Aanpak en implementatie voor de case, opgebouwd rond drie fases: Health Check, Implementation & Optimization en Watchtower.
Een e-commercesite, gehost op eigen servers, moet achter Cloudflare komen, met oog voor security, performance, DNS en beschikbaarheid.
Bezoekers ver van de origin ervaren tragere laadtijden.
SQL-injection, DDoS en Slowloris tasten de beschikbaarheid aan.
Instructievideo's bij een specifiek product mogen niet publiek toegankelijk zijn.
Geen migratie: Cloudflare komt ervoor, de website zelf verhuist niet.
De aanpak volgt drie fases: van analyse, via implementatie, naar doorlopend beheer.
Infrastructuur, huidige configuratie en prioriteiten in kaart brengen, vóór er iets wijzigt.
DNS, WAF, performance en toegangsbeheer effectief opzetten en afstellen.
Maandelijkse review, rule-tuning en rapportage, zodat de omgeving blijft mee-evolueren.
Elke keuze verderop in dit voorstel hangt af van antwoorden die we hier ophalen. Voor deze oefening worden op de volgende slide expliciete aannames gemaakt zodat de implementatie hieronder concreet uitgewerkt kan worden.
Bevestigd tijdens de effectieve Health Check bij de klant. Waar een aanname niet blijkt te kloppen, wijzigt de aanpak in fase 2.
Alle relevante records worden proxied (orange-clouded). Pas dan gelden WAF, cache en DDoS-bescherming.
Origin-IP niet langer publiek zichtbaar in DNS-lookups, de eerste stap tegen alle drie de genoemde aanvalstypes.
Eén cloudflared-instantie op de origin-server. Outbound-only verbinding, geen inbound firewall-regel nodig voor Cloudflare's IP-ranges.
Geen losse maatregel, maar een opbouw: het gekende wordt gevangen door signatures, het onbekende door machine learning.
Signature-based, door Cloudflare onderhouden. Vangt bekende SQLi-patronen, staat standaard aan.
ML-laag voor varianten en bypasses die signatures missen. Eigen SQLi-deelscore beschikbaar.
Extra dekking, maar meer false positives, daarom bewust niet als standaard aangeraden.
L3 / L4 / L7 altijd actief op Cloudflare's netwerk. Geen aparte configuratie nodig.
Wordt automatisch onschadelijk gemaakt: Cloudflare's proxy buffert het volledige HTTP-request vóór het naar de origin gaat. Een onvolledig request bereikt de origin nooit.
Aparte configuratiestap: niet automatisch afgeleid van WAF
Elke laag vangt op wat de vorige niet kon: het meeste hoeft nooit naar de origin, de rest gaat er zo snel mogelijk naartoe.
Statisch standaard gecachet. Dynamisch (cart, checkout) expliciet bypassed: nooit blind "Cache Everything" toepassen.
Hiërarchie van datacenters vangt cache-misses op vóór de origin geraakt wordt.
Snelste realtime pad op Cloudflare's backbone voor wat wél naar de origin moet, relevant voor verre bezoekers.
Deny-by-default op het specifieke pad. Verificatie via One-Time PIN, geen wachtwoord om te beheren of te lekken.
Outbound-only verbinding: dit deel van de infrastructuur is nooit publiek blootgesteld, zelfs niet via IP-scanning.
| Eén origin-server (aanname) | Meerdere servers / load balancer | |
|---|---|---|
| Tunnel-complexiteit | Laag: één cloudflared-instantie volstaat | Hoger: cloudflared per server met Cloudflare Load Balancing, of één instantie naar de interne LB |
| Aanbevolen aanpak | Tunnel als baseline, voor webshop én installatievideo's | Proxied DNS + firewall-lock als baseline, Tunnel als upgrade-pad in fase 3 |
Deze keuze hangt rechtstreeks af van de aanname op de vorige slide en wordt bevestigd tijdens de Health Check. Cache + Access blijft in beide gevallen veilig te combineren: Access valideert de sessie vóór de cache-fase, mits de cache-key en Cache-Control correct geconfigureerd zijn.
WAF-regels die vandaag correct staan, kunnen na verloop van tijd achterhaald raken door nieuwe aanvalspatronen. Deze fase houdt de configuratie actueel.
Adaptive bitrate streaming voor de installatievideo's, buiten de huidige scope, maar een logische optimalisatie later.
Erkende plaatsers beheerd in de eigen applicatie van de klant, automatisch gesynchroniseerd naar de Access-policy via de Cloudflare API.
| Probleem uit de case | Oplossing | Fase |
|---|---|---|
| Trage laadtijden wereldwijd | CDN, Tiered Cache, Argo Smart Routing | 02 |
| SQL-injection | Managed Ruleset + WAF Attack Score | 02 |
| DDoS & Slowloris | Altijd-actieve DDoS-bescherming + request buffering | 02 |
| Beveiligde installatievideo's | Cloudflare Access (OTP) + Tunnel | 02 |
| Blijvend actuele bescherming | Maandelijkse tuning & rapportage | 03 |
Health Check → Implementation & Optimization → Watchtower.