-- 作者:莫問天涯
-- 發布時間:2021/3/2 11:08:03
-- 使用Cloudflare for Teams的互聯網安全性
隨著時間的流逝����,我們使用互聯網的體驗不斷提高�����。它變得更快����,更安全�����,更可靠��。然而����,當你工作的時候����,你可能不得不使用一個不同的,更糟糕的網絡����。雖然互聯網變得越來越好,但企業和員工卻被自己的專用網絡困住了����。 在這些網絡中�����,團隊托管了自己的應用程序�����,存儲了自己的數據�����,并通過在該私有世界周圍建造城堡和護城河來保護所有數據�����。該模型將內部管理的資源隱藏在VPN設備和內部防火墻硬件之后��。對于用戶和管理員來說����,這種體驗都是糟糕的����。盡管互聯網的其余部分變得更高效��,更可靠��,但業務用戶卻陷入了另一個困境��。 這種遺留的方法比團隊想要的更不安全��,速度也更慢��,但是在企業范圍的一段時間內基本上是有效的��。然而,隨著云交付應用程序的興起��,這一切開始土崩瓦解�����。企業遷移到了SaaS版本的軟件����,這些軟件原本是在城堡里的,就在護城河后面�����。用戶需要連接到公共互聯網來完成他們的工作,而攻擊者以復雜的��、不可預測的方式使互聯網變得不安全——這讓每一家企業都進入了一個充滿無窮風險的新世界��。 企業安全又是如何應對的呢����?他們通過嘗試使用舊解決方案來解決新問題,并迫使互聯網進入僅為私有企業網絡設計的設備��。用戶并沒有從SaaS應用程序的速度和可用性中獲益�����,反而不得不通過傳統設備來回傳互聯網綁定流量��,這些設備本就使得專用網絡陷入了困境����。 然后,各團隊看到了他們帶寬費用的增加��。從分辦公室到互聯網的更多流量使得通過昂貴專用鏈接的流量也更多��。管理員現在必須使用自己的硬件管理專用網絡以及用戶的整個互聯網連接。更多的流量需要更多的硬件��,這樣的循環就變得不可持續了�����。 Cloudflare的第一批產品通過讓客戶(從免費用戶到互聯網上一些最大的財產)用Cloudflare的網絡代替該硬件堆棧����,從而保護并提高了這些站點的速度。我們能夠以幾乎任何公司都不可能達到的規模提供產能����。我們在全球200多個城市部署了數據中心,幫助我們接觸到任何地方的用戶�����。 我們建立了一個獨特的網絡����,讓網站可以利用自身的發展來擴展保護其在互聯網上的基礎設施��。但在公司內部��,企業及其員工被自己的私人網絡困住了。 就像我們通過替換盒子(硬件防護措施)來幫助組織保護他們的基礎設施一樣�����,我們也可以為他們的團隊和數據做同樣的事情����。今天,我們宣布了一個新的平臺��,可以應用我們的網絡��,以及我們所學到的一切�����,讓互聯網對團隊來說更快更安全����。 Cloudflare for Teams在不損害用戶性能的前提下保護每個連接,從而保護企業��、設備和數據��。我們為基礎架構提供的速度��、可靠性和保護已擴展到您的團隊在互聯網上所做的一切。 企業安全的傳統世界 每個組織都有三個需要在網絡層上解決的問題: 保護團隊成員對內部管理的應用程序的訪問 保護團隊成員免受互聯網上的威脅 保護同時存在于兩種環境中的公司數據 這些挑戰中的每一個都對任何團隊構成了真正的風險��。如果任何組件被破壞�����,整個業務就會變得脆弱����。 內部管理的應用程序 解決第一個問題,即內部管理的應用程序��,首先要在這些內部資源周圍建立一個邊界����。管理員將應用程序部署在專用網絡上,辦公室外的用戶通過駐留在內部的VPN設備與客戶端VPN代理連接����。 用戶討厭它,他們現在仍然討厭它����,因為它讓他們更難完成工作��。一位銷售團隊成員在乘坐出租車前往拜訪客戶時,不得不在手機上啟動一個VPN客戶端����,只是為了查看會議的細節。遠程工作的工程師必須耐心等待��,因為他們與開發工具的所有連接都要通過一個中央VPN設備回傳��。 管理員和安全團隊對這個模型也有異議�����。一旦用戶連接到私有網絡�����,他們通常能夠訪問多個資源��,而不需要證明他們是經過授權的�����。僅僅因為我能夠進入公寓樓的前門�����,并不意味著我應該能夠進入任何單獨的公寓。但是����,在專用網絡上,如果要在專用網絡的范圍內實施額外的安全性����,則必須進行復雜的微分段。 