订阅以接收新文章的通知:

适用于托管服务提供商的 Cloudflare Zero Trust

2023/01/13

14 分钟(阅读时间)
Cloudflare Zero Trust for managed service providers

作为 CIO Week 的一部分,我们宣布了 DNS Filtering 解决方案和 Partner Tenant 平台之间的一个新集成,支持合作伙伴生态系统和直接客户的父子策略需求。我们的 Tenant 平台发布于 2019 年,允许 Cloudflare 跨数百万个客户轻松集成 Cloudflare 解决方案。Cloudflare Gateway2020 年发布,短短几年内,就已经从保护个人网络发展为保护财富 500 强企业。通过这两个解决方案之间的集成,我们现在可以帮助托管服务提供商 (MSP) 通过父子策略配置和帐户级策略覆盖来支持大型多租户部署,无缝地保护全体员工免受在线威胁。

为什么要与托管服务提供者合作?

托管服务提供者 (MSP) 是许多 CIO 工具包中的关键部分。在这个颠覆性技术、混合办公和不断变化的商业模式的时代,外包 IT 和安全运营可以成为推动战略目标的基本决策,并确保所有规模的组织取得商业成功。MSP 是远程管理客户信息技术 (IT) 基础设施和最终用户系统的第三方公司。MSP 承诺提供深厚技术知识、威胁洞察和各种安全解决方案的终身专业知识,以防御勒索软件、恶意软件和其他在线威胁。与 MSP 合作的决定可以让内部团队专注于更具战略性的举措,同时提供易于部署、具有价格竞争力的 IT 和安全解决方案。Cloudflare 一直致力于使我们的客户更容易与 MSP 合作,以部署和管理全面的 Zero Trust 转型

选择合适 MSP 的一个决策标准是:提供商是否有能力维护合作伙伴的最佳技术、安全和成本利益。MSP 应该尽可能利用创新和低成本的安全解决方案,为您的组织带来最佳价值。由于混合办公带来更广泛的攻击受面,相比更现代和专门的解决方案,过时的技术会迅速地产生更高的实施和维护成本。在 Zero Trust 这样一个发展中的领域,一家有效的 MSP 应该能够支持客户全局部署,规模化管理,并有效地在业务部门执行全局企业策略。Cloudflare 与许多 MSP 进行合作过,其中一些我们今天将重点介绍,它们能够具备成本效益的方式规模化地实现和管理 Zero Trust 安全策略。

我们重点介绍的 MSP 已经开始部署 Cloudflare Gateway DNS Filtering 以补充其产品组合,作为 Zero Trust 访问控制战略的一部分。 DNS 过滤使用域名系统 (DNS) 屏蔽恶意网站,防止用户接触到互联网上有害或不适当的内容。这确保了公司数据的安全,并允许公司控制员工可以在公司管理的网络和设备上访问的内容。

过滤策略通常由组织与服务提供商协商确定。在某些情况下,这些策略还需要由 MSP 或客户在帐户或业务部门级别进行独立管理。这意味着,需要用父子关系来平衡企业级规则的部署与跨设备、办公地点或业务部门的定制,这是非常常见的。这种结构对于正在跨数百万设备和帐户部署访问策略的 MSP 至关重要。

协作做得更好:Zero Trust ❤️ Tenant Platform

为了让 MSP 更容易管理数百万个帐户,并实施适当的访问控制和策略管理,我们将 Cloudflare Gateway 与现有的 Tenant 平台集成了一个提供父子配置的新特性。这允许 MSP 合作伙伴创建和管理帐户,设置全局企业安全策略,并允许在单个业务部门或团队级别进行适当的管理或覆盖。

Tenant 平台允许 MSP 自行创建数百万个最终客户帐户,以支持其特定的启动和配置。这也确保了客户之间所有权的适当分离,并允许最终客户在需要时直接访问 Cloudflare 仪表板。

所创建的每个帐户都是一个单独的容器,其中包含 MSP 每个最终客户的订阅资源(Zero Trust 策略、区域、Worker 等)。客户管理员可以根据需要受邀对每个帐户进行自助服务管理,而 MSP 保留对每个帐户所启用的功能的控制。

