הפודקאסט של מיכאל

כמה חברות לדעתכם מחזיקות את האינטרנט על הכתפיים? את הצינורות? את התשתית שגורמת לאינטרנט… לעבוד? שלוש? חמש? מה אם הייתי אומר לכם שבחלק עצום מהרשת, לחלק ענק מהמשתמשים התשובה היא יותר ויותר... אחת?

מת'יו פרינס ולי הולוואי לא חשבו לשנות את העולם. הסיפור שלהם התחיל, כמו הרבה דברים טובים, מתסכול של מפתחים. בשנת 2004 הם רצו להבין משהו אחד פשוט: "מאיפה לעזאזל כל הספאם הזה מגיע?". הם בנו מערכת קטנה, "Project Honey Pot" שפיזר צנצנות דבש - כתובות אימייל ייעודיות באתרים - וחיכו. לא לפו הדב, אלא לבוטים וספאמרים שיפלו בפח ויאספו אותן. זה היה פרויקט קהילתי, open-source ותחביב.

תחביב שהפך פופולרי מאוד, עם אלפי מנהלי אתרים כשמשתמשים ופידבק אחד שחזר על עצמו: "חבר'ה זה נחמד שאתם עוקבים אחרי הרעים, אבל מה דעתכם פשוט... לחסום אותם?".

מת'יו פרינס, עורך דין בהכשרתו, הולך עם המחשבה הזו להרווארד לעשות MBA ופוגש שם את מישל זטלין הקנדית. הם משתכנעים ש"אם אפשר לעקוב אחרי איומים, אפשר גם לעצור אותם. ואם אפשר לעצור אותם, אפשר לבנות מזה חברה". לא אבחנה שצריך בשבילה את הרווארד. צ'קפוינט ב-2008 מגנה על הרשת כבר 15 שנה. אבל שיחה אחת, משמעותית, שינתה את הכל. על הקו המחלקה לביטחון המולדת של ארה"ב שאומרת: "יש לכם מושג כמה הדאטה שאספתם שווה?"

ההבנה שהשלישייה יושבת על מכרה זהב של מודיעין איומים גלובלי, שכנעה אותם לעלות על הבמה של TechCrunch Disrupt 2010. קלאודפלייר הושקה רשמית.

אגב קלאודפלייר הגיעה בתחרות ההיא רק למקום השני. היא הפסידה ל-Qwiki, שעשתה וידאו-משהו, נמכרה ל-Yahoo! ב-50 מיליון דולר ונסגרה. קלאודפלייר נסחרת היום תחת הסימול NET ושווה 75 מיליארד דולר.

בדומה לפרק 25 על סטרייפ, בואו נדמיין לרגע סטארטאפ ישראלי טיפוסי. נקרא לו "HummuSaaS". יש להם MVP, אפליקציה גאונית לדירוג חומוסיות. יש להם דומיין, ושרת שהוא בעצם PC ישן שיושב אצל ההורים של המנכ"ל בפתח תקווה. אין להם כסף, אין להם צוות DevOps, וכל מה שהם רוצים זה לשרוד את השבוע הראשון בלי ליפול. הצעד הראשון הוא לשים את האתר שלהם מאחורי התוכנית החינמית של קלאודפלייר.

הפיצ'ר המרכזי יעיף אוטומטית 15% מהטראפיק שמגיע לשרת ונחשב זדוני (15% של אז, היום - קרוב ל-37%). החסימה הזו לבדה משחררת לא מעט משאבים, וכסף.

אבל בפרוייקט צנצנות הדבש למדו ב-Cloudflare לא רק על IPים זדוניים. הם גילו שבוטים, גם "טובים" כמו של גוגל, הורגים את ביצועי האתר. גוגל מבקשת דפים בזנב הארוך, כאלו שלא נמצאים במטמון. זה גורם לעומס אדיר על בסיס הנתונים, עומס שכלי ניטור כמו Google Analytics בכלל לא רואים.

הם משפרים את שכבת המטמון שלהם עם bot-aware caching שמחזיר לגוגל עותק ישן במקצת, הרי ממילא מנועי חיפוש מחזיקים snapshot היסטורי.

אתר HummuSaaS עובד עכשיו 30% יותר מהר. לא רק בגלל חסימה או מטמון, אלא כי המטמון הזה יושב קרוב מאוד למשתמש, ברשת ענקית של Points of Presence. במקום שמשתמש מניו יורק יצטרך להתחבר עד לשרת בפתח תקווה, הוא מקבל את התוכן משרת בניו ג'רזי.

