Aujourd'hui, nous souhaitons attirer l'attention sur la manière dont Cloudflare permet aux administrateurs de créer des politiques de sécurité tout en utilisant des IP d'origine dédiées. Avec les équipements physiques tels que les traditionnels VPN, pare-feux et passerelles web sécurisées (SWG), il était facile pour les organisations de s'appuyer sur des règles de listes d'autorisations reposant sur des adresses IP d'origine statiques. Ces équipements sont toutefois difficiles à gérer et à faire évoluer, ils présentent des vulnérabilités intrinsèques et peinent à prendre en charge le trafic mondialement distribué des télétravailleurs.
Tout au long de la semaine, nous avons écrit sur la possibilité de se détourner de ces outils traditionnels au profit d'une solution sécurité Zero Trust native d'internet proposée par des services tels que Cloudflare Gateway, notre SWG. Service décisif, nativement intégré avec le reste de notre plus large plateforme Zero Trust, Cloudflare Gateway assure également le filtrage et le routage pour le DNS récursif, l'accès réseau Zero Trust, l'isolation du navigateur distant et le CASB internet, parmi d'autres fonctions.
Néanmoins, nous comprenons que les administrateurs souhaitent conserver l'aspect pratique des adresses IP d'origine tandis que les organisations migreront vers des services de proxy basés sur le cloud. Dans ce blog, nous expliquons comment nous allons proposer des adresses IP dédiées pour le trafic de sortie et présentons quelques fonctionnalités à venir qui donneront aux administrateurs un contrôle accru.
Adresses IP de sortie dédiées Cloudflare
Les adresses IP d'origine restent une méthode populaire pour vérifier que le trafic provient d'une organisation ou d'un utilisateur connu lors de l'accès à des applications ou vers des destinations tierces sur Internet. Lorsque les organisations utilisent Cloudflare comme une passerelle web sécurisée, le trafic utilisateur est assuré via notre réseau global, dans lequel nous appliquons des politiques de filtrage et de routage dans le datacenter le plus proche de l'utilisateur. L'avantage est considérable, en particulier pour les effectifs mondialement répartis ou les utilisateurs itinérants. Les administrateurs n'ont pas besoin de procéder à une mise à jour vers des listes d'adresses IP statiques lorsque les utilisateurs se déplacent, aucun emplacement précis ne devient un goulot d'étranglement pour le trafic utilisateur.
Aujourd'hui, l'adresse IP d'origine d'un trafic transmis par proxy peut être l'une des deux suivantes :
Adresse IP proxy de l'appareil client (WARP) : Cloudflare transfère le trafic provenant de l'utilisateur et mis en proxy en utilisant une adresse IP issue d'une plage d'adresses IP par défaut, partagées par tous les comptes Zero Trust.
Adresse IP de sortie dédiée : Cloudflare fournit aux clients une adresse IP dédiée (IPv4 ou IPv6) ou une plage d'adresses IP géolocalisées sur l'un ou plusieurs emplacements du réseau Cloudflare.
La plage d'IP proxy WARP est la méthode de sortie par défaut pour tous les clients Zero Trust Cloudflare. Il s'agit d'une excellente façon de préserver la confidentialité de votre organisation dans la mesure où le trafic utilisateur est envoyé à l'emplacement du réseau Cloudflare le plus proche afin de garantir les meilleures performances pour l'expérience utilisateur. Toutefois, les politiques de sécurité d'adresses IP d'origine reposant sur cette plage d'adresses IP par défaut ne fournissent pas la granularité dont les administrateurs ont souvent besoin pour filtrer leur trafic utilisateur.
Les adresses IP de sortie dédiées sont utiles dans les cas où l'administrateur souhaite appliquer au trafic une liste d'autorisations reposant sur un identificateur permanent. Comme le nom l'indique, ces adresses IP de sortie dédiées ne sont disponibles que pour le client attribué et ne sont utilisées par aucun autre client acheminant du trafic dans le réseau Cloudflare.
De plus, la location de ces adresses IP de sortie dédiées auprès de Cloudflare évite tous les problèmes de confidentialité qui pourraient survenir lorsqu'elles sont issues des propres plages d'IP de l'organisation. En outre, il n'est ainsi plus nécessaire de protéger les plages d'IP affectées à votre équipement VPN sur site des attaques DDoS ou de quoi que ce soit d'autre.
Les adresses IP de sortie dédiées sont proposées comme service supplémentaire pour n'importe quel client de l'offre Cloudflare Zero Trust à destination des entreprises. Les clients sous contrat peuvent sélectionner les datacenters Cloudflare spécifiques utilisés pour leur sortie dédiée, et tous les clients qui s'inscrivent reçoivent au moins deux adresses IP pour commencer, de sorte que le trafic utilisateur est toujours acheminé vers le datacenter de sortie dédié le plus proche, ce qui est bénéfique pour les performances et la résilience. Enfin, les organisations peuvent faire sortir leur trafic par des adresses IP Cloudflare dédiées via leurs accès directs préférés. Cela comprend le client pour appareil de Cloudflare (WARP), les points de terminaison proxy, les accès directs GRE et IPsec, ou l'un des plus de 1600 emplacements réseau de connexion, y compris des FAI majeurs, des fournisseurs cloud et des entreprises.