互聯網上的威脅 第二個挑戰是保護用戶連接到公共互聯網上的SaaS工具和公共云中的應用程序��,這要求安全團隊在用戶離開城堡和護城河時防范已知的威脅和潛在的零日攻擊����。 大多數公司如何回應?它們通過迫使所有流量離開分辦公室或遠程用戶傳回總部��,并使用確保其專用網絡安全的相同硬件����,嘗試在互聯網(至少是用戶訪問的互聯網)周圍建立邊界。例如�����,所有離開亞洲分辦公室的互聯網流量,都將通過歐洲的一個中心位置發送回來��,即使目的地與發送者就在同一條街上��。 組織需要這些連接保持穩定��,并優先考慮語音和視頻等特定功能����,因此它們向運營商付費����,以支持專用的多協議標簽交換(MPLS)鏈接。MPLS通過將標簽轉換應用于流量����,從而提高了性能,下游路由器可以轉發而不需要執行IP查找��,但其成本高得令人咋舌�����。 保護數據 第三個挑戰是保證數據安全��,這成了一個不斷變化的目標����。在企業網絡上的私有工具與SaaS應用程序(例如Salesforce或Office 365)之間遷移和移動數據時�����,組織必須以一致的方式確保數據安全����。 解決方案��?大抵與之前相同��。團隊通過MPLS鏈接將流量拉回到一個可以檢查數據的地方��,增加了更多的延遲����,并引入了更多需要維護的硬件。 發生了什么變化��? 隨著SaaS應用程序成為小企業和《財富》500強企業的新默認應用程序����,內部和外部流量的平衡開始發生變化。現在用戶的大部分工作都是在互聯網上完成的,像Office 365這樣的工具還在不斷被采用����。隨著這些工具變得越來越流行,越來越多的數據離開了護城河����,留存在公共互聯網上����。 用戶行為也發生了變化。用戶離開辦公室�����,在多個設備上工作����,包括托管設備和非托管設備。各團隊的分布更加分散�����,防線被延伸到極限�����。 這導致了傳統方法的失敗 企業安全的傳統方法將城堡和護城河模型推得更遠。然而�����,這種模式不能簡單地擴展到今天用戶在互聯網上的工作方式�����。 內部管理的應用程序 專用網絡使用戶頭疼�����,但是它們也是需要維護的持續而復雜的工作��。VPN需要昂貴的設備����,這些設備必須升級或擴展,并且隨著更多用戶離開辦公室����,該設備必須嘗試擴大規模。 其結果是����,隨著用戶在使用VPN時遇到了困難�����,IT咨詢臺的工單積壓�����,而在公司的另一側,管理員和安全團隊則試圖為此方法貼上“創可貼”��。 互聯網上的威脅 組織最初通過遷移到SaaS工具來節省資金����,但隨著時間的推移,隨著流量的增加和帶寬費用的增加��,最終會花費更多的錢����。 此外,威脅在演變��。發送回總部的流量通過使用硬件網關的靜態掃描和過濾模型進行保護����。用戶仍然容易受到新類型的威脅����,而這些內部盒還無法阻止這些威脅��。 保護數據 在這兩個環境中保持數據安全的成本也在增加����。安全團隊試圖通過內部硬件對分辦公室的流量進行備份,以檢查網絡流量是否存在威脅和數據丟失����,這降低了速度并增加了帶寬費用。 更危險的是��,數據現在永久存在于該城堡和護城河模型之外����。組織現在很容易受到繞過它們的邊界和直接針對SaaS應用程序的攻擊。 Cloudflare將如何解決這些問題��? Cloudflare for Teams包含兩種產品�����,Cloudflare Access和Cloudflare Gateway。 去年��,我們推出了 Access�����,很高興將其引入Cloudflare for Teams�����。我們構建了Cloudflare Access����,以解決企業安全團隊面臨的第一個挑戰:保護內部管理的應用程序��。 Cloudflare Access用Cloudflare的網絡取代了企業VPN����。團隊無需將內部工具放置在專用網絡上,而是將它們部署在任何環境中(包括混合或多云模型)�����,并使用Cloudflare的網絡對其進行一致的保護����。 部署訪問不需要暴露公司防火墻中的新漏洞��。團隊通過一個安全的出站連接——Argo隧道——連接他們的資源�����,Argo隧道在您的基礎設施中運行�����,將應用程序和計算機連接到Cloudflare����。該隧道只向Cloudflare網絡發出出站調用����,組織可以用一條規則替換復雜的防火墻規則:禁用所有入站連接。 然后�����,管理員可以建立規則來決定誰應該進行身份驗證并使用Access保護的工具����。