זה כמובן לא חדש. Akamai שהקדימה את Cloudflare בעשור ומיסחרה את המונח CDN (או Content Delivery Network) עשתה את זה אז לקבצים גדולים (תמונות ווידאו) וללקוחות ענק (CNN, יאהו ודיסני).

אבל קלאודפלייר עשתה את זה אחרת. היא ביקשה, התחננה, לעשות את זה לכל האתר, לא רק לקבצים סטטיים כמו תמונות של מסבחה או קבצי CSS - גם לדפים דינמיים. היא גם ביססה את הפתרון שלה על Anycast מהיום הראשון, החלטה נכונה וסופר אמיצה - כתובת ip בודדת, שמאפשרת קונפיגורציה אחת, ניתוב אוטומטי של משתמשים (וגם תוקפים) באמצעות פרוטוקול BGP, שהוא סוג של וויז לטראפיק, וכל זה מבלי להרים אלפי פופים.

קונפיגורציה אחת היא מה שקלאדופלר מבקשת מהלקוחות שלה. תנו לנו את המפתחות ל-DNS שלכם, לממלכה ותראו את הקסם קורה. זה כל כך קל שהמנהל הלא-טכני של HummuSaaS יכול לעשות את זה בעצמו. ולמה שלא יעשה? השירות הבסיסי של Cloudflare ניתן עד היום בחינם לגמרי, וגם ה-DNS שלהם (ה-Name servers) הוא באופן עקבי המהיר בעולם, או מהיר לפחות כמו Google Cloud DNS או Amazon Route 53.

יום אחד, איזה script kiddie משועמם מרוסיה, כזה שלא טעם משולשת בחייו, מחליט להפיל את האתר של HummuSaaS. הוא מריץ מתקפת DDoS (או Distributed Denial of Service) פשוטה. טוב לא פשוטה, זה מהלך מאורגן שבו אלפי מחשבים (נגועים ברובם) מבקשים משאב מסוים מאתר מסוים וגורמים לו להיחנק. בשרת רגיל, האתר היה נופל תוך שניות. אבל HummuSaaS נמצא מאחורי קלאודפלייר. הרשת העצומה שלה, עם צינורות בקיבולת של 405 טרה-ביט לשנייה, פשוט סופגת את המתקפה הזאת כמו ספוג. זה כמו לנסות להציף את האוקיינוס עם צינור גינה.

אה, זה גם זה לא עולה אגורה. קלאודפלייר מעניק Unmetered DDos Protection, בחינם.

המנהל הטכני של HummuSaaS מבין שאת הטראפיק הרוסי הוא לא רוצה, בכלל. הוא מקבל גישה ל-WAF, חומת אש אפליקטיבית, שמאפשרת לעצור מדינות מסוימות ותקיפות מוכרות. זה כמו סלקטור בכניסה למועדון שכבר מכיר את כל הערסים הקבועים - אלו שמנסים להזריק SQL, אלו שדוחפים XSS. הוא פשוט לא נותן להם להיכנס, בלי ש-HummuSaaS יצטרכו לעשות כלום, או לשלם כלום.

אבל למה כל הטוב הזה בחינם? הם פילנתרופים? באינטרנט התשובה ברורה. אם אתה לא משלם על משהו, אתה - המוצר. ואם לא שילמת לקלאודפלייר, ברכותיי - עזרת להם לבנות את מכונת איסוף הדאטה הכי מבריקה שנבנתה אי פעם.

20% מהאתרים בעולם מוגנים ע"י קלאודפלייר, ורובם בתוכנית החינמית. זה נותן להם נראות שאין לאף אחד אחר על תעבורת התקפות גלובלית. כל האקר זב חוטם שתוקף את האתר החינמי של HummuSaaS מאמן את קלאודפלייר להגן על חשבון ה-Enterprise של בנק הפועלים. יותר משתמשים חינמיים > יותר דאטה > מודיעין איומים טוב יותר > מוצרים טובים יותר ללקוחות משלמים > יותר כסף לממן את התשתית החינמית. זה לא moat, זה super-moat.

עברה שנה. HummuSaaS גייסו סיבוב A, יש להם לקוחות משלמים, API למפתחים, וצוות. השרת בפתח תקווה הוחלף בקלאסטר ב-AWS. התפרנים מאם המושבות, סוף סוף, משדרגים לתוכנית Business.

ה-Load Balancer של קלאדופלייר מוודא שאם השרת בפרנקפורט נופל, התעבורה עוברת אוטומטית לווירג'יניה, והמשתמשים לא מרגישים כלום. פיצ'ר ה-Argo Smart Routing גם הוא כמו וויז, מחפש מנטר פקקים באינטרנט כדי לאתר נתיב חלופי לפאקטות, מה שמשפר את הביצועים בעוד 30%.