Scénarios d'utilisation client actuels
Des clients de Cloudflare du monde entier profitent des adresses IP de sortie dédiées Gateway afin de rationaliser l'accès aux applications. Voici trois des scénarios d'utilisation les plus courants que nous avons observés chez des clients de dimensions et de secteurs variés :
Listes d'autorisation d'accès aux applications provenant de tiers : les utilisateurs ont souvent besoin d'accéder à des outils contrôlés par des fournisseurs, des partenaires et d'autres organisations tierces. Bon nombre d'entre elles continuent d'authentifier le trafic à l'aide des adresses IP d'origine. Grâce aux adresses IP de sortie dédiées, il leur est plus facile de composer avec ces contraintes existantes.
Listes d'autorisation d'accès aux applications SaaS : les adresses IP d'origine sont toujours communément utilisées comme couche de défense en profondeur pour déterminer comment les utilisateurs accèdent aux applications SaaS, en complément d'autres mesures plus avancées telles que l'authentification multifacteur et les vérifications de fournisseur d'identité.
Obsolescence du recours au VPN : la plupart du temps, les VPN hébergés recevront des adresses IP issues de la plage d'adresses IP annoncée au client. Les failles de sécurité, limitations des performances et complexités administratives liées aux VPN sont bien documentées dans notre récent blog Cloudflare. Pour faciliter la migration des clients, les utilisateurs choisiront souvent de conserver les processus en place actuellement avec des listes d'autorisations d'adresses IP.
Ainsi, les administrateurs seront en mesure de garder la commodité de création de politiques, avec des adresses IP connues et fixes, tout en accélérant les performances pour les utilisateurs finaux grâce à l'acheminement du trafic au travers du réseau global de Cloudflare.
Politiques de sortie Zero Trust Cloudflare
Aujourd'hui, nous sommes heureux d'annoncer une méthode à venir qui permettra d'élaborer des politiques plus granulaires à l'aide des adresses IP de sortie dédiées de Cloudflare. Avec le futur générateur de politiques régissant les IP de sortie intégré au tableau de bord Zero Trust de Cloudflare, les administrateurs peuvent spécifier quelle adresse IP doit être utilisée pour le trafic sortant en fonction de divers attributs comme l'identité, l'application, le réseau et la géolocalisation.
Les administrateurs ne souhaitent bien souvent acheminer qu'un certain trafic via des adresses IP de sortie dédiées, qu'il s'agisse du trafic de certaines applications ou de certains groupes d'utilisateurs, ou encore du trafic adressé à certaines destinations Internet. Bientôt, les administrateurs pourront définir leur méthode de sortie préférée en fonction d'une vaste gamme de sélecteurs, comme l'application, la catégorie de contenu, le domaine, le groupe d'utilisateurs et l'adresse IP de destination, parmi bien d'autres. Cette souplesse permet aux organisations d'envisager la sécurité par couche, tout en préservant des performances élevées (souvent via des adresses IP dédiées) vers les destinations les plus essentielles.
Qui plus est, les administrateurs pourront utiliser le générateur de politique de sortie pour géolocaliser le trafic vers n'importe quel pays ou région dans lequel Cloudflare est présent. Cette possibilité de géolocalisation est particulièrement utile dans le cas d'équipes mondialement réparties qui exigent des expériences spécifiques selon les lieux.
Par exemple, un vaste conglomérat d'entreprises du secteur des médias dispose d'équipes marketing qui vérifient la présentation des publicités numériques qui se retrouvent dans des régions multiples. Avant que le partenariat avec Cloudflare ne soit établi, ces équipes appliquaient des processus manuels et fastidieux pour vérifier que l'affichage des publicités était conforme aux attentes sur le marché local. Soit ils demandaient aux collègues sur place de vérifier, soient ils devaient lancer un service VPN pour mettre en proxy le trafic à destination de cette région. Avec une politique de sortie, ces équipes sont en mesure de faire correspondre un domaine test personnalisé pour chaque région et de prévoir la sortie à l'aide de leur adresse IP déployée dans cette région.
Et maintenant ?
Vous pouvez profiter de l'avantage des adresses IP de sortie dédiées Cloudflare en les ajoutant à une offre Enterprise Cloudflare Zero Trust ou en contactant l'équipe responsable de votre compte. Si vous souhaitez être contacté lorsque nous lancerons le générateur de politiques de sortie pour Cloudflare, inscrivez-vous dans la liste d'attente ici.