Signes, risques et premières vérifications
Évaluation stratégique - Préparation de la migration - Aide à la décision
Le remplacement de Cloudflare est un processus d'évaluation, pas une mise à niveau automatique.
La plupart des équipes qui se demandent si elles doivent remplacer Cloudflare n'ont pas encore défini ce qui ne va pas. La question provient souvent d'un vague sentiment d'insatisfaction - un ticket d'assistance resté sans réponse, un niveau de prix qui semble élevé ou un problème de conformité soulevé lors d'une réunion. Ce n'est pas une raison suffisante pour migrer.
Cet article vous aide à procéder à une évaluation systématique : ce que Cloudflare gère réellement dans votre pile, quels signaux valent la peine d'être pris au sérieux, lesquels ne le sont pas, et ce que vous devriez vérifier avant de commencer à comparer les alternatives. Une migration peut très bien être la bonne solution, mais cette conclusion doit résulter d'une réelle lacune, et non d'une frustration ou d'une supposition.
La question centrale n'est pas de savoir s'il existe une meilleure option, mais plutôt s'il existe un problème réel qu'un fournisseur différent pourrait résoudre.‘
Ce que Cloudflare gère réellement dans votre pile
Cloudflare est généralement décrit comme un CDN, mais ce terme sous-estime son rôle. Dans un déploiement typique, Cloudflare opère simultanément sur plusieurs couches distinctes : il gère la résolution DNS, agit comme un proxy inverse, fournit du contenu mis en cache via des nœuds périphériques, applique les règles WAF, absorbe le trafic DDoS et gère la terminaison SSL/TLS.
Ces fonctions sont étroitement intégrées. Lorsque vous ajoutez votre domaine à Cloudflare et que vous changez de serveur de noms, la plateforme devient le point d'entrée faisant autorité pour votre trafic web. Le DNS, le routage, la mise en cache et la sécurité passent tous par le même système. Cette architecture est synonyme de simplicité opérationnelle - un seul endroit pour gérer la majeure partie de votre configuration périphérique - mais elle crée également un risque de concentration.
Il est essentiel de comprendre cela avant toute discussion sur la migration. Remplacer Cloudflare n'équivaut pas à échanger un seul outil. En fonction de votre utilisation, vous pouvez remplacer tout ou partie des éléments suivants :
- Gestion DNS et serveur de noms faisant autorité
- Proxy inverse et routage des demandes
- CDN avec mise en cache globale
- Pare-feu pour applications web (WAF) avec des ensembles de règles gérées et personnalisées
- Atténuation des attaques DDoS aux niveaux 3, 4 et 7
- Fourniture et résiliation de certificats SSL/TLS
- Gestion des robots et contrôle d'accès
Une comparaison de fournisseurs qui se concentre uniquement sur les performances du CDN ou sur le prix par To de bande passante risque de ne pas tenir compte de plusieurs de ces couches. Tout plan de migration crédible doit tenir compte de toutes les fonctions actuellement utilisées.
Signes indiquant que Cloudflare n'est peut-être plus la bonne solution
Les signaux suivants méritent d'être considérés comme de véritables déclencheurs de migration - non pas parce qu'ils justifient automatiquement un changement, mais parce qu'ils indiquent une inadéquation structurelle que des changements de configuration seuls ne suffiront probablement pas à corriger.
La tarification ne correspond plus à vos habitudes d'utilisation
Les niveaux gratuit et pro de Cloudflare sont adaptés à une gamme spécifique de profils d'utilisation. Lorsque le volume de trafic augmente de manière significative, lorsque vous avez besoin de fonctionnalités WAF avancées, ou lorsque vous avez besoin de fonctionnalités telles que des règles de limitation de taux personnalisées ou des analyses détaillées, le coût grimpe en flèche. Si les fonctionnalités dont vous avez réellement besoin sont bloquées derrière la tarification Entreprise, et que votre utilisation ne justifie pas ce niveau, le modèle de tarification lui-même devient une contrainte.
Il s'agit d'un véritable déclencheur de migration lorsque l'écart entre ce que vous payez et ce que vous utilisez réellement est persistant et croissant - et non pas lorsqu'il y a un pic occasionnel dans une catégorie mesurée.
Le contrôle opérationnel est insuffisant pour répondre à vos besoins
L'architecture de Cloudflare est conçue pour la simplicité et le contrôle géré. Pour la plupart des cas d'utilisation, c'est un avantage. Pour les équipes ayant des exigences spécifiques - logique granulaire de purge du cache, logique de bordure personnalisée qui va au-delà des capacités actuelles de Workers, ou inspection détaillée des demandes à l'origine - la plateforme peut sembler contraignante.
La distinction à faire ici est entre le besoin de plus de contrôle et le fait de ne pas avoir exploré les options existantes. Les Cloudflare Workers, les Cache Rules et les Transform Rules couvrent un large éventail de scénarios de personnalisation. Si vos besoins ne sont pas couverts par ces outils après une évaluation minutieuse, il s'agit d'un véritable signal. Si vous ne les avez pas essayés, ce n'est pas le cas.
Les exigences en matière de conformité, de localisation des données ou de respect de la vie privée ne sont pas respectées.
Cloudflare traite les métadonnées des requêtes - y compris les adresses IP, les en-têtes et les données temporelles - dans des nœuds périphériques répartis dans le monde entier, y compris aux États-Unis. Pour les organisations soumises à des exigences strictes en matière de résidence des données, ou opérant dans des secteurs où le lieu de traitement des données doit être défini contractuellement, cette architecture peut créer des frictions en matière de conformité.
Cloudflare propose des produits de localisation des données, principalement dans le cadre de son niveau Enterprise. La question de savoir si ces produits répondent à vos besoins spécifiques dépend de votre juridiction, de votre secteur et de la manière dont votre équipe juridique interprète les règles applicables. Il s'agit d'un domaine où l'évaluation nécessite une contribution directe des fonctions juridiques ou de conformité, et pas seulement une évaluation technique.
Pour les équipes dans cette situation, l'examen Alternatives européennes à Cloudflare avec des engagements explicites de l'UE en matière d'hébergement et de traitement est une étape logique.
Les performances ne correspondent pas à la géographie de votre trafic
Le réseau périphérique de Cloudflare est étendu, mais la densité et la qualité du routage varient d'une région à l'autre. Pour les produits desservant des utilisateurs dans des zones géographiques spécifiques - certaines parties de l'Asie du Sud-Est, l'Afrique subsaharienne ou des régions avec des accords de peering spécifiques avec les FAI - les performances réelles peuvent ne pas correspondre à ce que l'empreinte de la périphérie mondiale implique sur le papier.
Cet aspect est mesurable. Si les données de surveillance des utilisateurs réels (RUM) ou la surveillance synthétique de vos principales régions d'utilisation montrent des taux de latence ou d'absence de cache constamment élevés qui ne s'améliorent pas avec les changements de configuration, il se peut que la topologie du réseau ne convienne pas à votre public. Il s'agit là d'un signal de migration légitime.
Les incidents opérationnels ne sont pas résolus et se répètent
Cloudflare est une plateforme d'infrastructure partagée. Ses pannes, lorsqu'elles se produisent, affectent simultanément un grand nombre de clients. Les problèmes persistants et spécifiques à votre configuration sont plus pertinents pour la décision de migration : Les règles WAF qui génèrent des faux positifs à un rythme qui perturbe le trafic légitime, les erreurs SSL liées au provisionnement des certificats qui se répètent sans résolution claire, ou le comportement de propagation DNS qui entre en conflit avec votre pipeline de déploiement.
Les incidents isolés ne sont pas des déclencheurs de migration. Une série de problèmes non résolus - en particulier lorsque le canal d'assistance n'a pas permis de trouver une solution - l'est.
Quand remplacer Cloudflare n'a pas de sens
Toutes les frustrations liées à Cloudflare ne justifient pas une migration. Plusieurs plaintes courantes s'avèrent être des problèmes de configuration et non de fournisseur.
Il s'agit d'une mauvaise configuration et non d'une limitation de la plate-forme.
Une part importante des problèmes signalés par Cloudflare - invalidation excessive du cache, règles WAF bloquant les appels API légitimes, erreurs de liaison SSL - sont le résultat d'une configuration incorrecte plutôt que de limites de la plateforme. Avant de considérer l'un de ces problèmes comme un signal de migration, il convient de vérifier la configuration par rapport à la documentation actuelle et, le cas échéant, par rapport à l'assistance de Cloudflare ou aux ressources de la communauté.
La migration d'une installation mal configurée ne garantit pas la disparition du problème. Il réapparaît souvent dans le nouvel environnement, avec la complexité supplémentaire d'une plate-forme inconnue.
