But should a CDN service like Cloudflare protect against Brute Force Attacks...
TL; DR: non dovrebbe ma potrebbe - ma in caso di Cloudflare esiste effettivamente tale funzionalità.
Un CDN è una rete di contenuti consegna e non una rete di protezione del contenuto. Alcune protezioni contro DDoS sono un valore aggiunto Cloudflare e altre offerte CDN. Ma questa non è la funzionalità principale di CDN. Un CDN simile potrebbe fornire protezione contro alcuni attacchi di forza bruta, ma questa non è nemmeno una funzionalità di CDN di base.
Si noti che anche se viene offerta tale funzionalità, probabilmente coprirà solo gli attacchi comuni e potrebbe non coprire un flusso di attacco specifico contro la propria applicazione. E potrebbe essere una funzione che devi abilitare e regolare in modo esplicito alla tua specifica applicazione in modo che non blocchi accidentalmente il traffico che consideri normale (cioè i falsi positivi). Infatti, Cloudflare offre già un Proteggi il tuo login funzione per questo scopo. E potresti anche aggiungere un limite più preciso, vedi Come utilizzo il limite di frequenza per proteggere dagli attacchi brute-force .