MSP 现在能够大规模地设置和管理帐户,我们将探索与 Cloudflare Gateway 的集成如何让它们管理这些帐户的扩展 DNS 过滤策略。

分层 Zero Trust 帐户

每个 MSP 最终客户的独立帐户准备就绪后,MSP 可完全管理部署,也可提供受 Cloudflare 配置 API 支持的自助门户。支持配置门户还意味着您永远不希望您的最终用户阻止对此域的访问,因此 MSP 可以在其所有最终客户帐户加入时向其添加隐藏策略,这将是一个简单的一次性 API 调用。尽管每当他们需要向上述策略推送更新时就会出现问题,但现在这意味着他们必须为每个 MSP 最终客户更新一次策略,对于某些 MSP,这可能意味着超过 100 万次 API 调用。

为了将其转换为单次 API 调用,我们引入了顶级帐户(即父帐户)的概念。此父帐户允许 MSP 设置全局策略,这些策略在后续 MSP 最终客户策略(即子帐户策略)之前应用于所有 DNS 查询。这种结构有助于确保 MSP 可以为其所有子帐户设置自己的全局策略,同时每个子帐户可以进一步过滤其 DNS 查询以满足他们的需求,而不会影响任何其他子帐户。

这也并不限于策略,每个子账户都可以创建自己的自定义阻止页面,上传自己的证书以显示这些阻止页面,并通过 Gateway 地点设置自己的 DNS 端点(IPv4、IPv6、DoH 和 DoT)。此外,由于这些帐户与非 MSP Gateway 帐户完全相同,因此对于每个父或子帐户的策略、位置或列表的默认限制而言,没有任何下限。

托管服务提供商集成

为了让这一点更有吸引力,如下是一些真实世界例子,展示 Cloudflare 客户如何使用以上全新托管服务提供商特性来帮助保护其组织。

美国联邦政府

美国联邦政府需要许多相同的服务来支持其 100 多个民用机构的保护性 DNS 服务,而且他们经常将许多 IT 和安全业务外包给像 Accenture Federal Services (AFS) 这样的服务提供商。

2022 年,美国网络安全与基础设施安全局 (CISA) 和国土安全部 (DHS) 选择 Cloudflare 和 AFS 开发联合解决方案,以帮助联邦政府抵御网络攻击。该解决方案由 Cloudflare 的保护性 DNS 解析器组成,该解析器将过滤来自联邦政府办公室和地点的 DNS 查询,并将事件直接传输到 Accenture 的平台,以提供统一管理和日志存储。

AFS 为每个部门提供了一个中央接口,允许他们调整 DNS 过滤策略。这个接口与 Cloudflare 的 Tenant 平台和 Gateway 客户端 API 协同工作,为使用我们全新父子配置管理安全策略的政府雇员提供了无缝的客户体验。作为父账户,CISA 可以设置自己的全局策略,同时允许作为子账户的机构绕过特定全局策略,设置自己的默认阻止页面。

结合我们的父子结构,我们对 DNS 位置匹配和过滤默认值提供了一些改进。目前,所有 Gateway 帐户都可以购买一个专用的 IPv4 解析器 IP 地址,这对于客户没有静态源 IP 地址或想要自己的 IPv4 地址来托管解决方案的情况非常有用。

对于 CISA 而言,他们不仅想要一个专用的 IPv4 地址,还想把同一个地址从他们的父账户分配给他们的子账户。这将允许他们让所有机构拥有自己的默认 IPv4 地址,从而减轻启动负担。接下来,他们还希望关闭失败功能,这意味着如果 DNS 查询没有匹配任何地点(每个地点必须配置源 IPv4 地址/网络),它将被丢弃。这允许 CISA 确保只有配置的 IPv4 网络才能访问他们的受保护服务。最后,我们不必使用 IPv6、DoH 和 DoT DNS 端点来解决这个问题,因为这些端点是自定义的,每个创建的 DNS 位置都是如此。

