在採用身分驅動的 Zero Trust 規則之前,公有網際網路上的一些 SaaS 應用程式依賴連線使用者的 IP 位址作為網路安全模型。使用者會從使用固定 IP 位址範圍的已知辦公室位置連線,而 SaaS 應用程式則會檢查其位址以及登入憑證。
很多系統仍然提供該第二因素方法。Cloudflare One 的客戶可以針對此用途,使用專用輸出 IP 作為實現 Zero Trust 模型之旅的一部分。與其他解決方案不同,使用此選項的客戶無需部署自己的任何基礎架構。然而,並非所有流量都需要使用那些專用輸出 IP。
今天,我們將推出一些原則,讓管理員能夠控制 Cloudflare 何時使用專用輸出 IP。具體而言,管理員可以使用 Cloudflare 儀表板中的規則構建器,以根據身分、應用程式、IP 位址和地理位置等屬性,判定使用哪個輸出 IP 以及何時使用。只要企業合約客戶將專用輸出 IP 新增至 Zero Trust 訂閱,都可以使用此功能。
我們為什麼要構建此功能?
在今天的混合式工作環境中,組織渴望獲得更一致的網路安全和 IT 體驗,以管理員工從辦公室、資料中心以及漫遊使用者那裡輸出的流量。為了提供一種更精簡的體驗,很多組織都採用現代的雲端交付代理服務,如安全 Web 閘道 (SWG),並取代複雜的內部部署設備混合。
這些舊式工具有一個傳統的便利之處,就是能夠根據靜態來源 IP 建立允許清單原則。當使用者主要集中於一個地方時,根據輸出位置驗證流量不但容易至極,也足夠可靠。很多組織希望或者必須維持這種流量驗證方法,即便使用者已經不再集中於一個地方亦是如此。
到目前為止,Cloudflare 透過提供專用輸出 IP 作為代理 Zero Trust 服務的附加元件,來支援這些組織。與預設輸出 IP 不同,這些專用輸出 IP 不會在任何其他 Gateway 帳戶之間共用,僅可用於為指定的帳戶輸出代理流量。
正如我們在上一篇部落格文章中所討論的,客戶已經在使用 Cloudflare 的專用輸出 IP,藉由這些 IP 識別使用者代理流量或將其新增至協力廠商提供者的允許清單,來取代 VPN 使用。這些組織仍然使用固定的已知 IP,受益於這種簡便性,他們的流量避免了傳統內部部署設備的瓶頸和回傳。
何時使用輸出原則
Gateway 輸出原則構建器可讓管理員根據使用者的身分、裝置狀態、來源/目的地 IP 位址等,增強輸出流量的靈活性和明確性。
流量從特定地理位置輸出,為特定的使用者群組提供特定於地理位置的體驗(例如,語言格式、地區頁面差異),這是一種常見的使用案例。例如,Cloudflare 目前正在與一間全球媒體企業集團的行銷部門合作。他們位於印度的設計師和 Web 專家通常需要驗證在不同國家/地區執行的廣告和網站的版面配置。
然而,那些網站會根據使用者來源 IP 位址的地理位置,來限制或變更存取權。這就需要團隊僅針對此用途使用額外的 VPN 服務。藉由輸出原則,管理員可以建立一項規則,來比對網域 IP 位址或目的地國家/地區 IP 地理位置和行銷員工,從而將流量從基於地理位置的專用輸出 IP 輸出至需要驗證網域的國家/地區。這讓網路安全團隊可以高枕無憂,因為他們不必再維護周邊防禦中的這一漏洞,即另一個僅為了行銷的 VPN 服務,並且可以對此流量強制執行所有其他篩選功能。
還有一個使用案例範例是,允許存取由協力廠商維護的應用程式或服務。雖然網路安全系統管理員可以控制其團隊如何存取資源,甚至可以對其流量進行篩選,但他們通常不能變更由協力廠商強制執行的安全性控制。例如,與大型信用貸款處理機構合作時,他們使用協力廠商服務來驗證將交易路由傳送通過 Zero Trust 網路的風險。該協力廠商要求他們將來源 IP 加入允許清單。
為了達到這一目標,此客戶可能僅使用專用輸出 IP 就可以了,但這意味著,現在他們的所有流量都使用專用輸出 IP 路由傳送通過資料中心。因此,如果使用者希望瀏覽任何其他網站,他們的使用體驗會變差,這是因為流量不能採用最高效的路徑到達上游。但現在有了輸出原則,此客戶就可以僅將這個專用輸出 IP 套用至這個協力廠商提供者流量,並讓所有其他使用者流量透過預設 Gateway 輸出 IP 進行輸出。
構建輸出原則
為了示範管理員設定原則有多輕鬆,我們來看看最後一種情況。我的組織使用協力廠商服務,除了使用者名稱/密碼登入,他們還要求我們使用靜態來源 IP 或網路範圍來存取其網域。
為了進行此設定,我必須導覽至 Zero Trust 儀表板 Gateway 下的「Egress Policies(輸出原則)」。在那裡,我可以點擊「Create egress policy(建立輸出原則)」:
對於我的組織而言,存取此協力廠商服務的使用者大多位於葡萄牙,因此,我會使用指派給葡萄牙蒙蒂茹的專用輸出 IP。使用者將存取代管於 203.0.113.10 上的 example.com,因此,我會使用目的地 IP 選取器,來比對此網站的所有流量;原則設定如下:
建立原則後,我會再新增一個作為組織的全部擷取,以確保他們不會將任何專用輸出 IP 用於與此協力廠商服務無關聯的目的地。這是新增的關鍵,因為它可確保我的使用者獲得效能最佳的網路體驗,同時仍然保持透過共用 Enterprise IP 集區輸出的隱私權;原則設定如下:
看看輸出原則清單,我們可以看到兩個原則均已啟用,現在,當使用者嘗試存取 example.com 時,他們會使用主要或次要專用 IPv4 或 IPv6 範圍作為輸出 IP。而針對其他所有流量,則會使用預設的 Cloudflare 輸出 IP。
後續步驟
我們意識到,隨著組織從內部部署設備移轉,他們希望在透過雲端安全堆疊代理更多流量的同時,仍能保持簡便性和控制能力。現在有了 Gateway 輸出原則,管理員能夠控制越來越分散的員工的流量。
如果您想建置有關 Cloudflare 專用輸出 IP 的原則,則可以將其加入 Cloudflare Zero Trust 企業方案,也可以連絡您的客戶經理。