無論這些資源是支持業務運營的虛擬機還是Jira或iManage之類的內部Web應用程序�����,當用戶需要連接時�����,它們都會首先通過Cloudflare��。 當用戶需要連接到Access背后的工具時��,系統會提示他們通過其團隊的SSO進行身份驗證����,并且如果有效��,則可以立即連接到應用程序而不會降低速度����。內部管理的應用程序突然就會給人感覺像是SaaS產品�����,其登錄體驗是無縫的����、熟悉的�����。 在幕后�����,對這些內部工具的每一個請求首先到達Cloudflare�����,我們在其中執行基于身份的策略�����。與傳統的VPN相比����,Access會評估對這些應用程序的身份請求并將其記錄到日志中�����,從而為管理員提供更多的可見性并提供更高的安全性。 全球200個城市的每個Cloudflare數據中心都執行整個身份驗證檢查��。無論用戶在哪里工作����,他們都可以更快地連接,而不必將流量傳回家庭辦公室��。 Access還可以節省管理員的時間����。IT團隊無需配置復雜且容易出錯的網絡策略,而是構建使用其身份提供者實施身份驗證的策略��。安全主管可以控制誰能在一個單一的窗格中訪問內部應用程序��,并可以通過一個來源審核全面的日志����。 去年,我們發布了一些功能����,這些功能擴展了團隊使用Access的方式��,從而可以完全消除其VPN。我們增加了對RDP�����,SSH的支持��,并發布了對替代靜態密鑰的短期證書的支持��。然而����,團隊也使用不在他們控制的基礎設施中運行的應用程序,比如Box和Office 365這樣的SaaS應用程序��。為了解決這個挑戰�����,我們發布了一個新產品�����,Cloudflare Gateway�����。 Cloudflare Gateway通過將首要目的地附近的Cloudflare數據中心作為所有出站流量的中心,來確保團隊的安全�����。該產品將Cloudflare的全球網絡置于用戶和互聯網之間����,而不是通過傳統的運行硬件強制聯接互聯網。 Cloudflare Gateway的第一個功能是通過將世界上最快的DNS解析器與Cloudflare的威脅情報相結合�����,防止用戶陷入網絡釣魚詐騙或惡意軟件站點����。網關解析器可以在幾分鐘內部署到辦公網絡和用戶設備。配置完成后��,Gateway會主動阻止潛在的惡意軟件和網絡釣魚站點����,同時還會根據管理員配置的策略應用內容過濾。 但是�����,威脅可以隱藏在其他健康的主機名中。為了保護用戶免受更高級的威脅����,Gateway將審核URL����,如果啟用了此功能,則可以在數據包危害設備或辦公室網絡之前檢查數據包以發現潛在的攻擊��。然后可以應用相同的深度包檢查來防止意外或惡意的數據導出��。 組織可以在兩種模式中添加網關的高級威脅預防: 通過GRE隧道將辦公網絡連接到Cloudflare安全結構����; 通過將轉發代理客戶端分發到移動設備。 第一個模型是通過Cloudflare Magic Transit交付的��,它將為企業提供一種遷移到Gateway的方式����,而不會打亂它們當前的工作流程。團隊將通過GRE隧道將流量指向Cloudflare��,而不是將辦公室流量回傳到集中的本地硬件�����。一旦出站流量到達Cloudflare,Gateway就可以應用文件類型控制�����,內聯檢查和數據丟失保護�����,而不會影響連接性能��。同時��,Magic Transit保護公司IP網絡免受入站攻擊�����。 當用戶離開辦公室時�����,Gateway的客戶端應用程序將提供相同級別的互聯網安全性��。來自設備的每個連接都將首先通過Cloudflare����,Gateway可以在Cloudflare中應用威脅預防策略�����。Cloudflare還可以在不影響用戶體驗的情況下提供這種安全性��,它基于WireGuard協議等新技術,并集成了Cloudflare Warp(我們流行的個人轉發代理)的功能����。 在這兩種環境中,最常見的攻擊媒介之一仍然是瀏覽器�����。零時差威脅可以通過使用瀏覽器作為執行代碼的工具來破壞設備�����。 現有的瀏覽器隔離解決方案試圖通過以下兩種方法之一解決這一挑戰:1)像素推送和2)DOM重建��。這兩種方法都會導致性能和安全性的折衷�����。