订阅以接收新文章的通知:

使用Cloudflare for Teams的互联网安全性

2020-01-07

10 分钟阅读时间
这篇博文也有 EnglishDeutsch日本語한국어EspañolFrançais版本。

随着时间的流逝,我们使用互联网的体验不断提高。它变得更快,更安全,更可靠。然而,当你工作的时候,你可能不得不使用一个不同的,更糟糕的网络。虽然互联网变得越来越好,但企业和员工却被自己的专用网络困住了。

在这些网络中,团队托管了自己的应用程序,存储了自己的数据,并通过在该私有世界周围建造城堡和护城河来保护所有数据。该模型将内部管理的资源隐藏在VPN设备和内部防火墙硬件之后。对于用户和管理员来说,这种体验都是糟糕的。尽管互联网的其余部分变得更高效,更可靠,但业务用户却陷入了另一个困境。

这种遗留的方法比团队想要的更不安全,速度也更慢,但是在企业范围的一段时间内基本上是有效的。然而,随着云交付应用程序的兴起,这一切开始土崩瓦解。企业迁移到了SaaS版本的软件,这些软件原本是在城堡里的,就在护城河后面。用户需要连接到公共互联网来完成他们的工作,而攻击者以复杂的、不可预测的方式使互联网变得不安全——这让每一家企业都进入了一个充满无穷风险的新世界。

企业安全又是如何应对的呢?他们通过尝试使用旧解决方案来解决新问题,并迫使互联网进入仅为私有企业网络设计的设备。用户并没有从SaaS应用程序的速度和可用性中获益,反而不得不通过传统设备来回传互联网绑定流量,这些设备本就使得专用网络陷入了困境。

然后,各团队看到了他们带宽费用的增加。从分办公室到互联网的更多流量使得通过昂贵专用链接的流量也更多。管理员现在必须使用自己的硬件管理专用网络以及用户的整个互联网连接。更多的流量需要更多的硬件,这样的循环就变得不可持续了。

Cloudflare的第一批产品通过让客户(从免费用户到互联网上一些最大的财产)用Cloudflare的网络代替该硬件堆栈,从而保护并提高了这些站点的速度。我们能够以几乎任何公司都不可能达到的规模提供产能。我们在全球200多个城市部署了数据中心,帮助我们接触到任何地方的用户。

我们建立了一个独特的网络,让网站可以利用自身的发展来扩展保护其在互联网上的基础设施。但在公司内部,企业及其员工被自己的私人网络困住了。

就像我们通过替换盒子(硬件防护措施)来帮助组织保护他们的基础设施一样,我们也可以为他们的团队和数据做同样的事情。今天,我们宣布了一个新的平台,可以应用我们的网络,以及我们所学到的一切,让互联网对团队来说更快更安全。

Cloudflare for Teams在不损害用户性能的前提下保护每个连接,从而保护企业、设备和数据。我们为基础架构提供的速度、可靠性和保护已扩展到您的团队在互联网上所做的一切。

企业安全的传统世界

每个组织都有三个需要在网络层上解决的问题:

  1. 保护团队成员对内部管理的应用程序的访问

  2. 保护团队成员免受互联网上的威胁

  3. 保护同时存在于两种环境中的公司数据

这些挑战中的每一个都对任何团队构成了真正的风险。如果任何组件被破坏,整个业务就会变得脆弱。

内部管理的应用程序

解决第一个问题,即内部管理的应用程序,首先要在这些内部资源周围建立一个边界。管理员将应用程序部署在专用网络上,办公室外的用户通过驻留在内部的VPN设备与客户端VPN代理连接。

用户讨厌它,他们现在仍然讨厌它,因为它让他们更难完成工作。一位销售团队成员在乘坐出租车前往拜访客户时,不得不在手机上启动一个VPN客户端,只是为了查看会议的细节。远程工作的工程师必须耐心等待,因为他们与开发工具的所有连接都要通过一个中央VPN设备回传。

