订阅以接收新文章的通知:

介绍Cloudflare Access:与BeyondCorp类似,但您无需成为谷歌员工就能使用它

2018-01-17

3 分钟阅读时间
这篇博文也有 EnglishDeutschEspañolFrançais版本。

告诉我这听起来是不是很熟悉:公司内部网络的任何连接都是可信的,而外部的任何连接都不可信。这是当今大多数企业使用的安全策略。问题是,一旦破坏了创建此边界的防火墙,网关或VPN服务器,攻击者就可以立即,轻松,以被受信任的状态访问所有内容。

CC BY-SA 2.0 image by William Warby

CC BY-SA 2.0 图片来自 William Warby

传统的安全边界模型还有第二个问题。它要么要求员工使用公司网络(即办公室),要么使用VPN,这样做都会降低工作速度,因为每次页面加载都要额外往返于VPN服务器。即使经受了这些麻烦,VPN上的用户仍然非常容易受到钓鱼、中间人攻击和SQL注入攻击。

几年前,谷歌率先为自己的员工推出了一种名为BeyondCorp的解决方案。他们没有将内部应用程序保存在内部网中,而是让它们可以在internet上被访问。在谷歌,网络没有内外的概念。网络不是什么坚固的堡垒,一切都在互联网上,没有任何连接是可信的。每个人都必须证明自己就是他们所说的那个人。

Cloudflare的使命一直是让互联网巨头的工具大众化。今天,我们推出了Cloudflare Access:一种针对云和内部部署应用的无边界访问控制解决方案。它就像BeyondCorp,但您无需成为Google员工就能使用它。

Access-blog-post-diagramv2

Cloudflare Access是如何运作的?

Access通过确保每一个请求都满足以下条件来作为统一的反向代理:

身份验证: Access与大多数主要身份提供商(如Google,Azure Active Directory和Okta)集成在一起,这意味着您可以快速将现有身份提供商连接到Cloudflare,并使用已创建的群组和用户来访问您的Web应用程序。您还可以将TLS与客户端身份验证配合使用,并仅将连接限制为唯一具有客户端证书的设备。Cloudflare将确保连接设备具有由公司CA签署的有效客户端证书,然后Cloudflare将对用户凭据进行身份验证,以授予其对内部应用程序的访问权限。

**授权:**该解决方案为已经使用标识提供程序创建的组和个人用户配置访问策略,从而可以轻松地保护应用程序资源。例如,您可以使用Access确保只有您的公司员工可以访问您的内部看板,或者锁定您的wordpress站点的wp-admin。

access-policy

**加密:**由于Cloudflare使用HTTPS保证所有连接的安全,因此不需要VPN。

对于那些被环球旅行高管严厉批评过的所有IT管理员(被批评的原因是说VPN使互联网变慢)而言,Access是一个完美的解决方案。它使您能够通过控制面板和API提供以下功能来控制和监视对应用程序的访问:

  • 轻松更改访问策略

  • 修改会话持续时间

  • 撤消现有用户会话

  • 集中记录审核和更改日志

您希望使用更快的连接来替代VPN吗?您可以尝试将Access与Argo配对。如果您要在内部应用程序前使用Access但不想将该应用程序应用到整个互联网,则可以将Access与Argo Tunnel结合使用。Argo Tunnel将使Cloudflare成为您应用程序的互联网连接,因此您甚至不需要公共IP。如果您要在遗留应用程序前使用Access并保护该应用程序免受遗留软件中未修补的漏洞的影响,您只需单击启用Web应用程序防火墙,Cloudflare将检查数据包并阻断具有漏洞的数据包。

Cloudflare Access允许员工从任何设备、任何地点和任何类型的网络上连接到企业应用程序。Access由Cloudflare全球120多个数据中心网络提供支持,能够提供足够的冗余度和DDoS保护,并且接近您的员工或公司可能位于任何位置的办公室。

启用:

设置Access仅需5-10分钟,您可以免费试用最多一个用户(超出这一数字的每位用户每月需要3美元,您可以联系销售部门获得批量折扣)。Cloudflare Access现已完全可以供我们的企业客户使用,并向我们的免费、专业和商业计划客户开放beta公共测试版。若想要开始使用,请转到Cloudflare控制面板的“访问”选项卡

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
Cloudflare Access速度和可靠性Authentication产品新闻安全性

在 X 上关注

Cloudflare|@cloudflare

相关帖子

2024年10月24日 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

2024年10月09日 13:00

Improving platform resilience at Cloudflare through automation

We realized that we need a way to automatically heal our platform from an operations perspective, and designed and built a workflow orchestration platform to provide these self-healing capabilities across our global network. We explore how this has helped us to reduce the impact on our customers due to operational issues, and the rich variety of similar problems it has empowered us to solve....

2024年10月08日 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...