En janvier 2020, nous avons lancé Cloudflare for Teams, une nouvelle solution pour protéger les organisations et leurs employés à l'échelle mondiale, sans sacrifier les performances. Cloudflare for Teams s'articule autour de deux produits principaux : Cloudflare Access et Cloudflare Gateway.
En mars 2020, Cloudflare a lancé la première fonctionnalité de Cloudflare Gateway, une solution de filtrage DNS sécurisé, optimisée par le résolveur DNS le plus rapide au monde. La fonction de filtrage DNS de Gateway assure la sécurité des utilisateurs en bloquant les requêtes DNS vers des destinations potentiellement dangereuses associées à des menaces telles que les logiciels malveillants, le phishing ou les rançongiciels. Les organisations pouvaient modifier les paramètres de routeur dans leur bureau et, en cinq minutes environ, assurer la sécurité de toute l'équipe.
Peu de temps après ce lancement, des sociétés ont commencé à abandonner leurs bureaux internes. Dans un premier temps, les utilisateurs se sont connectés depuis des bureaux improvisés à leur domicile, qui sont devenus permanents ces derniers mois. La protection des utilisateurs et des données est désormais passée d'un paramétrage unique au niveau du bureau de l'entreprise à la gestion des utilisateurs et des appareils dans des centaines voire des milliers d'emplacements.
Les menaces de sécurité sur Internet ont également évolué. Les campagnes de phishing et les attaques de logiciels malveillants ont augmenté au cours des six derniers mois. La détection de ces types d'attaques nécessite une recherche plus approfondie qu'une simple requête DNS.
À compter d'aujourd'hui, nous sommes heureux d'annoncer deux fonctionnalités de Cloudflare Gateway qui répondent à ces nouveaux défis. Tout d'abord, Cloudflare Gateway s'intègre désormais au client de bureau Cloudflare WARP. Nous avons élaboré WARP autour de WireGuard, un protocole VPN moderne et efficace qui est beaucoup plus efficace et flexible que les anciens protocoles VPN.
Ensuite, Cloudflare Gateway devient une passerelle web sécurisée et effectue un filtrage au niveau de la couche 7 pour inspecter le trafic à la recherche de menaces qui se cachent sous la surface. Tout comme notre filtrage DNS et notre résolveur 1.1.1.1, les deux fonctionnalités sont optimisées par tout ce que nous avons appris en offrant Cloudflare WARP à des millions d'utilisateurs dans le monde.
Sécuriser la main-d'œuvre distribuée
Nos clients sont en grande partie des travailleurs répartis qui se répartissent entre les bureaux de l'entreprise et leur domicile. En raison de la pandémie, il s'agit de leur environnement opérationnel dans un avenir prévisible.
Le fait que les utilisateurs ne soient pas à des emplacements fixes et connus (avec des télétravailleurs autorisés par exception) a créé des défis pour le personnel informatique déjà surchargé :
- Les VPN constituent une approche de type « tout ou rien » pour fournir un accès à distance aux applications internes. Nous y remédions avec Cloudflare Access et notre approche de la sécurité Zero Trust pour les applications internes et désormais également les applications SaaS.
- Les VPN sont lents et coûteux. Cependant, le backhaul du trafic vers une frontière de sécurité centralisée a été l'approche principale pour appliquer des règles relatives au contenu d'entreprise et à la sécurité en vue de protéger les utilisateurs itinérants. Cloudflare Gateway a été créé pour résoudre ce problème rencontré par nos clients.
Jusqu'à aujourd'hui, Cloudflare Gateway offrait une sécurité à nos clients grâce au filtrage DNS. Bien qu'offrant un niveau de sécurité et de contrôle de contenu indépendant des applications, cela laisse encore nos clients aux prises avec quelques difficultés :
- Les clients doivent enregistrer l'adresse IP source de tous les emplacements qui envoient des requêtes DNS à Gateway, afin que le trafic de leur organisation puisse être identifié pour l'application des politiques. Cette tâche est fastidieuse, voire complexe pour les grandes entreprises comptant des centaines de sites.
- Les politiques DNS sont relativement grossières, leur application étant effectuée avec une approche de type « tout ou rien » par domaine. Les entreprises ne sont pas en mesure, par exemple, d'autoriser l'accès à un fournisseur de stockage cloud, mais elles bloquent le téléchargement de fichiers dangereux à partir d'URL connues comme étant malveillantes.
