在当今快速发展的数字化环境中,企业正面临日益复杂的多样化环境组合 —— 从 SaaS 应用和公有云平台,到本地数据中心和混合部署。这种多样化的基础设施提供了灵活性和可扩展性,但也引入了新的攻击面。
为了同时支持业务连续性和安全需求,“安全策略必须从被动响应演进为主动预测”。维护健康的安全态势,需要持续监控和加强安全防御,识别风险、确保合规,并防范不断演变的威胁。利用我们的最新功能,您现在可以通过 Cloudflare 来为自己的 SaaS 和 Web 应用实现良好的安全态势。这解决了安全团队(每日都会提出的)根本性问题:我们的资产和文档保护得怎么样?
主动安全态势依赖于以下关键组成部分:
实时发现和盘点您的所有资产和文档
持续的资产感知威胁检测和风险评估
提供优先修复建议以增强保护
今天,我们将分享如何为 SaaS 和 Web 应用构建了这些关键组件,以及您能如何使用它们来管理企业的安全态势。
企业安全态势一目了然
无论您将什么类型的应用连接到 Cloudflare 全球网络,Cloudflare 都会积极定期扫描与每个应用相关的风险和错误配置。识别到的风险和错误配置在仪表板中的安全中心作为见解显示。
这些见解按照严重程度、风险类型和对应的 Cloudflare 解决方案分组,让您能够从多个角度深入了解相关内容。在适用的情况下,针对特定类型的见解提供一键解决方案,例如将最低 TLS 版本设置为 1.2,即 PCI DSS 推荐的版本。对于需要管理组织内部不断增长的资产集合的客户来说,这种简单性深受好评。
为了进一步缩短问题解决时间,我们最近在 Cloudflare 仪表板的安全见解中添加了基于角色的访问控制(RBAC)。现在,对于个别安全从业人员,他们可以获得与其角色相关的提炼见解。具有管理员角色的用户(例如,CSO)有权访问并查看所有见解。
除了针对整个帐户的安全见解之外,我们还提供更接近 SaaS 和 Web 应用对应安全配置的态势概览。让我们逐一深入探讨这些功能。
保护 SaaS 应用
没有集中式态势管理,SaaS 应用的安全将毫无保障。这些应用包含大量敏感信息 ——文件、数据库、工作空间、设计、发票,或是公司运营所需的任何内容,但对其控制受限于供应商的设置,从而减少了您的可见性和自定义选项。此外,团队成员不断创建、更新和删除内容,这可能导致配置偏移和数据暴露,例如公开共享文件、将个人身份信息(PII)添加到不合规的数据库,或向第三方集成授予访问权限。借助 Cloudflare,您可以在一个仪表板中获得对自己所有 SaaS 应用的可见性。
针对所有 SaaS 应用的态势发现
在帐户级安全见解中,您可以查看针对潜在 SaaS 安全问题的见解:
您可以选择通过云访问安全代理(CASB),深入调查全部 SaaS 应用的错误配置、风险和未遵循最佳实践的详细情况。您可以识别大量安全信息,包括但不限于:
公开可用或与外部共享的文件
具有读取或编辑权限的第三方应用
未知或匿名用户访问
凭据暴露的数据库
未启用双因素身份验证的用户
非活跃的用户账户
您还可以浏览态势发现页面,其中可对 SaaS 应用中存储的文档进行便捷的搜索和导航。
此外,您可以创建策略来防止环境中发生配置偏移。基于预防的策略有助于维护安全配置和合规标准,同时减轻安全运营团队的告警疲劳,并且这些策略可以防止敏感数据的不当移动或泄露。跨环境统一控制和可视化,更容易锁定受监管的数据类型、通过日志维护详细的审计追踪,并能改善安全态势,降低违规风险。
如何工作:全新 SaaS 文档实时发现
向客户提供 SaaS 安全态势信息,需要从广泛的平台收集海量数据。为确保 SaaS 应用中的所有文档(文件、设计等)安全,我们需要收集其配置信息 —— 是否公开共享、第三方应用是否有访问权限、是否启用多因素身份验证(MFA)?