Malwarebytes

Malwarebytes 是一家全球领先的实时网络防护公司,最近与 Cloudflare 进行集成,在他们的 Nebula 平台中提供一个 DNS 过滤模块。Nebula 平台是一个云托管安全运营解决方案,可以管理任何恶意软件或勒索软件事件的控制——从警报到修复。这个新模块允许 Malwarebytes 客户过滤内容类别,并为设备组添加策略规则。一个关键需求是能够轻松地与当前设备客户端集成,提供独立账户管理,并提供空间在未来进行跨更多 Zero Trust 服务的扩展,例如 Cloudflare Browser Isolation(浏览器隔离)

Cloudflare 能够提供一个全面的解决方案,可以轻松集成到 Malwarebytes 平台中。这包括使用 DNS-over-HTTP (DoH) 分隔不同位置的用户,并并为每个设备添加唯一的令牌,以正确地跟踪设备 ID 并应用正确的 DNS 策略。最后,使用 Cloudflare Tenant API 完成集成,该 API 允许与他们的当前工作流程和平台无缝集成。我们的 Zero Trust 服务和 Tenant 平台结合起来,让 Malwarebytes 将业务中的新细分领域迅速进入市场。

“对于今天的组织来说,管理恶意网站的访问并保证最终用户的安全和高效是一项挑战。Malwarebytes 的 DNS 过滤模块将我们基于云的安全平台扩展到 Web 保护。在评估了其他零信任提供商之后,我们清楚地看到,Cloudflare 可以提供 IT 和安全团队所需的全面解决方案,同时提供闪电般的性能。现在,IT 和安全团队可以屏蔽整个类别的网站,利用已知、可疑 Web 域预定义分数的广泛数据库,保护核心的 Web 应用和管理特定的网站限制,消除监督网站访问的头痛。 —— Mark Strassman,首席产品官,Malwarebytes

大型全球 ISP

我们最近与一家大型的全球 ISP 合作以支持 DNS 过滤,作为一个更大的安全解决方案的一部分,在第一年内就面向家庭提供了超过 100 万个帐户!该 ISP 利用我们的 Tenant 和 Gateway API,以最小的工程工作量无缝集成到他们当前的平台和用户体验中。我们期待在未来几个月分享有关这一实施的更多细节。

下一步

如上文的案例所示,在确保当今各种规模和成熟度的组织的多样化生态系统方面,MSP 发挥了关键作用。各种规模的公司都发现自己面临着同样复杂的威胁形势,并面临着在有限的资源和有限的安全工具下维持适当的安全态势和管理风险的挑战。MSP 提供了额外的资源、专业知识和先进的安全工具,可以帮助这些公司降低风险。Cloudflare 致力于让 MSP 更容易有效地为客户提供 Zero Trust 解决方案。

鉴于 MSP 对我们客户的重要性和我们合作伙伴网络的持续增长,我们计划在 2023 年推出一系列新特性,并在此基础上更好地支持我们的 MSP 合作伙伴。首先,我们路线图上的一个关键项目是:开发一个重新设计的租户管理仪表板,以改进帐户和用户管理。其次,我们希望在整个 Zero Trust 解决方案集上扩展我们的多租户配置,以便让 MSP 更容易大规模实施安全的混合办公解决方案。

最后,为了更好地支持层级访问,我们计划扩展 MSP 合作伙伴目前可用的用户角色和访问模型,以允许他们的团队更轻松地支持和管理他们的各种帐户。Cloudflare 一直以其易用性为荣,我们的目标是让 Cloudflare 成为全球服务和安全提供商的首选 Zero Trust 平台。

在整个 CIO Week 期间,我们已经谈到合作伙伴如何帮助他们的客户实现安全态势的现代化,与经历了混合办公和混合多云基础设施转型的世界保持一致。归根结底,Cloudflare Zero Trust 的力量在于它是一个可组合、统一的平台,将产品、功能和我们的合作伙伴网络结合在一起。

  • 如果您希望进一步了解如何成为 MSP 合作伙伴,欢迎访问:https://www.cloudflare.com/partners/services
  • 如果您希望进一步了解通过 DNS 过滤和 Zero Trust 改善安全性,或者希望立即开始,请在此注册,通过 50 个免费席位进行试用。
我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
CIO Week (CN)Cloudflare Gateway (CN)Cloudflare One (CN)Zero Trust (CN)简体中文

在 X 上关注

Ankur Aggarwal|@Encore_Encore
Cloudflare|@cloudflare

相关帖子