您的團隊成員可能不僅是在家辦公——他們可能來自不同的地區或國家。遠程辦公的靈活性使員工有機會在他們長大的城鎮或一直想去的國家/地區工作。但是，這種分布方式也帶來了合規性方面的挑戰。

　　當我們在實體辦公室工作時，將數據保存在一個國家內部是很容易的。當然，連接到該辦公室的應用程序的所有用戶都需要處在那個國家內部。遠程辦公改變了這一點，團隊不得不努力尋找一種方法來保持人們在任何地方的工作效率，這常常導致在合規性方面的犧牲。從今天開始，您只需單擊兩次即可在Cloudflare Access中輕松實現基于地理位置的合規性。

　　現在，您可以建立規則，要求員工從某些國家/地區進行連接。您還可以添加阻止團隊成員從其他國家連接的規則。此功能可與配置的任何身份提供程序一起使用，并且不需要用戶或管理員進行其他更改。

　　什么是Cloudflare Access？

　　Cloudflare Access通過對每個請求應用零信任實施來保護應用程序的安全。Access不會信任私有網絡上的任何人，而是在有人嘗試訪問應用程序時檢查其身份。借助Cloudflare的全球網絡，這項檢查將在全球200多個城市的數據中心進行，以免影響性能。

　　在幕后，管理員可以建立規則來決定誰能夠使用Access保護的工具。反過來，當用戶需要連接到這些工具時，系統會提示他們使用其中一個身份提供程序選項進行身份驗證。Cloudflare Access將根據允許的用戶列表檢查其登錄名，如果允許，則放行該請求。

　　Cloudflare Access可以檢查的不僅僅是用戶名。作為一個零信任平臺，Access匯總了有關用戶的多個標識來源，并將它們呈現給管理員。這些標識包括了用戶是否使用相互TLS客戶端證書或硬鍵進行身份驗證。然而，除了多因素身份驗證之外，一些組織還有圍繞區域的合規性要求。

　　允許某些國家的訪問，排除其他國家的連接

　　您可以構建盡可能簡單的Cloudflare Access規則，例如“只允許郵箱地址為@team.com的團隊成員訪問”。但是僅有用戶名和密碼還不夠。根據您的所處位置或需要在何處進行操作，您可以使用Cloudflare Access在身份提供商的工作流之上對特定國家的規則進行分級。

　　在此版本中，您現在可以添加規則，要求用戶從某些國家連接或限制從其他國家登錄。例如，您可以要求用戶僅從葡萄牙連接。

　　您也可以完全排除特定國家/地區。Cloudflare在哥斯達黎加并沒有辦事處，據我所知，我們的很多成員都想去那里。如果團隊成員在那里的海灘度假，而我希望確保他們真的放下工作，我們可以添加一個規則來阻止成員從哥斯達黎加登錄我們的應用程序。

　　某些應用程序可能不需要特定于國家的要求�？梢詫γ總�應用程序逐一配置Cloudflare Access的規則。您可以將有關國家/地區連接的規則添加到包含敏感信息的特定應用程序中，而僅將其他應用程序的訪問規則限制為身份驗證。

　　按國家和用戶審核登錄

　　Cloudflare Access可以捕獲用戶對內部應用程序的每個請求，而無需修改任何代碼。您的組織可以將這些日志導出到第三方存儲或SIEM解決方案，以審核每個用戶請求的來源國家。利用這些數據，您的合規性和安全團隊可以快速審核公司設備的運行位置，而無需部署其他客戶端軟件。

　　與其他零信任規則疊加

　　零信任安全性始于用戶名。管理員建立規則來確定哪些用戶可以訪問特定的應用程序。Cloudflare Access與您團隊的身份提供商甚至多個身份提供商集成在一起，從而在我們網絡的邊緣做出基于用戶名的決策。

　　然而，用戶名不是身份的唯一象征。Cloudflare Access可以在Cloudflare的網絡中整合多種標識源。Access可以使用這些信息在我們的網絡中對身份做出決策——遠早于該請求到達您的基礎設施之前。

　　您可以結合使用用戶規則與雙向TLS請求或設備狀態檢查，甚至可以強制用戶始終使用硬鍵進行登錄。所有這些零信任規則都與Cloudflare的現有安全功能（如我們的WAF和DDoS緩解）內聯運行，從而為每個請求添加安全級別。Cloudflare網絡為您的團隊提供了一個零信任的平臺，可以應用我們收集到的有關請求的所有數據，以決定是否允許該請求。

　　我們今天推出的國家/地區規則成為了該零信任模型的又一層。與其他標識源一樣，您可以組合這些規則來構建適合您的組織的合規性或安全性需求的綜合策略。例如，您可以構建一個規則，只允許用戶在德國連接并使用硬鍵登錄到您的應用程序。

　　如何開始

　　首先，導航到您已添加到Cloudflare Access的應用程序或創建一個新應用程序。Cloudflare Access策略包括基于定義準則的允許、阻止或繞過請求的操作。Access按照用戶界面中從上到下的優先級順序執行策略。

　　在策略內部，您可以使用三種類型的運算符來定義準則：

　　?Include：Include規則功能，例如OR運算符。用戶必須滿足Include規則中的至少一條準則。例如，可以構造一個Include規則，來允許具有@cloudflare.com或user@team.com電子郵件域的任何人進行連接。

　　?Require：Require規則功能類似于AND運算符。用戶必須滿足所有Require規則中的準則。

　　?Exclude：Exclusion規則的功能類似于NOT運算符。用戶必須不符合Exclusion規則中的準則。

　　若要要求用戶從特定國家連接，請創建一個包含您的用戶電子郵件或身份提供商組合的Allow策略。在該策略中，添加一個Require規則并選擇所需的國家。如果要創建多個國家/地區的Require規則，可以將它們添加到Access Group中。

　　然后，您可以將該組添加到Require規則中。

　　下一步是什么？

　　Cloudflare Access是Cloudflare for Teams的一部分——現已正式推出。國家/地區請求規則在所有計劃中均可使用。