- Les organisations qui enregistrent des adresses IP utilisent fréquemment le trafic NAT (Network Address Translation) pour partager des adresses IP publiques avec de nombreux utilisateurs. Cela entraîne une perte de visibilité sur les journaux d'activité DNS au niveau de chaque utilisateur. Ainsi, même si les administrateurs en sécurité informatique peuvent constater qu'un domaine malveillant a été bloqué, ils doivent exploiter des outils d'investigation supplémentaires pour rechercher un appareil potentiellement compromis.
À partir d'aujourd'hui, Cloudflare Gateway va au-delà d'une solution de filtrage DNS sécurisé en associant le client Cloudflare for Teams à un pare-feu de couche 7 sur le Cloud. Désormais, nos clients peuvent se débarrasser d'une autre appliance matérielle de leur frontière de sécurité centralisée et fournir à la place à leurs utilisateurs une sécurité de niveau entreprise directement depuis la périphérie de Cloudflare.
Protéger les utilisateurs et prévenir les pertes de données d'entreprise
Le filtrage DNS fournit un niveau de sécurité de base sur l'ensemble des systèmes et même des réseaux, car il est utilisé par toutes les applications pour les communications Internet. Cependant, la protection spécifique aux applications offre une grande précision en termes d'application des règles et de visibilité sur la classification du trafic comme malveillant.
Aujourd'hui, nous sommes ravis d'étendre la protection que nous offrons grâce au filtrage DNS en ajoutant un pare-feu de couche 7. Il permet à nos clients d'appliquer des politiques de sécurité et de contenu au trafic HTTP. Les administrateurs disposent ainsi d'un meilleur outil pour protéger les utilisateurs grâce à des contrôles granulaires au sein des sessions HTTP, et d'une visibilité sur l'application des politiques. Cela donne également à nos clients un meilleur contrôle sur l'emplacement de leurs données. En élaborant des politiques, les clients peuvent indiquer s'ils souhaitent autoriser ou bloquer une requête en fonction du type de fichier, savoir si la requête devait charger ou télécharger un fichier ou si la destination est un fournisseur de stockage cloud approuvé pour l'entreprise.
Les entreprises protègent le trafic Internet de leurs utilisateurs, quel que soit leur emplacement, en se connectant à Cloudflare avec le client Cloudflare for Teams. Ce client fournit une connexion rapide et sécurisée au datacenter Cloudflare le plus proche. Il repose sur l'application Cloudflare WARP à laquelle des millions d'utilisateurs se connectent depuis le monde entier. Étant donné que le client utilise la même application WARP, les entreprises peuvent être sûres qu'elle a été testée à grande échelle pour assurer la sécurité sans compromettre les performances. Cloudflare WARP optimise les performances réseau en exploitant WireGuard pour une connexion à la périphérie de Cloudflare.
Il en résulte une connexion sécurisée et performante pour les utilisateurs d'entreprise, quel que soit leur emplacement, sans devoir effectuer le backhaul du trafic réseau vers une frontière de sécurité centralisée. En se connectant à Cloudflare Gateway avec le client Cloudflare for Teams, les utilisateurs d'entreprise sont protégés grâce à des politiques de filtrage appliquées à tout le trafic Internet sortant, qui protègent les utilisateurs lorsqu'ils naviguent sur Internet et empêchent la perte de données d'entreprise.
Cloudflare Gateway prend désormais en charge le filtrage du trafic HTTP en fonction de divers critères, notamment :
Critères
Exemple
URL, chemin et/ou chaîne de requête
https://www.myurl.com/path?query
Méthode HTTP
GET, POST, etc.
Code de réponse HTTP
500
Type de fichier et nom de fichier
myfilename.zip
Type MIME
application/zip
Catégorie de contenu ou sécurité des URL
Logiciels malveillants, phishing, thèmes pour adultes
Pour compléter les politiques de filtrage DNS, les administrateurs informatiques peuvent désormais créer des règles de pare-feu de couche 7 pour appliquer des politiques granulaires au trafic HTTP.
Par exemple, un administrateur peut autoriser les utilisateurs à accéder à des parties utiles de Reddit, mais bloquer les subreddits indésirables.
Ou encore, pour éviter la perte de données, un administrateur peut créer une règle qui permette aux utilisateurs de recevoir du contenu provenant de fournisseurs de stockage cloud courants, mais non de charger certains types de fichiers depuis des appareils d'entreprise.
Un autre administrateur souhaitant empêcher que des fichiers malveillants soient introduits par le biais du téléchargement de fichiers zip peut décider de configurer une règle pour bloquer les téléchargements des types de fichiers compressés.
