Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Die Anwendung des Zero Trust-Prinzips durch das IT-Sicherheitsteam von Cloudflare

2022-06-24

Lesezeit: 5 Min.
Dieser Beitrag ist auch auf English, Français, 日本語, 한국어, Español, und 简体中文 verfügbar.

Während der Cloudflare One Week haben wir Leitlinien dazu vorgestellt, wie sich herkömmliche Appliances durch Zero Trust-Dienste ersetzen lassen. Es gehört zu unserer Firmenkultur, unsere eigenen Produkte intern selbst zu erproben, und wir wollen von unseren Erfahrungen bei der Implementierung von Zero Trust berichten.

How Cloudflare Security does Zero Trust

Unsere Entwicklung ist ähnlich verlaufen wie die vieler unserer Kunden. Wir wünschten uns bessere Sicherheitslösungen. Zudem wurde uns die Arbeit durch die von uns genutzten Werkzeuge unnötig erschwert. Deshalb begannen wir, uns nach einer Alternative für schwerfällige Remote-Verbindungen per VPN umzusehen. Bald setzten wir Zero Trust-Lösungen ein, um unsere Angestellten beim Surfen im Web und beim Senden und Empfangen von E-Mails zu schützen. Nun freuen wir uns darauf, unsere SaaS-Sicherheit mit unserem neuen CASB-Produkt aufzurüsten.

Uns ist bewusst, dass der Anstieg in Zero Trust wie eine Herkulesaufgabe erscheinen kann. Deshalb hoffen wir, dass Sie aus unseren Erfahrungen Nutzen ziehen und wir ihnen vermitteln können, in welcher Weise wir von diesem Modell profitiert haben.

Ersatz des VPN: Einführung von Cloudflare Access

2015 wurde bei Cloudflare auf alle intern gehosteten Applikationen über ein hardwarebasiertes VPN zugegriffen. Bereitschaftstechniker fuhren einen Client auf ihrem Laptop hoch, verbanden sich mit dem VPN und meldeten sich bei Grafana an. Dieses Verfahren war frustrierend und langsam.

Viele der von uns entwickelten Produkte sind ein direktes Ergebnis der Herausforderungen, mit denen unser Team konfrontiert war. Das perfekte Beispiel dafür ist Access. Das Produkt ist aus einem internen Projekt im Jahr 2015 hervorgegangen und hat es Angestellten ermöglicht, über unsere Identitätsanbieter auf interne Anwendungen zuzugreifen. Zunächst befand sich hinter Access nur eine einzige Applikation. Ziel war es, schneller auf Cybersicherheitsvorfälle reagieren zu können. Ingenieure, die eine Benachrichtigung auf ihr Handy erhalten haben, konnten einem Link folgen und nach einer Authentifizierung über den Browser direkt Zugang zu dem Benötigten erhalten. Sobald die Leute anfingen, mit dem neuen Authentifizierungsablauf zu arbeiten, wollten sie nirgendwo mehr darauf verzichten. Schließlich forderte unser IT-Sicherheitsteam, dass wir unsere Applikationen hinter Access setzen. Für lange Zeit war der Prozess aber völlig organisch: Unsere Mitarbeitenden machten nur allzu gern davon Gebrauch.

Die Authentifizierung erfolgte an unserer Netzwerk-Edge, sodass wir eine über die ganze Welt verteilte Belegschaft ohne die Latenz eines VPN unterstützen konnten, und dies auf sichere Weise. Darüber hinaus ist unser Team entschlossen, unsere internen Anwendungen mit den sichersten und nutzerfreundlichsten Authentifizierungsmechanismen zu schützen. Die Zwei-Faktor-Authentifizierung zählt dabei zu den wichtigsten Sicherheitskontrollen. Mit Cloudflare Access können wir uns auf die robusten Zwei-Faktor-Authentifizierungsmechanismen unseres Identitätsanbieters verlassen.

Doch nicht alle Zwei-Faktor-Authentifizierungslösungen bieten den gleichen Umfang an Sicherheit. Einige Methoden sind weiterhin anfällig für Man-in-the-Middle-Angriffe. Häufig erbeuten dabei Kriminelle mittels Phishing Einmalpasswörter, um Zugriff auf private Ressourcen zu erhalten. Um dem einen Riegel vorzuschieben, haben wir Sicherheits-Tokens eingeführt, die FIDO2 unterstützen. FIDO2 ist ein auf das Verhindern von Phishing ausgelegtes Authentifikationsprotokoll, das wir als Verbesserung gegenüber den von uns bis dahin verwendeten Soft Tokens ansahen.

Die Einführung von FIDO2 kann zwar unter dem Kompatibilitätsaspekt eine Herausforderung darstellen, aber uns war daran gelegen, das Sicherheitsniveau zu erhöhen. Dank Cloudflare Access konnten wir den Zugang zu unseren Systemen auf FIDO2 beschränken. Die Cloudflare-Mitarbeitenden müssen inzwischen ihre Hardware-Token nutzen, um auf unsere Anwendungen zugreifen zu können. Die Einführung von Access war nicht nur ein enormer Zugewinn im Hinblick auf die Anwenderfreundlichkeit – durch die verpflichtende Verwendung von Sicherheits-Token hat sich auch unser Sicherheitsniveau enorm gesteigert.

