birden fazla server açarak aws'in içinde load balancer kurabilirdik. ancak aws down olursa biz de down olacağız. bunun yerine hem aws'te hem azure'da hem digitalocean'da hem de vultr'da sunucular açıp her bir provider'da load balancer yapılandırdık. bu load balancer'ları da cloudflare load balancer'ı kullanarak tekrar load balancer arkasına aldık. her biri için de health check yapılandırdık. artık sitemiz aws'te almanya ve irlanda, azure'da hollanda ve abd'de, digitalocean'da fransa ve ingiltere'de, vultr'da ispanya ve kanada'da çalışıyor. cloudflare down olmadığı sürece dc kaynaklı bir kesinti artık çok zor. cloudflare down olduğunda da neredeyse internet'in yarısı down olduğu için bu noktada bu riski kabul edilebilir görüyoruz.
health checks: asıl amacı load balancerlarınıza bağladığınız sunucuları takip etmek olsa da load balancer kullanmadan da bu servisi açabilir, siteniz down olduğunda haberdar olabilirsiniz. webhook benzeri yöntemler kullanarak telegram'ınıza anlık bildirim dahi alabilirsiniz.
6. turnstile
cloudflare'in recaptcha alternatifi. en güzel yanı api'ların recaptcha ile aynı olması. sadece bir url değiştirerek recaptcha ile entegre olan projenizi turnstile ile çalışacak duruma getirebilirsiniz.
7. r2
cloudflare'in aws s3 alternatifi. daha uygun fiyatlı ve cloudflare arkasında cdn özelliği de kazandığı için daha performanslı çalışabiliyor. api'ları s3-compatible olarak geçiyor. s3'te yer alan bazı özellikler kullanılamasa dahi çoğu özellik kullanılabilir durumda. yine sadece bir url değiştirerek s3 ile entegre olan projenizi r2 ile çalışacak duruma getirebilirsiniz.
8. workers
cloudflare workers, kendi başlığını açmayı hak edecek kadar geniş bir konu. burada workers'ın birçok özelliğini aynı anda kullandığı için yine kendime ait gerçek bir kullanım örneğini vereceğim.
yılın 300 günü boyunca çok az kullanılan ancak kampanya dönemlerinde reklamların da etkisiyle ziyaretçi sayısı bir anda yükselen bir sitem var. bunun için workers'ta bir api projesi oluşturup veritabanı olarak yine workers'ın sağladığı d1 adındaki sql veritabanını kullandım. bu api'a erişim için vue.js kullanarak bir arayüz hazırladım. bunu da cloudflare pages ile host ettim. api'a gönderilip d1'a kaydedilen verilerin belirli aralıklarla senkronize olması için bir worker application'ı daha oluşturup buna da cron job tanımladım. bu job saat başı çalışarak d1'da biriken kayıtları mongodb atlas'ta bulunan bir veritabanına yazmakta. bu projeyi github'ta saklayarak workers ile ci/cd pipeline yapılandırmasını da oluşturdum. artık sunucu yönetmek, ölçeklemek için efora girmek gibi işlerle uğraşmak yerine sadece kodumu yazıp github'da pull request oluşturarak dağıtımını yapıyor ve yük altında çalışabilmek gibi diğer tüm işleri cloudflare'e otomatik olarak yaptırıyorum. mongodb trafik almadığı için de burada en ucuz paketi kullanıp yine de yoğunluk anında down olmamayı sağlayabiliyorum.