Vous n'utilisez pas les fonctionnalités dont vous disposez déjà
De nombreuses organisations utilisant le niveau Pro ou Business de Cloudflare n'utilisent qu'une fraction de ce que le plan inclut. Si la raison invoquée pour envisager une migration est une fonctionnalité manquante, il convient de vérifier si cette fonctionnalité existe dans votre niveau actuel et n'est tout simplement pas configurée.
Les travailleurs, les règles de cache, le mode de lutte contre les bots et le journal des événements du pare-feu sont généralement sous-utilisés, même dans les plans payants. Une migration motivée par la perception que Cloudflare manque de quelque chose que vous pourriez déjà utiliser n'est pas une base solide pour le changement.
La motivation est principalement basée sur la réputation ou la perception des prix
Le profil public de Cloudflare - notamment ses décisions en matière de modération de contenu et son rôle dans l'infrastructure web - suscite des critiques. Certaines de ces critiques sont légitimes et peuvent entrer en ligne de compte dans une décision fondée sur des valeurs. Mais la réputation seule n'est pas un déclencheur de migration technique ou opérationnelle, et elle devrait être clairement séparée de l'évaluation fonctionnelle.
De même, l'impression que Cloudflare est cher par rapport à d'autres solutions n'est pas toujours exacte si l'on tient compte du coût total du remplacement de son ensemble de fonctions. Un fournisseur qui offre une bande passante CDN moins chère peut ne pas inclure le WAF, la protection DDoS ou le DNS à un niveau comparable.
Le risque de migration serait supérieur au bénéfice probable
Les migrations DNS comportent un risque réel. La traduction des règles WAF entre les plates-formes est rarement un processus univoque. La configuration SSL/TLS à l'origine doit être ajustée. Si votre trafic est élevé, si vos règles WAF sont complexes ou si vos procédures de retour en arrière sont limitées, le coût opérationnel de la migration peut être supérieur au coût du problème que vous essayez de résoudre. Ce calcul doit être explicite et non implicite.
Déclencheur de migration ou problème de configuration : un guide de classification
Le tableau suivant est un point de départ pour classer les questions qui motivent votre évaluation. Il ne remplace pas un audit complet, mais il permet de poser les bonnes questions.
| Problème observé | Fonction affectée | Pertinence de la migration | Ce qu'il faut vérifier en premier |
|---|---|---|---|
| Le WAF bloque le trafic légitime | WAF / Sécurité | Faible - probablement un problème de configuration | Examiner les exceptions aux règles et la sensibilité des ensembles de règles gérés |
| Erreurs SSL sur un domaine personnalisé | SSL/TLS | Faible - probablement un problème de configuration | Vérifier le mode SSL de l'origine et la chaîne de certificats |
| Temps de latence élevé dans une région spécifique | Réseau CDN / Edge | Moyen - nécessite les données de l'UMR | Vérifier la couverture des nœuds de bordure et le taux de réussite du cache par région |
| Fonctionnalités avancées du WAF verrouillées derrière Enterprise | WAF / Tarification | Élevé si la fonction est essentielle | Confirmer quelles règles sont réellement nécessaires ; vérifier les alternatives |
| La résidence des données n'est pas garantie contractuellement | Traitement des données | Élevé pour les organismes réglementés | Examinez d'abord les options de DPA et de localisation des données de Cloudflare. |
| L'analyse ou la journalisation sont trop limitées | Observabilité | Moyen | Vérifiez les logs de Cloudflare ou Logpush avant de comparer les fournisseurs. |
| Le niveau de tarification ne correspond plus à l'utilisation | Tarification / Modèle de plan | Élevé si l'écart est persistant | Modélisation du coût réel de la solution de remplacement, y compris toutes les fonctions remplacées |
| Problèmes récurrents d'assistance non résolus | Opérationnel | Moyen à élevé | Documenter le schéma du problème ; escalader le problème avant de le traiter comme un élément déclencheur. |
| Absence de capacité logique spécifique | Calcul des bords | Moyen | Évaluer les travailleurs et transformer les règles avant de décider |
Ce qu'il faut vérifier avant de comparer les alternatives
Si vous avez identifié un véritable déclencheur de migration, l'étape suivante consiste à réaliser un audit interne avant d'évaluer un fournisseur. Cet audit réduit le risque de reporter une dette de configuration et vous donne une idée plus claire de ce que la plate-forme d'accueil doit prendre en charge.
Dépendances DNS
Cartographiez chaque type d'enregistrement dans votre configuration DNS Cloudflare actuelle, y compris les enregistrements A, AAAA, CNAME, MX, TXT, SRV et tous les enregistrements proxy. Notez quels enregistrements sont dans le nuage orange (proxy) ou dans le nuage gris (DNS uniquement). Les enregistrements proxy nécessitent que la plateforme réceptrice réplique la fonction reverse proxy de Cloudflare, et pas seulement la résolution DNS. Il s'agit d'une différence de portée significative.