我们此前通过爬虫从 SaaS API 拉取数据来实现这一目标。然而,在处理大规模数据集时,我们遇到了 SaaS 供应商的频率限制问题。这迫使我们分批工作,并根据供应商的许可动态调整扫描规模。这会导致发现结果过时,并使补救变得麻烦和不明确。例如, Cloudflare 会在一个文件被移除权限后的短时间内报告该文件仍被公开共享,给客户造成困惑。
为解决这一问题,我们升级了数据收集流程,使其具备动态实时的特性,能够即时对您环境中的变化做出响应,无论是新的安全发现、资产更新,还是来自供应商的关键告警。我们从 Microsoft 资产发现和态势发现开始,为您提供有关 Microsoft 管理中心、OneDrive、 Outlook 和 SharePoint 配置的实时见解。我们将持续快速扩展对更多 SaaS 供应商的支持。
监听来自 Cloudflare Workers 的更新事件
Cloudflare Workers 充当供应商 Webhook 的入口点,负责处理来自外部服务的资产变更通知。工作流程如下:
Webhook 监听器:第一个 Worker 作为 Webhook 监听器,接收来自供应商的资产变更消息。
数据存储和排队:收到消息后,Worker 将更改通知的原始有效负载上传到 Cloudflare R2 以持久保存,并将其发布到专用于原始资产变更的 Cloudflare 队列。
转换 Worker:第二个 Worker 作为原始资产变更队列的消费者,处理传入的消息。该 Worker 将原始供应商特定数据转换为适合 CASB 的通用格式。转换后的数据随后将:
存储在 Cloudflare R2 中供将来参考。
发布到另一个专用于转换消息的 Cloudflare 队列中。
CASB 处理:消费者与爬虫
转换后的消息到达 CASB 层后,将接受进一步的处理:
轮询消费者: CASB 配备了一个轮询转换消息队列的消费者。在收到消息后,它确定所需的相关处理者。
爬虫执行: 然后,处理者将消息映射到适当的爬虫,后者与供应商 API 交互以获取最新的资产详细信息。
数据存储:检索到的资产数据存储在 CASB 数据库中,确保可用于安全和合规检查。
通过这一改进,我们现在每秒处理 10 到 20 个 Microsoft 更新,即每天处理 86.4 万到 172 万个更新,为客户提供对其环境的快速可见性。这一能力预计将在未来几个月内扩展到其他 SaaS 供应商。
确保 Web 应用安全
保护 Web 应用的一个独特挑战在于,没有一种适合所有情况的方法。资产感知态势管理弥合了通用安全解决方案与独特业务需求之间的差距,为安全团队提供针对性建议,以保护关键资产。
从攻击到威胁和风险的态势概述
从今天起,所有 Cloudflare 客户都可以使用安全概览功能,这是一个为每个已接入的域名定制的全新落地页面。该页面集中针对您所有 Web 应用的安全建议并进行优先级排序:
检测到且需要立即处理的(进行中)攻击
过去 7 天内所有代理流量的处置状态(已缓解、由 Cloudflare 服务、由源站服务)
当前活跃的威胁检测安全模块概述
有关改进安全态势的建议,提供分步指引
最活跃和近期更新的安全规则的概览
这些量身定制的安全建议是根据您的流量状况和业务需求(通过发现您的代理 Web 资产获得)而显示的。
Web 资产发现
无论所属行业或使用场景是什么,许多 Web 应用都需要类似的功能:用户身份识别、接受支付信息等。通过发现提供这些功能的资产,我们可以构建并运行有针对性的威胁检测,提供纵深防护。
例如,针对营销页面和登录页面的机器人流量会对业务产生不同的影响。您的营销资料可能正在被抓取,您可能希望或不希望允许;而登录页面上的凭据填充攻击则需要立即关注。
Web 资产由一系列端点描述;标记每个端点即可定义其业务目标。一个简单的示例是对路径 /portal/login 的 POST 请求,这很可能描述了一个用户身份验证的 API。而对路径 /portal/login 的GET 请求则表示实际的登录页面。