管理员和安全团队对这个模型也有异议。一旦用户连接到私有网络,他们通常能够访问多个资源,而不需要证明他们是经过授权的。仅仅因为我能够进入公寓楼的前门,并不意味着我应该能够进入任何单独的公寓。但是,在专用网络上,如果要在专用网络的范围内实施额外的安全性,则必须进行复杂的微分段。

互联网上的威胁

第二个挑战是保护用户连接到公共互联网上的SaaS工具和公共云中的应用程序,这要求安全团队在用户离开城堡和护城河时防范已知的威胁和潜在的零日攻击。

大多数公司如何回应?它们通过迫使所有流量离开分办公室或远程用户传回总部,并使用确保其专用网络安全的相同硬件,尝试在互联网(至少是用户访问的互联网)周围建立边界。例如,所有离开亚洲分办公室的互联网流量,都将通过欧洲的一个中心位置发送回来,即使目的地与发送者就在同一条街上。

组织需要这些连接保持稳定,并优先考虑语音和视频等特定功能,因此它们向运营商付费,以支持专用的多协议标签交换(MPLS)链接。MPLS通过将标签转换应用于流量,从而提高了性能,下游路由器可以转发而不需要执行IP查找,但其成本高得令人咋舌。

保护数据

第三个挑战是保证数据安全,这成了一个不断变化的目标。在企业网络上的私有工具与SaaS应用程序(例如Salesforce或Office 365)之间迁移和移动数据时,组织必须以一致的方式确保数据安全。

解决方案?大抵与之前相同。团队通过MPLS链接将流量拉回到一个可以检查数据的地方,增加了更多的延迟,并引入了更多需要维护的硬件。

发生了什么变化?

随着SaaS应用程序成为小企业和《财富》500强企业的新默认应用程序,内部和外部流量的平衡开始发生变化。现在用户的大部分工作都是在互联网上完成的,像Office 365这样的工具还在不断被采用。随着这些工具变得越来越流行,越来越多的数据离开了护城河,留存在公共互联网上。

用户行为也发生了变化。用户离开办公室,在多个设备上工作,包括托管设备和非托管设备。各团队的分布更加分散,防线被延伸到极限。

这导致了传统方法的失败

企业安全的传统方法将城堡和护城河模型推得更远。然而,这种模式不能简单地扩展到今天用户在互联网上的工作方式。

内部管理的应用程序

专用网络使用户头疼,但是它们也是需要维护的持续而复杂的工作。VPN需要昂贵的设备,这些设备必须升级或扩展,并且随着更多用户离开办公室,该设备必须尝试扩大规模。

其结果是,随着用户在使用VPN时遇到了困难,IT咨询台的工单积压,而在公司的另一侧,管理员和安全团队则试图为此方法贴上“创可贴”。

互联网上的威胁

组织最初通过迁移到SaaS工具来节省资金,但随着时间的推移,随着流量的增加和带宽费用的增加,最终会花费更多的钱。

此外,威胁在演变。发送回总部的流量通过使用硬件网关的静态扫描和过滤模型进行保护。用户仍然容易受到新类型的威胁,而这些内部盒还无法阻止这些威胁。

保护数据

在这两个环境中保持数据安全的成本也在增加。安全团队试图通过内部硬件对分办公室的流量进行备份,以检查网络流量是否存在威胁和数据丢失,这降低了速度并增加了带宽费用。

更危险的是,数据现在永久存在于该城堡和护城河模型之外。组织现在很容易受到绕过它们的边界和直接针对SaaS应用程序的攻击。

Cloudflare将如何解决这些问题?

Cloudflare for Teams包含两种产品,Cloudflare Access和Cloudflare Gateway。

去年,我们推出了 Access,很高兴将其引入Cloudflare for Teams。我们构建了Cloudflare Access,以解决企业安全团队面临的第一个挑战:保护内部管理的应用程序。

Cloudflare Access用Cloudflare的网络取代了企业VPN。团队无需将内部工具放置在专用网络上,而是将它们部署在任何环境中(包括混合或多云模型),并使用Cloudflare的网络对其进行一致的保护。