像素推送降低了速度,同時也增加了向用戶傳輸會話的成本��。DOM重構嘗試在發送給用戶之前剝離潛在的有害內容����。這種策略依賴于已知的漏洞,并且仍然暴露在隔離工具所要解決的零日威脅之下����。 Cloudflare Gateway將提供始終在線的瀏覽器隔離,不僅可以保護用戶免受零日威脅����,還可以使瀏覽互聯網更快。該解決方案將應用一種專利方法來發送向量命令��,瀏覽器可以在不需要設備上的代理的情況下呈現這些命令��。用戶的瀏覽器會話將在Cloudflare數據中心中運行�����,網關在每個會話結束時銷毀該實例�����,使惡意軟件遠離用戶設備,而不會影響性能��。 在部署后��,遠程瀏覽器會話將在Cloudflare的200個數據中心之一運行����,將用戶連接到一個更快、更安全的互聯網瀏覽模式��,而不會受到傳統方式的影響����。如果您想了解更多關于瀏覽器隔離的方法�����,我建議您閱讀Darren Remington 的關于該主題的博客文章��。 為什么選擇Cloudflare�����? 為了使基礎架構更安全�����,Web屬性更快,Cloudflare建立了世界上最大����,最復雜的網絡之一。Cloudflare for Teams建立在相同的平臺上����,并具有所有獨特的優勢。 快速 安全性應該始終與性能捆綁在一起����。Cloudflare的基礎設施產品提供了更好的保護,同時也提高了速度��。這是可行的�����,因為我們已經建立了網絡��,它的分布和我們擁有的關于網絡的數據允許Cloudflare優化請求和連接�����。 Cloudflare for Teams通過使用相同的網絡和路由優化,為終端用戶帶來了同樣的速度�����。此外��,Cloudflare還構建了行業領先的組件�����,這些組件將成為這個新平臺的功能����。所有這些組件都利用Cloudflare的網絡和規模來提高用戶性能�����。 Gateway的DNS過濾功能基于Cloudflare的1.1.1.1公共DNS解析器��,根據DNSPerf�����,它是世界上最快的解析器。為了保護整個連接����,Cloudflare for Teams將部署與支持Warp相同的技術,Warp是一種新型VPN��,具有比競爭對手更好的評價��。 強大的可擴展性 Cloudflare的30 TBps網絡容量可以擴展到滿足幾乎任何企業的需求�������?蛻艨梢圆辉儋M心購買足夠的硬件來滿足他們組織的需求����,而可以用Cloudflare替換它。 靠近用戶��,無論他們在哪里——毫不夸張 Cloudflare的網絡遍布全球200多個城市和90多個國家�����,無論用戶在哪里工作�����,Cloudflare的安全性和性能都與用戶貼近。 該網絡覆蓋有全球總部的業務的倫敦和紐約等地�����,也包括在世界各地傳統上服務不足的地區�����。 Cloudflare的數據中心運行在能夠百毫秒內連接發達國家99%的互聯網人口的地方�����,也能夠在百毫秒內連接全球94%的互聯網人口��。您的所有最終用戶都應該感到�����,他們在Cloudflare網絡上體驗到的性能就與傳統上只能從公司總部感受到的一樣����。 管理員更輕松 當安全產品令人困惑時����,團隊會犯一些錯誤��,這些錯誤會成為事故�����。Cloudflare的解決方案簡單明了��,易于部署����。這個市場中的大多數安全提供商都是先構建特性��,而從不考慮可用性或實現�����。 Cloudflare Access可以在不到一個小時的時間內完成部署�����;Gateway功能將構建在控制面板和工作流之上��。Cloudflare for Teams為新安全用戶��、設備和數據的產品帶來了保護基礎設施的工具的易用性。 更好的威脅情報 Cloudflare的網絡已經保護了2000多萬個互聯網財產��,每天攔截720億次網絡威脅�����。我們使用從平均每秒保護1100萬個HTTP請求中收集的威脅數據構建產品��。 下一步是什么��? Cloudflare Access現在可用����。您可以立即開始用 Cloudflare的網絡替換您團隊的VPN。Cloudflare Gateway的某些功能現已在Beta版中提供��,隨著時間的推移����,其他功能將陸續添加進去。您可以注冊以立即收到有關Gateway的通知�����。(www.cloudflare.com)����。
|