Cloudflare

Cloudflare Code Orange: Fail Small - Mejorando la resiliencia tras incidentes globales de configuración

configuration-drift

causa raíz

Timeline del incidente

Noviembre 18, 2025

Incidente global causado por un despliegue fallido de un clasificador de Bot Management (archivo de datos de configuración inválido).

Diciembre 5, 2025

Incidente global causado por un flag de control inválido en el sistema de configuración global.

T+0 (inicio del programa) · Cloudflare Engineering

Inicio del programa interno 'Code Orange: Fail Small' para mejorar la resiliencia, seguridad y fiabilidad.

T+~6 meses · Cloudflare Engineering

Finalización de la fase inicial del programa 'Code Orange'.

Abril 7, 2026 · Cloudflare Engineering

Simulacro de 'break glass' a nivel de ingeniería con más de 200 miembros del equipo.

Análisis técnico

Los incidentes de noviembre y diciembre de 2025 en Cloudflare fueron el resultado de configuraciones inválidas desplegadas en la red, lo que llevó a interrupciones globales. La causa raíz común fue la asunción de que las entradas de configuración siempre serían válidas, sin mecanismos de degradación o validación robustos. Esto se manifestó en un archivo de datos ilegible para Bot Management y un flag de control inválido en el sistema de configuración global, respectivamente.

Las salvaguardas existentes fallaron al no detectar o mitigar el impacto de estos cambios de configuración defectuosos antes de que se propagaran ampliamente. Los despliegues de configuración eran instantáneos o carecían de una mediación de salud consistente, lo que permitía que los errores afectaran a una gran parte de la red antes de ser identificados. La falta de un sistema unificado para despliegues progresivos con monitoreo de salud y rollback automático contribuyó a la magnitud de los incidentes.

El programa 'Code Orange' abordó estas deficiencias introduciendo 'Snapstone' para despliegues de configuración mediada por salud, mejorando los modos de fallo ('fail stale', 'fail open') y segmentando los servicios para reducir el radio de impacto. Además, se revisaron los procedimientos de 'break glass' y se estableció un 'Codex' interno con reglas de ingeniería obligatorias, reforzadas por revisiones de código asistidas por IA, para prevenir la reintroducción de patrones de fallo conocidos. La comunicación durante incidentes también fue un área clave de mejora.

Remediaciones y action items

✓ Implementación de Snapstone para despliegues de configuración mediada por salud, permitiendo rollouts progresivos, monitoreo en tiempo real y rollback automático.
✓ Revisión y mejora de los modos de fallo de los productos críticos ('fail stale', 'fail open') para usar la última configuración válida conocida o degradar la funcionalidad.
✓ Segmentación de servicios y despliegues por cohortes de tráfico (ej. Workers runtime) para limitar el radio de impacto de los fallos.
✓ Desarrollo de vías de autorización de respaldo ('break glass') para 18 servicios clave y realización de simulacros de incidentes a gran escala.
✓ Establecimiento de un equipo de comunicaciones dedicado para incidentes y mejora de la cadencia y claridad de las actualizaciones a clientes.
✓ Creación del 'Codex', un repositorio de estándares de ingeniería obligatorios, con reglas aplicadas mediante revisiones de código asistidas por IA para prevenir regresiones.

Lecciones para arquitectos

→ Implementar despliegues progresivos y mediación de salud para todos los cambios de configuración, no solo para el código.
→ Diseñar sistemas para 'fail stale' o 'fail open' en lugar de 'fail closed' cuando sea posible, priorizando la disponibilidad sobre la funcionalidad completa.
→ Segmentar la infraestructura y los despliegues por cohortes de clientes o tráfico para limitar el 'blast radius' de los fallos.
→ Establecer y practicar regularmente procedimientos de 'break glass' para asegurar el acceso y la capacidad de respuesta durante interrupciones generalizadas.
→ Codificar las lecciones aprendidas de los incidentes en estándares de ingeniería obligatorios y aplicar su cumplimiento de forma automatizada.
→ Validar las entradas de configuración y las dependencias upstream explícitamente, evitando asunciones implícitas de validez.
→ Invertir en la comunicación interna y externa durante los incidentes, con equipos y procesos dedicados.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp