团队使用的 SaaS 应用程序可能比您想象的要多。一旦用户注册替代服务并将数据存储在新的地方,管理员为审查和批准应用程序而付出的努力就会变得徒劳无功。从今天开始,您可使用 Cloudflare for Teams,点击两下鼠标即可检测和拦截未经批准的应用程序。
不断增加的影子 IT 使用
SaaS 应用节省 IT 部门的时间和预算。企业无需为托管工具的服务器付费,也无需配置人员负责这些工具的监控、升级和排障,只需一张信用卡就可以注册一个类似的 SaaS 服务,再也不用担心托管或维护的问题。
同样的便利也导致了数据控制问题这些 SaaS 应用程序位于您控制的任何环境之外;由于您的敏感数据是由第三方保存的,给团队带来便利的同时,也成为一种潜在的责任。大多数组织通过对所使用的 SaaS 应用程序进行仔细审计以维持控制。根据行业和法规的影响,IT 部门对他们使用的应用程序进行评估、批准和编目。
然而,用户会有意或无意地绕过这些批准。例如,如果您的组织依赖于 OneDrive,但某个用户更喜欢使用 Google Drive,该用户可能决定将工作文件存储在 Google Drive 上。IT 无法发现这种情况,用户也可能认为没有问题。该用户开始与您组织中的其他用户共享文件,这些用户也注册了 Google Drive,一个未经批准的应用程序突然开始拥有敏感信息。这就是“影子 IT”,这些应用程序本质上扰乱了贵组织实施的管控措施。
检测影子 IT
Cloudflare Gateway 将所有前往互联网的流量路由到 Cloudflare 的网络,以便对您的用户实施细粒度控制,防止未知的安全威胁。现在,Cloudflare Gateway 为您的团队提供更多保证,就组织环境中使用的 SaaS 应用提供轻松的高可见性概览。
只要启用 Gateway,贵组织的所有 HTTP 请求都会聚合到 Gateway 活动日志中,以用于审计和安全目的。在活动日志中,我们将显示有关用户、操作和请求的相关信息。这些记录包括有关应用和应用类型的数据。在上面的示例中,应用类型将是协作和在线会议,应用将是 Google Drive。
在此,Gateway 会分析活动日志中的 HTTP 请求,通过分类和排序,将这些看似杂乱的应用整理成为可据以操作的见解,从而揭示影子 IT,而您的团队无需增加任何工作。
介绍影子 IT 发现
通过使用影子 IT 发现, Cloudflare for Teams 首先对您组织中使用的所有应用程序进行编目。该功能首先以“观察”模式运行——对所有应用程序进行分析,但默认为“未审查”状态。
然后,您的团队可以审查发现的应用,只需单击几下,即可单独或批量将应用指定为已批准或未批准状态。
这允许管理员轻松跟踪用户正在访问的最主要已批准和未批准的应用,从而更好地分析其安全态势。当深入到更详细的视图时,管理员可以进行批量操作,一次移动多个新发现的应用程序。在此视图中,用户还可以根据应用类型进行筛选,以轻松识别组织中的冗余。
我们想要添加的另一个功能是能够快速突出显示贵组织正在使用的应用是否已经被 Cloudflare Access 保护。您可以在标题为“安全”的一栏中找到这些信息。如果一个应用未被 Access 保护,现在您也可以通过 Access for SaaS 这样做。(我们在本周添加了两个新的教程!)
当您将一个应用程序标记为未批准时,Cloudflare for Teams 不会直接阻止它。我们知道,一些组织需要将应用标记为未批准,并在与用户确认后才完全阻止其访问。如果您的团队已经准备好,那么您可以应用一条 Gateway 规则来阻止以后的访问。
节省 IT 成本
虽然我们很高兴能帮助 IT 团队不再担心未经批准的应用,但我们也与担心在某些已批准的应用上花费过多的团队进行了沟通。
我们希望也能在这个方面提供帮助。今天发布的功能会统计不同时间间隔内访问任一应用的唯一用户数量。IT 团队可使用这些数据来与所需的许可证和适当大小进行对比。
如果没有这个功能,许多管理员和我们自己的内部 IT 部门每天晚上都会失眠,担心他们的用户是否在绕过有关控制,使他们面临攻击的风险。此外,许多管理员在为整个组织采购软件许可证时也会受到财务上的影响。通过影子 IT 发现功能,我们使您的团队能够预测受欢迎的应用程序,并在采购生命周期的更早期开始评估过程。
下一步
我们很高兴能推出影子 IT 发现功能,并迫不及待要看到您会如何使用它。如要开始,使用 Cloudflare for Teams 客户端为您的组织部署 HTTP 过滤。在日后,我们还将在 Gateway 中增加自动化以阻止未经批准的应用,但我们很想知道您对这个功能还有什么别的想法。