部署访问不需要暴露公司防火墙中的新漏洞。团队通过一个安全的出站连接——Argo隧道——连接他们的资源,Argo隧道在您的基础设施中运行,将应用程序和计算机连接到Cloudflare。该隧道只向Cloudflare网络发出出站调用,组织可以用一条规则替换复杂的防火墙规则:禁用所有入站连接。

然后,管理员可以建立规则来决定谁应该进行身份验证并使用Access保护的工具。无论这些资源是支持业务运营的虚拟机还是Jira或iManage之类的内部Web应用程序,当用户需要连接时,它们都会首先通过Cloudflare。

当用户需要连接到Access背后的工具时,系统会提示他们通过其团队的SSO进行身份验证,并且如果有效,则可以立即连接到应用程序而不会降低速度。内部管理的应用程序突然就会给人感觉像是SaaS产品,其登录体验是无缝的、熟悉的。

在幕后,对这些内部工具的每一个请求首先到达Cloudflare,我们在其中执行基于身份的策略。与传统的VPN相比,Access会评估对这些应用程序的身份请求并将其记录到日志中,从而为管理员提供更多的可见性并提供更高的安全性。

全球200个城市的每个Cloudflare数据中心都执行整个身份验证检查。无论用户在哪里工作,他们都可以更快地连接,而不必将流量传回家庭办公室。

Access还可以节省管理员的时间。IT团队无需配置复杂且容易出错的网络策略,而是构建使用其身份提供者实施身份验证的策略。安全主管可以控制谁能在一个单一的窗格中访问内部应用程序,并可以通过一个来源审核全面的日志。

去年,我们发布了一些功能,这些功能扩展了团队使用Access的方式,从而可以完全消除其VPN。我们增加了对RDPSSH的支持,并发布了对替代静态密钥的短期证书的支持。然而,团队也使用不在他们控制的基础设施中运行的应用程序,比如Box和Office 365这样的SaaS应用程序。为了解决这个挑战,我们发布了一个新产品,Cloudflare Gateway。

Cloudflare Gateway通过将首要目的地附近的Cloudflare数据中心作为所有出站流量的中心,来确保团队的安全。该产品将Cloudflare的全球网络置于用户和互联网之间,而不是通过传统的运行硬件强制联接互联网。

Cloudflare Gateway的第一个功能是通过将世界上最快的DNS解析器与Cloudflare的威胁情报相结合,防止用户陷入网络钓鱼诈骗或恶意软件站点。网关解析器可以在几分钟内部署到办公网络和用户设备。配置完成后,Gateway会主动阻止潜在的恶意软件和网络钓鱼站点,同时还会根据管理员配置的策略应用内容过滤。

但是,威胁可以隐藏在其他健康的主机名中。为了保护用户免受更高级的威胁,Gateway将审核URL,如果启用了此功能,则可以在数据包危害设备或办公室网络之前检查数据包以发现潜在的攻击。然后可以应用相同的深度包检查来防止意外或恶意的数据导出。

组织可以在两种模式中添加网关的高级威胁预防:

  1. 通过GRE隧道将办公网络连接到Cloudflare安全结构;

  2. 通过将转发代理客户端分发到移动设备。

第一个模型是通过Cloudflare Magic Transit交付的,它将为企业提供一种迁移到Gateway的方式,而不会打乱它们当前的工作流程。团队将通过GRE隧道将流量指向Cloudflare,而不是将办公室流量回传到集中的本地硬件。一旦出站流量到达Cloudflare,Gateway就可以应用文件类型控制,内联检查和数据丢失保护,而不会影响连接性能。同时,Magic Transit保护公司IP网络免受入站攻击。

当用户离开办公室时,Gateway的客户端应用程序将提供相同级别的互联网安全性。来自设备的每个连接都将首先通过Cloudflare,Gateway可以在Cloudflare中应用威胁预防策略。Cloudflare还可以在不影响用户体验的情况下提供这种安全性,它基于WireGuard协议等新技术,并集成了Cloudflare Warp(我们流行的个人转发代理)的功能。

