Cloudflare: segurança, CDN, DNS e proteção na borda

O que é Cloudflare e o que ele oferece

Uma plataforma completa de rede, segurança e performance na borda

Cloudflare é uma plataforma de rede distribuída com mais de 300 PoPs em mais de 100 países, combinando CDN, DNS autoritativo, proteção DDoS, WAF, Workers de edge computing e muito mais em um único serviço. O modelo de negócios freemium torna os serviços básicos de CDN, DNS e proteção DDoS acessíveis gratuitamente, com planos pagos adicionando recursos como WAF avançado, análises detalhadas e suporte. A posição privilegiada do Cloudflare na Internet — gerenciando tráfego de milhões de sites — permite que ele agregue dados de ameaças em escala global e mitigue ataques usando inteligência coletiva da rede. Migrar DNS para o Cloudflare é o primeiro passo para usar qualquer outro serviço deles, colocando o Cloudflare como intermediário de todo o tráfego do domínio.

DNS gerenciado — como o Cloudflare controla o tráfego

DNS como ponto de controle central para todo o tráfego da aplicação

Ao migrar os name servers de um domínio para o Cloudflare, todo o DNS do domínio passa a ser gerenciado pelo painel do Cloudflare, que oferece propagação quase instantânea em vez das horas de outros provedores. O ícone laranja (proxied) ao lado de um registro DNS indica que o tráfego para aquele subdomínio passará pelos servidores Cloudflare antes de chegar na origem, habilitando CDN, DDoS protection e WAF. O ícone cinza (DNS only) significa que o DNS resolve o IP real do servidor de origem, sem nenhuma proteção ou performance adicional do Cloudflare. O Cloudflare 1.1.1.1 é também um resolver DNS público de alta performance que pode ser usado independentemente do gerenciamento de domínio.

CDN e cache — entregando conteúdo na borda

Configurando cache eficiente para assets e páginas no Cloudflare

O Cloudflare cacheia automaticamente conteúdo estático baseado na extensão do arquivo — CSS, JS, imagens e fontes são cacheados por padrão nos edges mais próximos dos usuários. Page Rules e Cache Rules permitem personalizar o comportamento de cache por URL, sobrescrevendo headers de origem e definindo TTLs específicos para diferentes partes do site. O Edge Cache TTL controla por quanto tempo o Cloudflare mantém o conteúdo independentemente dos headers de origem, sendo útil quando a origem não retorna Cache-Control adequado. O Argo Smart Routing, funcionalidade paga, escolhe automaticamente o caminho de rede mais rápido entre os PoPs do Cloudflare e a origem, reduzindo latência de cache miss.

Proteção DDoS automática

Absorvendo ataques volumétricos antes de atingirem a origem

A proteção DDoS do Cloudflare opera em todos os planos incluindo gratuito, absorvendo ataques volumétricos nos edges distribuídos da rede sem impactar a origem. O sistema de mitigação identifica padrões de ataque automaticamente — spikes de tráfego, fingerprints de botnets conhecidos e anomalias de protocolo — e bloqueia tráfego malicioso em segundos. Ataques L3/L4 volumétricos são mitigados pela capacidade de rede massiva do Cloudflare (mais de 100 Tbps), enquanto ataques L7 sofisticados são tratados pelo WAF e rate limiting. O DDoS Analytics no painel mostra estatísticas dos ataques bloqueados, incluindo origem geográfica, tipo de ataque e volume de tráfego mitigado em tempo real.

WAF — Web Application Firewall

Filtrando tráfego malicioso antes de chegar na aplicação

O WAF do Cloudflare inspeciona requisições HTTP antes de encaminhá-las à origem, bloqueando ataques comuns como SQL injection, XSS, CSRF e inclusão de arquivos remotos com base em um conjunto gerenciado de regras atualizado continuamente. O Cloudflare Managed Ruleset é atualizado automaticamente pela equipe de segurança do Cloudflare conforme novas vulnerabilidades são descobertas, sem necessidade de intervenção manual. Regras customizadas permitem criar lógica de filtragem específica para a aplicação — bloqueando IPs de países específicos, requisições com certos User-Agents ou payloads que correspondam a padrões de ataque conhecidos. O modo challenge apresenta CAPTCHAs ou JavaScript challenges para tráfego suspeito antes de bloquear completamente, reduzindo falsos positivos.

