2020-12-12 02:17:15
Cloudflare 防火墙日志将支持混合公钥加密(HPKE)一般情况下,对于触发Web应用程序防火墙(WAF)的请求,用户可以通过查看防火墙日志(安全事件)中的URL、查询参数结合面板上提供的相关元数据信息来快速判断这些请求是否正常或者误判
但有时候,考虑不周全的复杂WAF规则可能与默认情况下非预期的数据字段匹配,这在排查WAF事件或进行更全面的研究、测试时,需要系统记录足够完备的请求信息来进行比对校验,以帮助用户微调改进其规则,很明显直接记录命中规则匹配的部分字段将会涉及个人敏感数据,为用户带来隐私安全泄露风险
为此Cloudflare构建了加密的WAF匹配负载日志记录机制
在请求命中WAF规则时记录规则匹配的数据字段并使用客户预置的公钥进行加密(Base64 blob形式存储)
在客户拉取安全事件日志时,使用私钥本地离线解密(客户端/浏览器)查看加密的规则匹配数据
该加密使用新标准名为:混合公钥加密(HPKE: Hybrid Public Key Encryption)(部分由Cloudflare开发)
*Cloudflare不负责此私钥存储,在客户丢失自己保管的私钥时,之前所有数据将无法解密查看、恢复,客户仅能通过更新应用新的密钥对来为后续数据记录预设加密所需公钥
*目前仅企业客户预约可用(面板在数月内更新上线),只有应用程序(对应域名)所有者(站长)以超级管理员身份访问Cloudflare面板时才可以进行密钥对配置(协助方/次级管理员不可用);那些未持有私钥的所有人,包括Cloudflare员工,都无法解密查看此日志记录
*Cloudflare开源相关命令行应用程序(Rust开发):生成公私密钥对、数据解密
Encrypting your WAF Payloads with Hybrid Public Key Encryption (HPKE)
Via @Cloudflare_CN
1.6K viewsedited 23:17