为了描述端点的业务目标,标签就有用武之地了。向服务终端用户的 /portal/login 端点及供员工使用的 /api/admin/login 端点发出的 POST 请求,都可以使用相同的 cf-log-in 托管标签进行标记,让 Cloudflare 知道用户名和密码将会发送到这些端点。
API Shield 客户已经可以使用端点标记功能。2025 年第二季度初,我们将添加标签发现和建议功能,从三个标签开始:cf-log-in、cf-sign-up 和 cf-rss-feed。所有其他客户都可将这些标签手动添加到 保存的端点 。一个例子(如下所述)是防止在注册过程中使用一次性电子邮件。
始终启用的威胁检测和风险评估
用例驱动的威胁检测
客户告诉我们,随着人们对生成式 AI 的兴趣与日俱增,他们需要支持来保护这种新技术,同时不阻碍创新。能够发现基于 LLM 的服务,从而可以微调与该特定技术相关的安全控制,例如检查提示词、根据令牌使用情况限制提示词提交频率等。在另一篇 Security Week 博客文章中,我们将分享如何构建适用于 Cloudflare Firewall for AI,以及您能如何轻松保护生成式 AI 工作负载。
账户欺诈检测涵盖多种攻击手段,是我们 2025 年要关注的另一个关键领域。
许多登录和注册页面通常使用验证码 以便仅允许人类通过,假设只有机器人执行不良行为。且不说如今大多数视觉验证码都可通过 AI 轻松解决,这种方法也无法有效解决大多数账户欺诈手段的根本原因。例如,有人使用一次性电子邮箱注册临时账户,以便利用注册优惠。
为了解决这个欺诈性注册问题,可以部署目前正在开发中的一个安全规则,以阻止所有使用一次性电子邮箱作为用户标识符的尝试,无论请求者是否自动化程序。所有现有或未来标记为 cf-log-in 和 cf-sign-up 的端点都受此单一规则保护,因为它们都需要用户身份识别。
从您的流量接入 Cloudflare 的那一刻起,我们快速扩展的用例驱动威胁检测就已经默认运行。可以通过安全分析查看即时可用的检测结果,帮助您迅速做出明智的决策。
API 端点风险评估
API 具有其独特的一系列风险和漏洞,如今 Cloudflare 正通过 API 态势管理提供七项新的风险扫描。API Shield 的这一新功能可以在 API 受到攻击之前识别安全问题并及早修复,从而帮助降低风险。由于 API 通常由许多不同的后端服务组成,安全团队需要准确识别哪一项后端服务容易受到攻击,以便开发团队修复已识别的问题。
我们新推出的 API 态势管理风险扫描功能就可以做到这一点:用户可以快速识别哪些 API 端点面临多种漏洞风险,包括敏感数据暴露、身份验证状态、失效对象级授权(BOLA)攻击等等。
身份验证态势是您将在新系统中看到的一项风险扫描。我们首先关注这一点,是因为当 API 身份验证被假定已经执行但实际上失效时,敏感数据就面临风险。身份验证态势帮助客户识别 API 的身份验证错误配置并发出警报。这是通过扫描对 API 的成功请求并记录其身份验证状态来实现的。API Shield 每天扫描流量,并标记具有缺失和混合身份验证的 API 端点以供进一步审查。
对于已在 API Shield 中配置会话 ID 的客户,您可以在 API Shield 中找到每个端点的新风险扫描标签和身份验证详情。安全团队可以把这个细节提供给他们的开发团队,以修复身份验证失效问题。
我们今天推出针对身份验证态势、敏感数据、未受保护 API、失效对象级授权(BOLA)攻击以及 API 性能异常(错误、延迟和响应)的扫描功能。
Cloudflare 帮助轻松维持良好的安全态势
快速变化的环境中实现良好的安全态势需要化繁为简的创新解决方案。通过单一平台集中持续评估公共和私有 IT 环境中的威胁和风险,是我们支持客户维护良好安全态势的第一步。
为了进一步增强所提供的安全见解和建议的相关性,并帮助您更好地确定操作优先级,我们正在考虑整合 Cloudflare 对威胁形势的全球视图。通过这一功能,您可以获得额外的见解视角,例如您所在行业面临的最大威胁,以及攻击者当前的目标对象。我们预计今年晚些时候发布更多更新,欢迎关注。
如果您尚未这样做,今天就将您的SaaS 和Web 应用接入 Cloudflare ,以立即获得有关如何改善企业安全态势的见解。