Pero si un servicio CDN como Cloudflare protege contra ataques de fuerza bruta ...
TL; DR: No debería pero podría , pero en el caso de Cloudflare, en realidad existe dicha funcionalidad.
Un CDN es una red de entrega de contenido y no una red de protección de contenido. Cierta protección contra DDoS es un valor agregado que ofrece Cloudflare y otra oferta de CDN. Pero esto no es la funcionalidad básica de CDN. Similar a un CDN podría proporcionar protección contra algunos ataques de fuerza bruta, pero esto tampoco es una funcionalidad central de CDN.
Tenga en cuenta que incluso si se ofrece dicha característica, probablemente solo cubra ataques comunes y es posible que no cubra un flujo de ataque específico posible contra su aplicación. Y podría ser una función que tiene que habilitar explícitamente y posible ajuste a su aplicación específica para que no bloquee accidentalmente el tráfico que considera normal (es decir, falsos positivos). De hecho, Cloudflare ya ofrece un Proteja su inicio de sesión característica para este propósito. Y también podría agregar una limitación de frecuencia más precisa, vea ¿Cómo uso la limitación de frecuencia para protegerme contra ataques de fuerza bruta?