Règles WAF et événements de pare-feu
Exportez vos règles personnalisées actuelles du WAF et examinez les journaux des événements du pare-feu pour comprendre quelles règles se déclenchent activement et à quel volume. Les règles qui sont configurées mais qui ne se déclenchent jamais n'ont peut-être pas besoin d'être migrées. Les règles qui se déclenchent fréquemment et correctement sont essentielles à préserver. Il n'y a pas deux plateformes WAF qui utilisent la même syntaxe de règles, donc l'exportation directe est rarement possible - une traduction sera nécessaire.
Configuration du cache et logique de purge
Documentez vos règles de cache actuelles, vos paramètres de TTL et les conditions de contournement du cache. Si votre application repose sur la purge programmatique du cache via l'API de Cloudflare, vérifiez que la plateforme réceptrice prend en charge un mécanisme équivalent avec une structure d'API comparable. Les différences dans la construction des clés de cache entre les fournisseurs peuvent produire un comportement inattendu après la migration.
Mode SSL/TLS et configuration de l'origine
Cloudflare propose quatre modes SSL/TLS : Désactivé, Flexible, Complet et Complet (strict). Si vous utilisez le mode Flexible - dans lequel Cloudflare gère HTTPS en externe mais se connecte à votre serveur d'origine via HTTP - votre serveur d'origine n'a probablement pas de certificat valide installé. La migration hors de Cloudflare en mode Flexible nécessite le provisionnement de certificats au niveau du serveur d'origine avant le basculement.
Origine Exposition IP
Si l'adresse IP de votre serveur d'origine n'a pas été exposée publiquement, le proxy de Cloudflare l'a protégée. Pendant et après la migration, cette protection est transférée au nouveau fournisseur. Si l'IP d'origine a été exposée à un moment donné dans le passé - par exemple lors de la configuration du DNS - les attaquants peuvent déjà l'avoir. Un pare-feu d'origine ou une liste d'autorisation d'IP doit être mis en place quel que soit le fournisseur de proxy que vous utilisez.
Faisabilité du retour en arrière
La propagation DNS s'effectue généralement en quelques minutes ou quelques heures avec un TTL faible, mais peut prendre plus de temps dans certains environnements de résolveur. Avant la migration, abaissez votre TTL à la valeur minimale autorisée (souvent de 60 à 120 secondes) au moins 24 heures à l'avance. Confirmez votre processus de retour en arrière : en cas de panne chez le nouveau fournisseur, à quelle vitesse pouvez-vous repointer le DNS et dans quel état se trouveront vos règles WAF si vous revenez ?
Suivi de l'état de préparation
Ne migrez pas sans avoir mis en place une surveillance de la résolution DNS, de la validité SSL, des taux de déclenchement du WAF et des taux d'erreur d'origine. De nombreux problèmes de migration sont subtils - une règle de cache qui fonctionne différemment, une règle WAF qui ne se déclenche plus - et ne provoqueront pas de panne évidente. Sans surveillance, vous risquez de ne pas détecter le problème avant qu'il n'affecte les utilisateurs à grande échelle.
Évaluation au niveau des fonctions : ce que chaque couche exige
Une comparaison des fournisseurs au niveau de la marque - Cloudflare contre le fournisseur X - est rarement suffisante. La complexité du remplacement varie considérablement selon la fonction, et tous les fournisseurs n'offrent pas une parité totale sur toutes les couches.
CDN
Le remplacement du CDN est généralement la fonction la plus simple à évaluer. Les variables clés sont la densité des nœuds de périphérie dans vos principales régions d'utilisation, la cohérence du taux de réussite du cache et la prise en charge de vos protocoles de trafic (HTTP/2, HTTP/3, WebSocket). Le prix par To de bande passante est un indicateur utile, mais il doit être lu en parallèle avec la tarification de la sortie pour les manques de cache et les demandes d'origine. De nombreux fournisseurs proposent des prix CDN compétitifs tout en facturant différemment les services adjacents.
DNS
Le remplacement du DNS nécessite de prêter attention à la vitesse de propagation, à la prise en charge du DNSSEC et au niveau d'accès à l'API pour la gestion programmatique des enregistrements. Si vous migrez du DNS proxié de Cloudflare, le nouveau fournisseur doit également reproduire la fonction de reverse proxy - les fournisseurs de DNS purs ne rempliront pas ce rôle. Certaines équipes séparent délibérément ces préoccupations, en utilisant un fournisseur pour le DNS faisant autorité et un autre pour le reverse proxy.
WAF
Le WAF est la couche la plus complexe à migrer. Les ensembles de règles gérées diffèrent d'un fournisseur à l'autre en termes de couverture, de taux de faux positifs et de cadence de mise à jour. Les règles personnalisées nécessitent une traduction manuelle. Si votre configuration WAF actuelle est étendue et adaptée, prévoyez plusieurs semaines de tests dans votre calendrier de migration. L'exécution du nouveau WAF en mode journal seul avant d'appliquer les règles est une pratique standard qui réduit considérablement le risque de basculement.
Protection DDoS
L'atténuation des attaques DDoS est l'un des points forts de Cloudflare, en particulier pour les attaques volumétriques. Lors de l'évaluation des alternatives, faites la distinction entre les fournisseurs qui offrent une infrastructure DDoS dédiée et ceux qui proposent le scrubbing en tant que service complémentaire optionnel. Pour les sites ou les applications qui sont des cibles actives de DDoS, cette capacité devrait être fortement pondérée dans l'évaluation.
Une fois que vous avez défini vos besoins à ce niveau de détail, une comparaison structurée des fournisseurs devient plus utile. Les Aperçu des alternatives Cloudflare sur EuroBoxx fournit un point de départ pour cette comparaison, en mettant l'accent sur les fournisseurs européens et les fournisseurs soucieux de la protection de la vie privée.
Erreurs d'évaluation courantes
Comparer les fournisseurs au niveau de la marque plutôt qu'au niveau de la fonction
Les comparaisons au niveau de la marque - ‘Cloudflare contre BunnyCDN’ ou ‘Cloudflare contre Fastly’ - mettent généralement en évidence un sous-ensemble de caractéristiques qui favorisent l'une ou l'autre sans correspondre à votre utilisation réelle. La seule comparaison qui compte est de savoir si le fournisseur X peut remplacer les fonctions spécifiques de Cloudflare que vous utilisez actuellement, à un niveau de qualité comparable, pour un coût qui rend la migration intéressante.
Traiter toutes les alternatives comme interchangeables
Le marché des services CDN, DNS, WAF et DDoS n'est pas uniforme. Certains fournisseurs se spécialisent dans le CDN avec un WAF limité. Certains proposent une forte résidence des données en Europe mais une capacité DDoS limitée. D'autres sont axés sur les développeurs, avec un accès étendu aux API mais des règles de sécurité gérées limitées. Aucune alternative ne peut remplacer l'ensemble des fonctionnalités de Cloudflare, et toute évaluation qui les traiterait comme des équivalents produirait des conclusions peu fiables.
Changement de fournisseur pour des raisons vagues
‘Nous voulons plus de contrôle’, ‘Cloudflare est trop gros’ et ‘nous avons entendu dire qu'il existait de meilleures options’ ne sont pas des déclencheurs de migration. Ce sont des points de départ pour une conversation qui doit finalement aboutir à un écart d'exigence spécifique et vérifiable. Si cet écart ne peut être formulé avec précision, la décision de migration n'est pas prête à être prise.
Ignorer les frais généraux de migration
Le coût opérationnel de la migration - tests, traduction des règles WAF, basculement DNS, mise en place de la surveillance, formation des équipes - est réel et souvent sous-estimé. Une migration qui permet d'économiser un montant modéré sur les frais mensuels, mais qui nécessite deux semaines de temps d'ingénierie et produit une configuration plus risquée que celle que vous avez quittée, n'est pas nécessairement une bonne affaire.
Quand les alternatives deviennent pertinentes
Une fois que vous avez réalisé un audit au niveau des fonctions, confirmé que votre problème est un véritable déclencheur de migration plutôt qu'un problème de configuration, et dressé votre liste de contrôle pré-migration, vous êtes en mesure d'évaluer les fournisseurs avec une spécificité utile.
Les critères d'évaluation diffèrent selon le cas d'utilisation. Une plateforme média qui optimise les coûts du CDN sur les marchés européens n'a pas les mêmes exigences qu'une application SaaS qui a besoin d'un contrôle granulaire du WAF et d'un traitement des données garanti au niveau de l'UE. Il n'existe pas de classement universel.
