我们很高兴地宣布,Zero Trust 基础设施访问平台 BastionZero 已加入 Cloudflare。此次收购扩展了我们的 Zero Trust 网络访问 (ZTNA) 流程,为服务器、Kubernetes 集群和数据库等基础设施提供原生访问管理。
安全团队通常优先考虑应用程序和互联网访问,因为这些是用户与公司资源交互的主要载体,也是外部威胁渗入网络的主要载体。应用程序通常是组织数字足迹中最显眼、最易访问的部分,因此经常成为网络攻击的目标。通过单点登录 (SSO) 和多因素身份验证 (MFA) 等方法保护应用程序访问,可以立即显著提高用户安全性。
然而,基础设施访问同样重要,许多团队仍然依赖城堡与护城河式的网络控制和本地资源权限来保护服务器、数据库、Kubernetes 集群等基础设施。这很困难,而且充满风险,因为安全控制分散在数百或数千个目标上。恶意行为者越来越多地将重点放在攻击基础设施资源上,以此来一次性关闭大量应用程序或窃取敏感数据。我们很高兴能够扩展 Cloudflare One 的 Zero Trust 网络访问,以使用基于用户和设备的策略以及多因素身份验证来原生保护基础设施。
应用程序访问与基础设施访问
应用程序访问通常涉及与基于 Web 的应用程序或客户端-服务器应用程序交互。这些应用程序通常支持现代身份验证机制,例如单点登录 (SSO),这可简化用户身份验证并增强安全性。SSO 与身份提供商 (IdP) 集成,提供无缝且安全的登录体验,降低密码疲劳和凭证被盗的风险。
另一方面,基础设施访问涵盖了更广泛、更多样化的系统,包括服务器、数据库和网络设备。这些系统通常依赖 SSH(安全外壳)、RDP(远程桌面协议)和 Kubectl (Kubernetes) 等协议进行管理访问。这些协议的性质带来了额外的复杂性,使保护基础设施访问变得更具挑战性。
- SSH 身份验证:SSH 是访问 Linux 和 Unix 系统的基本工具。SSH 访问通常通过公钥身份验证来实现,通过该身份验证,用户将获得一个公钥/私钥对,目标系统将配置为接受该密钥对。这些密钥必须分发给受信任的用户,经常轮换,并监控任何泄露情况。如果密钥意外泄露,则可能导致恶意行为者直接控制可通过 SSH 访问的资源。
- RDP 身份验证:RDP 广泛用于远程访问基于 Windows 的系统。虽然 RDP 支持各种身份验证方法,包括基于密码和基于证书的身份验证,但它经常成为暴力破解和凭据填充攻击的目标。
- Kubernetes 身份验证:Kubernetes 作为容器编排平台,引入了一系列身份验证挑战。访问 Kubernetes 集群涉及管理角色、服务帐户和 kubeconfig 文件以及用户证书。
立即使用 Cloudflare One 访问基础设施
Cloudflare One 以优于传统 VPN 的方式促进了基础设施资源的 Zero Trust 网络访问 (ZTNA)。管理员可以定义一组身份、设备和网络感知策略,规定用户是否可以访问特定的 IP 地址、主机名和/或端口组合。这允许您创建策略,例如“只有身份提供者组‘开发人员’中的用户才能通过我们公司网络中的端口 22(默认 SSH 端口)访问资源”,这已经比仅具有基本防火墙策略的 VPN 允许的控制要精细得多。
然而,这种方法仍然有局限性,因为它依赖于一组关于如何配置和管理企业基础设施的假设。如果基础设施资源是在假定的网络结构之外配置的,例如允许通过非标准端口使用 SSH,则可能会绕过所有网络级控制。这样就只剩下特定协议的原生身份验证保护来保护该资源,导致 SSH 密钥或数据库凭证泄露,进而导致更广泛的系统中断或入侵。
许多组织将利用更复杂的网络结构(如堡垒主机模型或复杂的特权访问管理 (PAM) 解决方案)作为附加的纵深防御策略。然而,这会给 IT 安全团队带来更多成本和管理开销,有时还会使与最低特权访问相关的挑战变得更加复杂。堡垒主机或 PAM 解决方案等工具最终会随着时间的推移侵蚀最低特权,因为策略会扩展、更改或偏离公司的安全立场。这会导致用户错误地保留对敏感基础设施的访问权限。
BastionZero 如何融入
虽然多年来我们的目标一直是帮助各种规模的组织尽可能简单、快速地更换 VPN,但 BastionZero 将 Cloudflare VPN 更换解决方案的范围扩展到应用程序和网络之外,以提供相同级别的简便性,来将 Zero Trust 控制扩展到基础设施资源。这有助于安全团队集中管理更多的混合 IT 环境,同时使用标准 Zero Trust 实践来确保 DevOps 团队的高效性和安全性。Cloudflare 和 BastionZero 联手,不仅可以帮助组织更换 VPN,还可以更换堡垒主机、SSH、Kubernetes 或数据库密钥管理系统以及冗余 PAM 解决方案。
BastionZero 提供与主要基础设施访问协议和目标(如 SSH、RDP、Kubernetes、数据库服务器等)的原生集成,以确保将目标资源配置为接受该特定用户的连接,而不是依赖网络级控制。这让管理员可以从资源和目标的角度来思考,而不是 IP 地址和端口。此外,BastionZero 建立在 OpenPubkey 之上,这是一个使用 OpenID Connect (OIDC) 将身份绑定到密钥的开源库。借助 OpenPubkey,可以使用 SSO 授予对基础设施的访问权限。BastionZero 使用多个信任根来确保您的 SSO 不会成为关键服务器和其他基础设施的单一攻击点。
BastionZero 将为 Cloudflare 的 SASE 平台增加以下功能:
- 消除长期存在的密钥/凭证:通过无摩擦的基础设施特权访问管理 (PAM) 功能实现,这些功能通过新的短暂、去中心化的方法实现凭证管理(例如,SSH 密钥、kubeconfig 文件、数据库密码)的现代化。
- 用于保护 SSH 连接的基于 DevOps 的方法:以支持最低权限访问,该方法可录制会话并记录每个命令,从而获得更好的可见性,支持合规性要求。团队可以根据自动发现的目标(而不是 IP 地址或网络)进行操作,因为他们可以定义即时访问策略并自动化工作流程。
- 无客户端 RDP:以支持对桌面环境的访问,且没有在用户设备上安装客户端的开销和麻烦。
BastionZero 下一步计划
BastionZero 团队将专注于将其基础设施访问控制直接集成到 Cloudflare One 中。今年第三季度和第四季度,我们将宣布一些新功能,以促进通过 Cloudflare One 实现 Zero Trust 基础设施访问。今年提供的所有功能都将包含在 Cloudflare One 免费套餐中,适用于用户数少于 50 人的组织。我们坚信,每个人都应该能够获得世界一流的安全控制。
我们正在寻找早期的 beta 版测试人员和团队,以便他们就基础设施访问方面希望看到的内容提供反馈。如果您有兴趣了解更多信息,请在此处注册。