Sagen Sie mir, ob Ihnen das bekannt vorkommt: Jede Verbindung aus dem Firmennetzwerk ist vertrauenswürdig und jede Verbindung von außen nicht. Das ist die Sicherheitsstrategie, die heute von den meisten Unternehmen verwendet wird. Das Problem ist, dass der Angreifer, sobald er die Firewall, das Gateway oder den VPN-Server durchbrochen hat, die diesen Schutzwall bilden, sofortigen, einfachen und zuverlässigen Zugriff auf alles erhält.

CC BY-SA 2.0 Foto von William Warby

Es gibt ein zweites Problem mit dem traditionellen Sicherheitsschutzwallmodell. Entweder müssen sich die Mitarbeiter im Unternehmensnetzwerk befinden (d. h. physisch im Büro) oder Sie müssen ein VPN nutzen, was die Arbeit verlangsamt, da jeder Seitenaufruf zusätzliche Roundtrips zum VPN-Server erfordert. Und nach all dem Aufwand sind die Benutzer im VPN immer noch sehr anfällig für Phishing, Man-in-the-Middle- und SQL-Injection-Angriffe.

Vor einigen Jahren hat Google für die eigenen Mitarbeiter eine Lösung namens BeyondCorp entwickelt. Anstatt seine internen Anwendungen im Intranet zu lassen, machte Google sie im Internet zugänglich. Es gab keine Unterscheidung von innerhalb oder außerhalb des Netzwerks. Das Netzwerk war keine gesicherte Festung, alles war im Internet, und keiner Verbindung wurde getraut. Jeder musste beweisen, dass er der war, für den er sich ausgab.

Cloudflare hat sich schon immer auf die Fahnen geschrieben, die Werkzeuge der Internet-Giganten zu demokratisieren. Heute starten wir Cloudflare Access: eine perimeterlose Zugangskontrolllösung für Cloud- und lokale Anwendungen. Es ist wie BeyondCorp, aber Sie müssen kein Google-Mitarbeiter sein, um es zu nutzen.

Access-blog-post-diagramv2

Wie funktioniert Cloudflare Access?

Access fungiert als einheitlicher Reverse-Proxy, um die Zugriffskontrolle durchzusetzen. Dazu wird bei jeder Anfrage Folgendes sichergestellt:

Authentifizierung: Access bindet standardmäßig die meisten der großen Identitätsanbieter wie Google, Azure Active Directory und Okta ein, sodass Sie Ihren derzeitigen Identitätsanbieter schnell mit Cloudflare verbinden und die bereits erstellten Gruppen und Benutzer für den Zugriff auf Ihre Webanwendungen nutzen können. Sie können zusätzlich TLS mit Client-Authentifizierung verwenden und Verbindungen nur auf Geräte mit einem eindeutigen Client-Zertifikat beschränken. Cloudflare stellt sicher, dass das verbindende Gerät über ein gültiges Client-Zertifikat verfügt, das von der Zertifizierungsstelle des Unternehmens signiert wurde. Dann authentifiziert Cloudflare die Anmeldedaten des Benutzers, um den Zugriff auf eine interne Anwendung zu ermöglichen.

Autorisierung: Mit der Lösung können Sie Anwendungsressourcen ganz einfach dadruch schützen, dass Sie Zugriffsrichtlinien für Gruppen und einzelne Benutzer konfigurieren, die Sie bereits mit Ihren Identitätsanbietern erstellt haben. Beispielsweise können Sie mit Access sicherstellen, dass nur Ihre Mitarbeiter auf Ihre interne Kanban-Tafel zugreifen können, oder das wp-admin Ihrer Wordpress-Seite sperren.

access-policy

Verschlüsselung: Da Cloudflare alle Verbindungen mit HTTPS absichert, ist kein VPN erforderlich.

Für alle IT-Administratoren, die von in der Welt herumreisenden Managern gescholten wurden, wie langsam das VPN das Internet macht, ist Access die perfekte Lösung. Sie können damit den Zugriff auf Anwendungen steuern und überwachen. Dazu werden über das Dashboard und die APIs folgende Funktionen bereitgestellt:

  • Einfache Änderung von Zugriffsrichtlinien
  • Anpassung der Sitzungsdauer
  • Widerruf bestehender Benutzersitzungen
  • Zentralisierte Protokollierung für Audit- und Änderungsprotokolle

Möchten Sie Ihr VPN durch eine noch schnellere Verbindung ersetzen? Versuchen Sie, Access mit Argo zu koppeln. Wenn Sie Access vor einer internen Anwendung verwenden möchten, diese aber nicht für das gesamte Internet öffnen wollen, können Sie Access mit Warp kombinieren. Warp macht Cloudflare zur Internetverbindung Ihrer Anwendung, sodass Sie nicht einmal eine öffentliche IP benötigen. Wenn Sie Access vor einer älteren Anwendung verwenden und diese Anwendung vor ungepatchten Schwachstellen in älterer Software schützen möchten, können Sie einfach mit einem Klick die Web Application Firewall aktivieren. Cloudflare prüft dann Pakete und blockiert diejenigen mit Exploits.

Cloudflare Access ermöglicht es Mitarbeitern, sich mit jedem Gerät, an jedem Ort und in jedem Netzwerk mit Unternehmensanwendungen zu verbinden. Access wird auf Cloudflares globalem Netzwerk mit über 120 Rechenzentren betrieben, die eine angemessene Redundanz und DDoS-Schutz bieten und die Nähe zu den Standorten Ihrer Mitarbeiter und Unternehmenseinheiten gewährleisten.

Erste Schritte:

Die Einrichtung von Access dauert 5–10 Minuten und es kann von bis zu einem Benutzer kostenlos getestet werden (darüber hinaus sind es 3 USD pro Platz und Monat, und Sie können den Vertrieb gern nach Mengenrabatten fragen). Cloudflare Access ist ab sofort für unsere Enterprise-Kunden in vollem Umfang verfügbar und befindet sich in der offenen Beta für unsere Kunden mit kostenlosem, Pro- oder Business-Tarif. Um loszulegen, rufen Sie im Cloudflare-Dashboard die Registerkarte „Access“ auf.