ההתקפות גם השתכללו, ובמקום זבי חוטם הגיעו האקרים שזה המקצוע שלהם. ה-WAF הבסיסי לא מספיק וקלאודפלייר מתחילה לבנות מודלי חסימה מבוססי התנהגות ואנומליות.

השנה 2017 והגיעה זמנה של קלאודפלייר לתת בראש ל-Amazon. היא מהמרת בענק על פלטפורמה למפתחים, עם דגש על פתרונות שיושבים ב-Edge, כלומר ב-Pop, כלומר הכי קרוב שאפשר ללקוח. הימור שלא צלח, לדעתי, אבל נעבור עליו מהר:

קלאודפלייר Workers - פתרון Serverless, שבניגוד ל-AWS Lambda משתמש ב-V8 במקום קונטיינרים. הוא גם מקצר את ה-cold start (זמן ההתעוררות לפונקציה) ל-5 מילישניות במקום שניה עד 10, והוא גם צורך הרבה פחות זיכרון.

קלאודפלייר R2 - פתרון Storage, שבניגוד ל-AWS S3 גובה 0 על הגשה של הקבצים לעולם, וחצי מעלות האחסון. זה no-brainer כלכלי ל-HummuSaaS, שצריכים להגיש מיליוני תמונות פול למשתמשים שלהם כל יום.

קלאודפלייר D1 - פתרון Database, שמבוסס על SQLite עם תמיכה בטרנזקציות וגיבויים, אבל מוגבל ל-10 ג'יגה.

אז כן, לצד CDN ו-WAF, קלאודפלייר מציעה היום Stack של מיחשוב, אחסון, תורים ובסיסי נתונים, אבל הפתרונות האלו רחוקים אלפי hopים מספקי ענן קלאסיים. זה לא שחסרים פיצ'רים, חסרות אבני בניין, חסרה תמיכה, דוקיומנטציה, ניסיון. ואם קלודפלייר מספקת רק חלק מהאבנים, אני צריך להתחיל לשנע דאטה ומיחשוב למקום אחר. אז עכשיו אני multi-cloud. למה לי?

השנה 2018 וקלאודפלייר מתחילה לאסוף מידע גם על אתרים שהיא לא משרתת. היא משיקה את 1.1.1.1, שירות DNS ציבורי שמתרגם כתובות (כמו ynet.co.il) ל-IP שלהם. השירות הזה ניתן בחינם ע"י ספק האינטרנט שלך, אבל בצורה חובבנית ומפוקפקת למדי. ספק שרגיל למכור את השאילתות שלך למפרסמים וחברות ניתוח. קלאודפלייר מציעה DNS resolving על בסיס הרשת המהירה שלה, והתחייבה שלא למכור שאילתות, לשמור אותן "רק" 24 שעות, ולאבטח אותן באמצעות DNS-Over-HTTPS. אחד הדברים הראשונים שאני עושה בכל התקנה, וממליץ גם לכם, הוא להגדיר את 1.1.1.1 במקום או לצד 8.8.8.8, שהוא ה-DNS הציבורי של גוגל.

קדימה בזמן. HummusSaaS היא חברה ציבורית, עם משרדים ברחבי העולם ומאות עובדים מהבית. הם צריכים לעמוד בתקני אבטחה כמו GDPR ו-SOC 2. ה-VPN הישן שלהם איטי, לא מאובטח, וסיוט לתחזוקה.

ב-2020 קלאודפלייר מהמרת על סאסי או Secure Access Service Edge. הימים ימי קורונה, ה-Firewall לא רלוונטי ועבודה מרחוק הופכת לשגרה. זה בדיוק הזמן למודל Zero Trust. אפס אמון. תחשבו על זה כמו בידוק בנתב"ג. את הסלקטורית לא מעניין אם יש לך כרטיס למחלקה ראשונה - כולם עוברים במגנומטר. כל בקשה, מכל משתמש, מכל מכשיר, לכל אפליקציה, מאומתת מחדש.

תחת Cloudflare One היא מספקת את:

קלאודפלייר Zero Trust Network Access, שמחליף למעשה את ה-VPN, מתחבר לספק הזהויות של הארגון (כמו Okta), בודק את זהות המשתמש וגם את "בריאות" המכשיר שלו ורק אם הכל תקין - הגישה, לאפליקציה ספציפית, מאושרת.

