订阅以接收新文章的通知:

适用于 Cloudflare Zero Trust 平台的 PII 和选择性日志记录

2021-12-06

3 分钟阅读时间
这篇博文也有 EnglishIndonesiaไทย日本語版本。

在 Cloudflare,我们认为您可安全性和隐私兼得。去年我们发布了 Cloudflare Gateway—这是一款全面的安全 Web 网关,可为您的组织提供内置的 Zero Trust 浏览控制。今天,我们很高兴与大家分享最新的一套隐私功能,管理员可借此根据团队的需要对时间进行记录和审核。

Introducing PII and Selective Logging controls for Cloudflare’s Zero Trust platform

保护您的组织

Cloudflare Gateway 帮助企业取代传统的防火墙,同时也帮助其用户执行 Zero Trust 控制。无论您的用户在哪里,该网关都能满足您的各种要求,都能将其连接到互联网,甚至是在运行 Cloudflare 上运行的私有网络。这扩大了安全范围,您也无需购买或维护任何额外的硬件盒子。

组织还可以从用户性能的改善中获益,而不仅是消除到办公室或数据中心的流量回传。Cloudflare 的网络在全球 250 多座城市中提供更接近用户的安全过滤器。客户可通过使用这个世界上最快的 DNS 解析器开始进行连接。一旦连接,Cloudflare 就会利用第 4 层网络和第 7 层 HTTP 过滤器,智能地将其流量通过我们的网络进行路由。

要开始执行此操作,管理员应在用户设备上部署 Cloudflare 的客户端 (WARP),无论这些设备使用何种系统,如 MacOS、Windows、iOS、Android、ChromeOS 或 Linux。然后,客户端将所有出站的第 4 层流量与设备上的用户身份一起发送到 Cloudflare。

开启代理和 TLS 解密后,Cloudflare 将记录通过网关发送的所有流量,并在 Cloudflare 的仪表板上以原始日志和汇总分析的形式显示。然而,在某些情况下,管理员可能不希望保留日志或让其安全团队的所有成员访问。

原因可能有所不同,但最终的结果是相同的:管理员需要能控制如何收集用户数据,以及可审核这些记录的人员。

传统的解决方案通常只是为管理员提供一个一刀切式的低效工具。组织可以启用或禁用所有日志记录。在没有任何记录的情况下,这些服务不会去捕获任何个人可识别信息 (PII)。在忽略 PII 后,管理员不必担心控制或访问权限,但也将失去调查安全事件的所有可见性。

当团队需要处理来自用户的工单以回答相关问题时,如“为什么我被屏蔽了?”、“为什么那个请求失败了?”或“这不应被屏蔽吗?”,这种可见性的缺乏甚至会增加复杂性。如果没有与这些事件相关的日志,您的团队就无法帮助最终用户诊断这些类型的问题。

保护您的数据

从今天开始,您的团队有更多的选择来决定 Cloudflare Gateway 记录的信息类型,以及组织中可审查这些信息的人员。我们将为日志记录、分析页面和选择性事件记录发布基于角色的仪表板访问。通过基于角色的访问,那些可以访问您账户的人在默认情况下可在其仪表板视图中编辑 PII 信息。

我们很高兴能帮助各组织在管理 Cloudflare Gateway 部署的过程中建立最小权限控制。安全团队成员可以继续管理策略或调查总体攻击。然而,有些事件需要进一步调查。通过今天的发布,您的团队可向特定的团队成员分配使用 PII 进行审查和搜索的能力。

我们依然记得,有些客户希望同时减少存储的日志,我们也乐于助其解决这个问题。现在,管理员可以选择 Cloudflare 将代表其存储日志的级别。他们可以对每个组件、DNS、网络或 HTTP 进行控制,甚至可以选择仅限记录屏蔽事件。

该设置并不意味着您将失去所有的日志—仅意味着 Cloudflare 不会再存储这些日志。选择性日志记录与我们之前发布的 Logpush 服务相结合 ,允许用户停止在 Cloudflare 上存储日志,并在其选择的目的地和地点开启 Logpush 作业。

如何开始

若要开始使用,任何 Cloudflare Gateway 客户都可访问 Cloudflare for Teams 仪表板并导航到“设置 > 网络”。本页的第一个选项是指定活动记录的首选项。默认情况下,Gateway 将记录所有事件,包括 DNS 查询、HTTP 请求和网络会话。在网络设置页面,您随后可以完善要记录的事件类型。您将发现,Gateway 的每个组件都有三个选项:

  1. 全部捕获

  2. 仅捕获受屏蔽数据

  3. 不捕获

此外,还有在默认情况下可编辑日志中所有 PII 的选项。该选项可编辑任何用于识别用户的信息,包括用户名、用户电子邮件、用户 ID、设备 ID、源 IP、URL、推荐者和用户代理。

我们还在 Cloudflare 仪表板中加入了新功能,以便在对管理员访问 Access 或 Gateway 组件进行分区时,提供更好的细粒度。这些新功能将于 2022 年 1 月启用,可通过访问“账户主页 → 成员”对企业账户进行修改。

如果您还没有准备好创建账户,但却想了解我们的 Zero Trust 服务,请查看我们的交互式演示。您可以通过对关键用例的讲解,自行对平台有一个大概的了解,包括用 Cloudflare Gateway 设置 DNS 和 HTTP 过滤。

下一步

展望未来,我们很高兴能继续增添越来越多的隐私功能,让您和您的团队能实现对环境更精细的粒度控制。今天公布的功能适用于任何计划的用户;您的团队可访问链接以立即开始使用

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
CIO WeekCloudflare OneCloudflare GatewayFirewallLogs安全性

在 X 上关注

Ankur Aggarwal|@Encore_Encore
Abe Carryl|@mrlincolnlogs
Cloudflare|@cloudflare

相关帖子

2024年11月26日 16:00

Cloudflare incident on November 14, 2024, resulting in lost logs

On November 14, 2024, Cloudflare experienced a Cloudflare Logs outage, impacting the majority of customers using these products. During the ~3.5 hours that these services were impacted, about 55% of the logs we normally send to customers were not sent and were lost. The details of what went wrong and why are interesting both for customers and practitioners....

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...