订阅以接收新文章的通知:

还有一件事(零信任):Cloudflare Intrusion Detection System

2020-10-17

4 分钟阅读时间
这篇博文也有 EnglishDeutsch日本語Français版本。

今天,我们非常高兴地公布我们的Cloudflare Intrusion Detection System 计划,这款新产品将能够监控您的网络,并在怀疑遇到攻击时发出警报。通过与 Cloudflare One 深度集成,Cloudflare Intrusion Detection System 可帮助您鸟瞰整个全局网络,并检查所有流量的不良行为,无论它们源自网络外部还是内部。

分析网络不麻烦

企业通过制定防火墙规则来确保其网络不受外部和内部威胁的影响。当不良行为者企图攻击网络时,这些防火墙会检查攻击是否与规则模式匹配。如果匹配,防火墙就会介入并阻止攻击。

企业团队过去常常在物理防火墙设备上配置这些规则,这些设备通常部署在物理位置,并且具有不同的品牌和型号。昨天,我们发布了 Magic Firewall,这是 Cloudflare 通过遍布全球的数据中心交付的网络级防火墙。您的团队只需编写一次防火墙规则,再部署到 Cloudflare,我们的全球网络就可以保护您的办公室和数据中心,无需在内部部署硬件。

如果您知道攻击源于何处,这效果极好。如果不具备这种确定性,那么寻找这些类型的攻击将成为代价昂贵的猜测。老练的攻击者可以突破网络防御措施来确定存在或不存在哪些规则。他们可以利用这些信息发起更隐蔽的攻击。甚至更糟:突破您的员工的防线,并从内部发动攻击。

在零信任周结束之前,我们再宣布一件事:Cloudflare Intrusion Detection System (IDS),这一解决方案能够同时分析整个网络并提醒您可能未被规则捕获到的事件。

Cloudflare IDS 代表了 Cloudflare One 的一个关键部分。WARP 用来连接您的设备,Magic Transit 将办公室和数据中心连接到 Cloudflare,Cloudflare IDS 则立于这两者之上,让您能够同时检查和评估所有流量。您可以通过单一视图,了解网络内部发生的情况以及可能出现违规的地方。Cloudflare IDS 也在识别威胁和攻击方面不断进步。您可以选择接收警报,而且只需单击一下,就能快速、轻松地阻止蒙过静态规则的入侵行为。最重要的是,您的团队将受益于 Cloudflare 从其他地区或行业的攻击收集的情报,标记出影响到您的事件。

运作方式?

假设违规

传统安全模型隐式信任网络内部的所有连接。这使网络容易受到内部不良行为者的破坏和攻击。零信任概念通过假设每个连接都是危险的来翻转模型。不等待表明已经发生确定违规行为的证据,而是假设违规已经发生。

若要有效实施零信任模型,您需要两个核心组件:

  • 整个网络的综合视图,不断对其进行分析以捕捉静态规则可能遗漏的问题;

  • 一个入侵检测系统(购买或自备),以执行上述分析。

与 Cloudflare One 的深度集成在一定程度上促成了 Cloudflare IDS 的有效性。WARP 和 Magic Transit 提供第一个组件,让您可以将整个网络和所有设备连接到 Cloudflare,从而能俯瞰每一个数据包和连接。

然后,Cloudflare IDS 通过主动检查流量和流量内容来帮助检测从网络内部各处发动的攻击。Cloudflare IDS 将以两种方式运行:流量塑形和流量检查。通过查看网络上流量的行为,我们可以了解正常行为是什么样的:用户每天仅登录一个系统,他们仅访问某些应用程序,诸如此类。应该不会有人试图一次性登录多个系统,或对网络进行端口扫描,这显然是恶意意图的迹象。

我们采用的另一种入侵检测形式是流量检查:检查网络中流动的流量的内部,以查看是否有人在开展有针对性的攻击。这些类型的攻击无法通过传统方法检测,因为它们其实形似正常流量:只有检查其内部,才能发现行为者正在尝试恶意行为。

群体免疫

攻击者一般会遵循某种模式。不良行为者首先尝试攻击一个企业,然后在别处重复相同的攻击。遗憾的是,我们发现这种模式在最近有所抬头。例如,Fancy Bear 的 DDoS 攻击活动从一个组织转到另一个组织并重复相同的剧本。

我们认为众人之力可以加强安全性。Cloudflare IDS 可以从针对我们网络和所有客户网络的攻击中汲取经验,不断识别出正在发起的新型攻击。然后,我们将从确保 Cloudflare 和其他客户安全过程中吸取的经验教训交给您的团队。平台还融合了外部威胁摘要;而且,您也可提供自己的经验教训。

减轻 CPU 开销

运行自己的 IDS 解决方案(无论是内部开发还是购买而得)的客户经常会抱怨 IDS 解决方案对 CPU 的消耗极大。它们需要在内存中保留很多状态,并且需要大量计算才能有效且准确地工作。

借助 Cloudflare IDS,您可以将负担卸给我们的网络。Cloudflare 从头开始构建,可以无限扩展。每个边缘数据中心都运行完全相同的软件,从而使我们能够高效地大规模部署工作负载。使用 Cloudflare 运行 IDS,您可以消除传统解决方案的计算资源负担,而且无需为容量担忧。

无比容易

团队部署 Cloudflare IDS 时,只需点击一个按钮便可。我们会开始分析您的 Magic Transit 流量和 Magic Firewall 事件中的模式,比照我们的威胁摘要进行检查。

如果我们确定发生了可疑事件,我们会发送警报来通知您的团队。然后,您的安全团队就能开始审查相关行为并深入研究数据,以判断具体的情况。您可以从仪表板中获得有关攻击类型及其发生位置的更多见解。补救只需点击一下:只要设置一条规则并将其发布到全球 Cloudflare 网络便可:我们会将攻击的所有踪迹都消灭掉。

下一步是什么?

Cloudflare IDS 的发布将遵循我们的 Magic Firewall 公告的 GA。如果您想成为率先采用 IDS 的人,请与客户团队联系以了解更多信息。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
Zero TrustZero Trust Week安全性

在 X 上关注

Cloudflare|@cloudflare

相关帖子

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...