Schutz vor Bedrohungen und Datenausschleusung: Gateway und Remote Browser Isolation

Einsatz von DNS in unseren Büros

Einige Jahre später, 2020, hatten die IT-Sicherheitsabteilungen vieler Kunden Mühe, die in ihren Geschäftsstellen eingesetzten Kontrollen auf ihre remote arbeitenden Beschäftigten auszudehnen. Als Antwort darauf haben wir Cloudflare Gateway auf den Markt gebracht, um port- und protokollübergreifenden Schutz vor Malware, Ransomware, Phishing, Command & Control, Schatten-IT und anderen Gefahren aus dem Internet zu bieten. Gateway steuert und filtert Traffic entsprechend der vom Kunden implementierten Richtlinien.

Unsere IT-Sicherheitsabteilung hat mit Gateway begonnen, DNS-Filterung für alle unsere Büros zu implementieren. Weil Gateway auf dem gleichen Netzwerk aufgebaut wurde wie 1.1.1.1, der schnellste DNS-Resolver der Welt, verfügen damit alle aktuellen und zukünftigen Cloudflare-Geschäftsstellen über DNS-Filterung, ohne dass dadurch zusätzliche Latenz entsteht. Jedes Büro verbindet sich mit dem nächstgelegenen Rechenzentrum und ist geschützt.

Einsatz eines sicheren DNS für Remote-Nutzer

Der WARP-Client von Cloudflare ist ebenfalls auf dem DNS-Resolver 1.1.1.1 aufgebaut. Durch ihn lässt sich die Sicherheit und Performance in Büros auf Firmengeräte ausdehnen, die sich an anderen Orten befinden. Nach Implementierung des WARP-Clients verbinden sich Firmengeräte mit dem nächstgelegenen Rechenzentrum. Ihre Daten werden an Cloudflare Gateway weitergeleitet. Da sich die Verbindung zwischen dem Firmengerät und dem Internet ansiedelt, ist sie vollständig abgesichert. Gleichzeitig wird dadurch eine höhere Geschwindigkeit und ein besserer Datenschutz geboten.

Unser Ziel war es, die sichere DNS-Filterung auf unsere Remote-Mitarbeitenden auszuweiten. Zu diesem Zweck haben wir den WARP-Client von Cloudflare auf unseren Endpunktgerätepark angewandt. Die Implementierung erlaubte es unseren IT-Sicherheitsmitarbeitenden, unsere Daten durch Verschlüsselung des DNS-Traffic mit DNS over HTTPS (DoH) besser zu schützen. Cloudflare Gateway unterteilt unterdessen Domains in Kategorien auf Grundlage von Radar, unserer eigenen Plattform für Bedrohungsinformationen. So können wir Domains, die mit einem hohen Risiko verbunden oder verdächtig sind, für Kunden überall auf der Welt sperren.

Hinzufügen von HTTPS-Filterung und Browserisolierung

DNS-Filterung ist ein wertvolles Sicherheitswerkzeug, allerdings können damit nur komplette Domains blockiert werden. Unser Team wünschte sich ein präziseres Instrument, mit dem ausschließlich schädliche URLs und nicht die gesamte Domain gesperrt werden können. Weil es sich bei Cloudflare One um eine integrierte Plattform handelt, war die Implementierung bereits weitgehend abgeschlossen. Wir mussten lediglich das Root-Zertifikat von Cloudflare unseren Endpunkten hinzufügen und anschließend im Zero Trust-Dashboard die HTTP-Filterung aktivieren. Mit diesen wenigen einfachen Schritten waren wir in der Lage, präzisere Blockierkontrollen einzuführen.

Darüber hinaus erlaubt uns die HTTP-Filterung das Implementieren von Mandantenkontrollen. Damit regeln HTTP-Richtlinien von Gateway den Zugang zu firmeneigenen SaaS-Anwendungen. Richtlinien werden mit maßgeschneiderten HTTP-Kopfzeilen eingeführt. Wenn dieser Anfrage-Header vorhanden ist und sich die Anfrage an einen Firmen-Account richtet, wird der Zugang gewährt. Wenn die Anfrage-Kopfzeile vorhanden ist und die Anfrage für einen Account bestimmt ist, der nicht zu dem Unternehmen gehört, etwa für einen persönlichen Account, kann sie blockiert oder in einem isolierten Browser aufgerufen werden.