Pour les équipes qui recherchent des options axées sur la protection de la vie privée ou hébergées en Europe, comparer les alternatives Cloudflare sur EuroBoxx offre un point de départ structuré qui reflète le paysage actuel des fournisseurs européens. Il s'agit d'une contribution structurée à votre évaluation et non d'un substitut à celle-ci.
Conclusion : qu'est-ce qui fait qu'un commutateur est raisonnable ?
Un remplacement de Cloudflare est justifié lorsque trois conditions sont réunies. Il existe un écart spécifique et vérifiable entre ce que Cloudflare fournit et ce que votre situation exige. Cet écart ne peut pas être comblé par des changements de configuration ou des fonctionnalités sous-utilisées auxquelles vous avez déjà accès. Et le risque de migration - en termes de complexité opérationnelle, de coût et de temps - est proportionnel à l'avantage.
Si ces trois conditions sont réunies, la migration mérite d'être poursuivie avec un plan structuré. Si une ou plusieurs conditions ne sont pas claires ou remplies, la voie la plus sûre consiste généralement à résoudre le problème de configuration ou à négocier l'accord commercial avant de conclure que c'est la plateforme elle-même qui pose problème.
L'objectif de cette évaluation n'est pas de confirmer une migration, mais de déterminer si une migration est la bonne réponse. Cette distinction est importante.
FAQ
Quand Cloudflare est-il trop cher ?
Cloudflare pose un problème de tarification lorsque les fonctionnalités dont vous avez réellement besoin ne sont disponibles qu'au niveau Entreprise et que votre utilisation ne justifie pas ce coût. Les niveaux gratuit et Pro sont bien adaptés aux sites à faible ou moyen trafic ayant des besoins de sécurité standard. Si l'on vous vend des niveaux supérieurs pour des fonctions que vous utilisez beaucoup, modélisez le coût total d'une alternative qui inclut toutes les fonctions remplacées - CDN, WAF, DNS et DDoS - avant de conclure que l'alternative est moins chère.
Puis-je remplacer uniquement le WAF sans tout migrer ?
En principe, oui - vous pouvez faire pointer le DNS de Cloudflare vers une origine protégée par un WAF séparé. En pratique, cela crée une complexité de routage et de latence. Le WAF de Cloudflare opère en ligne à la périphérie ; un WAF séparé se situerait typiquement à l'origine ou comme un saut de proxy supplémentaire. La viabilité de cette architecture dépend de votre tolérance à la latence et de la capacité de votre équipe à gérer simultanément deux systèmes en périphérie.
Cloudflare est-il conforme au GDPR ?
Cloudflare fournit des accords de traitement des données et participe aux mécanismes du cadre de confidentialité des données UE-États-Unis. La question de savoir si ces accords satisfont pleinement vos obligations en matière de GDPR dépend de votre cas d'utilisation spécifique, de la sensibilité des données concernées et de la manière dont votre équipe juridique interprète les directives réglementaires actuelles. Il s'agit d'une question qui relève de votre fonction juridique ou de votre fonction de conformité, et non d'une détermination technique. Les produits de localisation des données de Cloudflare (disponibles au niveau Entreprise) permettent de mieux contrôler l'endroit où les données sont traitées, mais l'adéquation de ces contrôles doit être évaluée par une personne ayant l'autorité légale pour prendre cette décision.
Combien de temps dure généralement une migration Cloudflare ?
Une migration simple - configuration WAF simple, configuration CDN standard, faible trafic - peut être réalisée en quelques jours avec des tests minutieux. Une migration complexe - règles WAF personnalisées étendues, trafic élevé, origines multiples, logique basée sur les travailleurs - peut prendre plusieurs semaines si l'on tient compte des tests, des périodes d'exécution en parallèle et de la mise au point du WAF sur la nouvelle plateforme. La phase de traduction du WAF est généralement celle qui prend le plus de temps.
Quel est le risque de migration le plus important que la plupart des équipes sous-estiment ?
Divergence des règles WAF. Les équipes supposent souvent que les règles WAF se comporteront de manière équivalente sur une plateforme différente, ou qu'un ensemble de règles gérées sur le nouveau fournisseur couvre les mêmes menaces. En pratique, la sémantique des règles diffère, les taux de faux positifs varient et certaines menaces couvertes par les règles gérées par Cloudflare peuvent nécessiter une configuration personnalisée sur une plateforme différente. L'exécution du nouveau WAF en mode journal seul pendant une période significative avant d'appliquer les règles est le moyen le plus fiable de mettre en évidence ces différences avant qu'elles n'affectent les utilisateurs.