Cloudflare Workers — lógica na borda

Executando código JavaScript nos edge nodes do Cloudflare

Cloudflare Workers permite executar JavaScript ou WebAssembly diretamente nos edge nodes do Cloudflare, sem servidor dedicado, com latência mínima para usuários em qualquer lugar do mundo. Workers são executados em menos de 1ms de startup (sem cold start como Lambda) e podem modificar requests e responses, implementar A/B testing, autenticação na borda e routing dinâmico antes da requisição chegar à origem. Workers KV é um armazenamento chave-valor distribuído globalmente com leitura em microsegundos nos edges, ideal para configurações, flags de feature e dados de sessão de baixa latência. Durable Objects adicionam estado coordenado entre edges para casos como salas de chat e documentos colaborativos que precisam de consistência.

SSL/TLS — full strict e certificados gerenciados

Configurando HTTPS corretamente com Cloudflare para máxima segurança

O modo SSL/TLS do Cloudflare deve ser configurado como Full (Strict) em produção, exigindo certificado válido tanto na CDN do Cloudflare quanto no servidor de origem para garantir criptografia em todo o caminho. O modo Flexible, que aceita origem em HTTP puro, deve ser evitado pois deixa a comunicação entre Cloudflare e o servidor de origem sem criptografia, criando um falso senso de segurança. O Cloudflare emite automaticamente certificados SSL gratuitos para domínios em seu serviço, eliminando a necessidade de gerenciar Let's Encrypt manualmente para sites usando Cloudflare como proxy. O HSTS pode ser habilitado nas configurações de SSL do Cloudflare para instruir navegadores a sempre usar HTTPS, com opção de incluir o domínio no HSTS preload list dos navegadores.

Cloudflare Tunnel — expor servidores sem IP público

Conectando servidores privados ao Cloudflare sem abrir portas no firewall

O Cloudflare Tunnel (antigo Argo Tunnel) cria uma conexão de saída segura do servidor para a rede Cloudflare, eliminando a necessidade de IP público, portas abertas no firewall ou configuração de NAT. O daemon cloudflared roda no servidor e mantém conexões persistentes para os PoPs do Cloudflare, que roteiam o tráfego de entrada de volta pelo tunnel até a aplicação. Essa arquitetura é especialmente valiosa para expor servidores em redes domésticas, ambientes corporativos com firewall restritivo e servidores em VPCs privadas sem Internet Gateway. O acesso pode ser adicionalmente protegido com Cloudflare Access, que adiciona autenticação SSO (Google, GitHub, Azure AD) na borda antes de qualquer tráfego chegar ao servidor.

Analytics e logs de tráfego

Entendendo o tráfego da aplicação através dos dados do Cloudflare

O painel de Analytics do Cloudflare oferece visibilidade sobre tráfego total, requests por país, tipos de conteúdo, cache hit rates e tráfego bloqueado pelo WAF sem necessidade de configuração adicional. O Cloudflare Logs (disponível em planos Enterprise) exporta logs detalhados de todas as requisições para S3, Datadog ou outros destinos para análise avançada com ferramentas como Elasticsearch ou Athena. O Workers Analytics Engine permite que Workers publiquem métricas customizadas que ficam disponíveis via GraphQL API, habilitando dashboards específicos do negócio executando na borda. Web Analytics do Cloudflare é uma alternativa ao Google Analytics, coletando métricas de performance como Core Web Vitals sem impactar privacidade dos usuários com cookies de rastreamento.

Conclusão — Cloudflare como camada de infraestrutura universal

CDN, segurança e edge computing em um único lugar

O Cloudflare evoluiu de uma simples CDN para uma plataforma completa que trata segurança, performance e edge computing como serviços integrados, tornando-se parte fundamental da infraestrutura de milhões de sites no mundo. A facilidade de configuração combinada com a profundidade de recursos disponíveis — desde proteção DDoS gratuita até Workers e Durable Objects — faz do Cloudflare uma das ferramentas com maior retorno sobre investimento em engenharia de infraestrutura. Continue em: Fundamentos obrigatórios antes de produção.