在这两种环境中,最常见的攻击媒介之一仍然是浏览器。零时差威胁可以通过使用浏览器作为执行代码的工具来破坏设备。

现有的浏览器隔离解决方案试图通过以下两种方法之一解决这一挑战:1)像素推送和2)DOM重建。这两种方法都会导致性能和安全性的折衷。像素推送降低了速度,同时也增加了向用户传输会话的成本。DOM重构尝试在发送给用户之前剥离潜在的有害内容。这种策略依赖于已知的漏洞,并且仍然暴露在隔离工具所要解决的零日威胁之下。

Cloudflare Gateway将提供始终在线的浏览器隔离,不仅可以保护用户免受零日威胁,还可以使浏览互联网更快。该解决方案将应用一种专利方法来发送向量命令,浏览器可以在不需要设备上的代理的情况下呈现这些命令。用户的浏览器会话将在Cloudflare数据中心中运行,网关在每个会话结束时销毁该实例,使恶意软件远离用户设备,而不会影响性能。

在部署后,远程浏览器会话将在Cloudflare的200个数据中心之一运行,将用户连接到一个更快、更安全的互联网浏览模式,而不会受到传统方式的影响。如果您想了解更多关于浏览器隔离的方法,我建议您阅读Darren Remington 的关于该主题的博客文章

为什么选择Cloudflare?

为了使基础架构更安全,Web属性更快,Cloudflare建立了世界上最大,最复杂的网络之一。Cloudflare for Teams建立在相同的平台上,并具有所有独特的优势。

快速

安全性应该始终与性能捆绑在一起。Cloudflare的基础设施产品提供了更好的保护,同时也提高了速度。这是可行的,因为我们已经建立了网络,它的分布和我们拥有的关于网络的数据允许Cloudflare优化请求和连接。

Cloudflare for Teams通过使用相同的网络和路由优化,为终端用户带来了同样的速度。此外,Cloudflare还构建了行业领先的组件,这些组件将成为这个新平台的功能。所有这些组件都利用Cloudflare的网络和规模来提高用户性能。

Gateway的DNS过滤功能基于Cloudflare的1.1.1.1公共DNS解析器,根据DNSPerf,它是世界上最快的解析器。为了保护整个连接,Cloudflare for Teams将部署与支持Warp相同的技术,Warp是一种新型VPN,具有比竞争对手更好的评价。

强大的可扩展性

Cloudflare的30 TBps网络容量可以扩展到满足几乎任何企业的需求。客户可以不再费心购买足够的硬件来满足他们组织的需求,而可以用Cloudflare替换它。

靠近用户,无论他们在哪里——毫不夸张

Cloudflare的网络遍布全球200多个城市和90多个国家,无论用户在哪里工作,Cloudflare的安全性和性能都与用户贴近。

该网络覆盖有全球总部的业务的伦敦和纽约等地,也包括在世界各地传统上服务不足的地区。

Cloudflare的数据中心运行在能够百毫秒内连接发达国家99%的互联网人口的地方,也能够在百毫秒内连接全球94%的互联网人口。您的所有最终用户都应该感到,他们在Cloudflare网络上体验到的性能就与传统上只能从公司总部感受到的一样。

管理员更轻松

当安全产品令人困惑时,团队会犯一些错误,这些错误会成为事故。Cloudflare的解决方案简单明了,易于部署。这个市场中的大多数安全提供商都是先构建特性,而从不考虑可用性或实现。

Cloudflare Access可以在不到一个小时的时间内完成部署;Gateway功能将构建在控制面板和工作流之上。Cloudflare for Teams为新安全用户、设备和数据的产品带来了保护基础设施的工具的易用性。

更好的威胁情报

Cloudflare的网络已经保护了2000多万个互联网财产,每天拦截720亿次网络威胁。我们使用从平均每秒保护1100万个HTTP请求中收集的威胁数据构建产品。

下一步是什么?

Cloudflare Access现在可用。您可以立即开始用 Cloudflare的网络替换您团队的VPN。Cloudflare Gateway的某些功能现已在Beta版中提供,随着时间的推移,其他功能将陆续添加进去。您可以注册以立即收到有关Gateway的通知。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
产品新闻Cloudflare AccessCloudflare Zero Trust安全性

在 X 上关注

Cloudflare|@cloudflare

相关帖子

2024年10月24日 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...