קלאודפלייר Secure Web Gateway, שמגן על העובדים מפני האינטרנט, מפלטר את כל התעבורה שיוצאת מהארגון, כולל לאתרים זדוניים, ניסיונות פישינג וגם חוסם העלאה של מידע רגיש.

קלאודפלייר Cloud Access Security Broker, ששומר על חשבונות ה-SaaS שלכם, בעיקר על הגדרות השיתוף, למשל שעובד שעזב לא השאיר תיקייה פתוחה לעולם עם כל פרטי הלקוחות.

כל אלו מתחרים בשוק סייבר צפוף במיוחד. של Palo Alto, סיסקו, Zscaler, Netskope. אבל הרבה מהמתחרים בנו את הפלטפורמות שלהם על ידי רכישת חברות שונות, תוך שהם מדביקים את המוצרים בסופר 7. זה יצר מצב שהתעבורה שלכם צריכה לעבור דרך "קופסה" של Zero Trust ואז קופסה של Secure Gateway ואז קופסה של DLP. כל קפיצה כזו מוסיפה latency, שיהוי. קלאודפלייר בנו הכל על אותה רשת גלובלית, והם מבצעים את כל הבדיקות האלה ב-single-pass inspection, בדאטה סנטר שלהם. זה יעיל יותר, ובעיקר, מהיר יותר.

ואיך זה שפרק שלם לא אמרנו AI? קלאודפלייר עדכנה לאחרונה את תשתיות ה-Edge להריץ מודלי שפה מקומיים, וגם לנטר קריאות למודלי שפה חיצוניים. היא גם השיקה את Vectorize, בסיס נתונים שימושי לאפליקציות RAG.

אבל ההכרזה הכי מסקרנת שלה הייתה סביב Pay per Crawl - אפשרות לבעלי אתרים לגבות תשלום עבור גישה לתוכן, מזחלנים של חברות AI. וואו, שסם אלטמן ישלם על תוכן? איך זה יקרה?

צעד ראשון הוא להכיר את הזחלנים האלה - בפרק 23 תיארתי את הפרוטוקול של קלאודפלייר לזיהוי של בוטים וסוכנים.

צעד שני הוא להציג את הזחלנים האלה למנהלי אתרים, ולתת להם לבחור: לחסום גישה, לאפשר או לאפשר בתשלום.

צעד שלישי הוא לחבור ל-coinbase ולקדם את פרוטוקול x402, שמשתמש ב-status code 402 כדי לבקש תשלום על בסיס HTTP, וליצור settlement לכסף, לרוב stablecoins על רשת בלוקצ'יין ייעודית.

צעד רביעי היה השבוע - ניסיון של קלאודפלייר להשיק stablecoin משלה, Net Money, עם הסימון NET, מהלך שצפוי להיתקל במהמורות היות וקלאודפלייר היא חברה ציבורית, אמנם, אבל לא רשומה כחברה פיננסית.

בכל אופן, הצעד הזה שם את קלאודפלייר במקום טוב בנתב"ג של האינטרנט. כבעלים של תחנת מכס חדשה.

לא הזכרתי את כל הפיצ'רים של קלאודפלייר. היא גם רשם דומיינים, ספק חתימות, שרת מדיה (בדומה ל-Cloudinary הישראלית), פלטפורמת JAMstack (בדומה ל-Vercel ו-Netlify) וגם סניף דואר (בדומה ל-sendgrid ו-Postmark).

לא הזכרתי את כל הפיצ'רים כי קלאודפלייר מתפתחת בכל יום. יש לה ארכיטקטורת רשת ללא מתחרים, תרבות הנדסית מבריקה, חדשנות בלתי פוסקת ומודלים כלכליים שמערערים את השוק. באמצעות כל אלה היא מצליחה לפתור בעיות, וגם לצאת להרפתקאות.

החולשות, או הסכנות, גם הן ברורות. הריכוזיות של כל כך הרבה תשתית אינטרנט קריטית בחברה אחת היא סיכון מערכתי.

קלאודפלייר שימושית למפתח הבודד בתוכנית החינמית, ל-HummuSaaS כסטארטאפ בצמיחה, וגם לחברות enterprise גלובליות.

אבל השאלה האמיתית היא לא אם קלאודפלייר שימושית. השאלה האמיתית היא מה זה אומר על האינטרנט כשחברה אחת היא כל כך שימושית. מה קורה כשהחברה שמגינה על האינטרנט מנקודת כשל יחידה, הופכת בעצמה לנקודת כשל יחידה?

עד הפעם הבאה, תהיו טובים, ותמשיכו להיות סקרנים. יאללה ביי.