Nachdem wir den Traffic unserer Nutzer auf DNS- und HTTP-Schicht abgesichert hatten, haben wir Browserisolierung implementiert. Das bedeutet, dass der gesamte Browser-Code in der Cloud auf dem Netzwerk von Cloudflare ausgeführt wird. Dadurch können unsere Endpunkte vor heimtückischen Angriffen und gängigen Methoden zum Ausschleusen von Daten abgeschirmt werden. Einige Produkte für Remote-Browserisolierung steigern die Latenz und sorgen dadurch bei den Nutzern für Irritationen. Die Browserisolierung von Cloudflare nutzt die Leistungsstärke unseres Netzwerks, um unseren Beschäftigten eine reibungslose Erfahrung zu bieten. Auf diese Weise konnten wir unser Sicherheitsniveau steigern, ohne das Nutzererlebnis zu beeinträchtigen.

Verhindern von Phishing-Angriffen durch die Einführung der E-Mail-Sicherheitslösung Area 1

Anfang 2020 haben wir eine Zunahme der von Angestellten gemeldeten Phishing-Versuche registriert. Unser cloudbasierter E-Mail-Anbieter verfügte zwar über einen wirksamen Spamfilter, konnte jedoch ausgefeiltere Angriffe nicht abwehren. Angesichts des wachsenden Umfangs an Phishing-Angriffen und ihrer größeren Häufigkeit hatten wir das Gefühl, es sei an der Zeit, umfassendere Optionen für den Schutz von E-Mails auszuloten.

Das Team achtete bei der Anbieterauswahl auf vier Faktoren: die Fähigkeit, E-Mail-Anhänge zu scannen, die Fähigkeit, mutmaßlich bösartige Links zu analysieren, Schutz vor Kompromittierung von Geschäfts-E-Mails und widerstandsfähige APIs für cloudnative E-Mail-Anbieter. Nachdem wir viele Anbieter getestet hatten, fiel die Wahl für eine Lösung zum Schutz unserer Mitarbeitenden klar auf Area 1. Wir haben die Lösung Anfang 2020 implementiert, und die Ergebnisse sind fantastisch.

In Anbetracht der überwältigend positiven Aufnahme des Produkts und aufgrund unseres Wunschs, unser Zero Trust-Angebot auszubauen, hat Cloudflare im April 2022 Area 1 Email Security übernommen. Wir freuen uns, den gleichen Schutz nun auch unseren Kunden bieten zu können.

Das kommt als Nächstes: erste Schritte mit dem CASB von Cloudflare

Im Februar 2022 hat Cloudflare die Firma Vectrix erworben. Der CASB des Unternehmens bietet Funktionen, die wir Cloudflare One hinzufügen wollten. SaaS-Sicherheit spielt für viele IT-Sicherheitsteams eine zunehmend große Rolle. Immer mehr sensible Firmendaten werden mit SaaS-Tools gespeichert, sodass Fehlkonfigurationen und externe Zugriffe ein erhebliches Risiko darstellen können. Die Absicherung dieser Plattformen kann sich jedoch im Hinblick auf Ressourcen äußerst schwierig gestalten. Manuelle Überprüfungen oder der externe Dateiaustausch sind zeitaufwendig, für viele Kunden aber unabdingbar. Durch einen CASB werden die Mitarbeitenden entlastet, weil sich mit wenigen Klicks durch das Scannen von SaaS-Instanzen und das Aufspüren von Schwachstellen die Einhaltung der Sicherheitsstandards gewährleisten lässt.

Wir möchten sicherstellen, dass wir hinsichtlich der SaaS-Sicherheit Erfolgsmethoden anwenden. Wie viele unserer Kunden verfügen wir über zahlreiche SaaS-Applikationen, die es zu schützen gilt. Wir sind ständig bemüht, unsere Abläufe noch effizienter zu gestalten. Deshalb freuen wir uns, nunn eines unserer neuesten Zero Trust-Produkte einführen zu können.

Ständiges Bemühen um Verbesserung

Bei Cloudflare ist es eine Sache der Ehre, unsere eigenen Produkte zu testen. Unsere IT-Sicherheitsabteilung arbeitet direkt mit dem Produktteam zusammen, um unternehmensintern unsere eigenen Produkte zu erproben. Wir haben das Ziel, ein besseres Internet zu schaffen. Das bedeutet auch, wertvolles Feedback unserer eigenen Mitarbeitenden weiterzugeben. Die Mitglieder unserer IT-Sicherheit sind die ersten Nutzer der Cloudflare-Produkte. Sie helfen also nicht nur, den Schutz des Unternehmens zu erhöhen, sondern tragen auch dazu bei, dass wir für unsere Kunden bessere Produkte entwickeln können.

Wir hoffen, dass Ihnen die Cloudflare One Week gefallen hat. Es hat uns große Freude bereitet, Sie an unseren Erfahrungen teilhaben zu lassen. Eine Übersicht zu der Woche finden Sie auf unserer Schwerpunktseite zu Cloudflare-TV.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
Cloudflare One WeekSicherheitCloudflare Zero TrustZero TrustCloudflare AccessDogfooding (DE)

Folgen auf X

Tim Obezuk|@obezuk
Cloudflare|@cloudflare

Verwandte Beiträge

23. Oktober 2024 um 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...