Ayant utilisé nos catégories de filtrage DNS pour protéger les utilisateurs internes, un administrateur peut simplement bloquer les menaces de sécurité en fonction de la classification des URL complètes. Les payloads des logiciels malveillants sont souvent disséminées à partir du stockage sur le cloud, et avec le filtrage DNS, un administrateur doit choisir d'autoriser ou de refuser l'accès à l'ensemble du domaine pour un fournisseur de stockage donné. Le filtrage des URL permet aux administrateurs de filtrer les requêtes pour les URL exactes où résident les payloads des logiciels malveillants, ce qui permet aux clients de continuer à tirer parti de l'utilité du fournisseur de stockage de leur choix.
Par ailleurs, comme le client Cloudflare for Teams le permet, les équipes de télétravailleurs distribués avec des clients itinérants reçoivent cette protection quel que soit leur emplacement grâce à une connexion sécurisée au datacenter Cloudflare le plus proche.
Nous sommes ravis de protéger les équipes lorsqu'elles naviguent sur Internet en inspectant le trafic HTTP, mais qu'en est-il du trafic non-HTTP ? Plus tard dans l'année, nous étendrons Cloudflare Gateway en ajoutant la prise en charge du filtrage IP, des ports et des protocoles avec un pare-feu cloud de couche 4. Les administrateurs pourront ainsi appliquer des règles à tout le trafic Internet, par exemple des règles qui autorisent le SSH sortant, ou d'autres qui déterminent d'envoyer le trafic HTTP arrivant sur un port non standard vers le pare-feu de couche 7 pour l'inspection HTTP.
Lors de son lancement, Cloudflare Gateway permettra aux administrateurs de créer des politiques qui filtrent le trafic DNS et HTTP pour tous les utilisateurs d'une organisation. Cette fonctionnalité permet de créer une excellente base de référence pour la sécurité. Cependant, les exceptions sont inévitables : une approche unique de l'application de règles relatives au contenu et à la sécurité répond rarement aux besoins spécifiques de tous les utilisateurs.
Pour y remédier, nous travaillons à la mise en place de règles basées sur l'identité des utilisateurs et des groupes en intégrant Cloudflare Access au fournisseur d'identité existant d'un client. Ainsi, les administrateurs pourront créer des règles granulaires qui tirent également parti du contexte autour de l'utilisateur, notamment :
- Refuser à tous les utilisateurs l'accès aux médias sociaux. (mais si M. Untel fait partie du groupe marketing, permettez-lui d'accéder à ces sites afin qu'il puisse effectuer les tâches qui lui incombent)
- N'autoriser Mme Unetelle à se connecter à des applications SaaS spécifiques que via Cloudflare Gateway, ou dans le cadre d'un certain état de sécurité des appareils.
La nécessité d'appliquer des politiques et d'avoir une visibilité sur la journalisation en fonction de l'identité découle de la réalité : les utilisateurs ne sont pas liés à des lieux de travail fixes et connus. Nous répondons à ce besoin en intégrant l'identité et en protégeant les utilisateurs, quel que soit l'endroit où ils se trouvent, grâce au client Cloudflare for Teams.
Quel sera la suite ?
On ne crée pas une entreprise pour s'occuper des questions d'informatique et de sécurité. Les entrepreneurs ont une vision et un produit ou un service qu'ils veulent faire découvrir au monde, et nous voulons les y aider. Nous pouvons vous aider à éliminer les difficultés liées à la mise en œuvre d'outils de sécurité avancés qui sont généralement réservés à des organisations plus grandes et plus sophistiquées, et nous voulons les mettre à la disposition des équipes de toute taille.
Le lancement du client Cloudflare for Teams et du pare-feu de couche 7 jette les bases d'une passerelle web sécurisée avancée avec des intégrations dont l'analyse antivirus, les solutions CASB et l'isolation de navigateur à distance, le tout effectué à la périphérie de Cloudflare. Nous sommes ravis de partager cet aperçu de l'avenir que notre équipe construit, et ce n'est qu'un début.
Démarrer dès maintenant
Toutes ces nouvelles fonctionnalités sont prêtes à être utilisées dès aujourd'hui. Le pare-feu de couche 7 est disponible dans les offres Gateway autonomes, Teams Standard et Teams Enterprise. Pour commencer, ouvrez un compte Gateway et suivez les instructions d'intégration.
Zero Trust Semaine Zero Trust 1.1.1.1 Nouveautés produits WARP