訂閱以接收新文章的通知:

藉助 Cloudflare Zero Trust 管理和控制專用輸出 IP 的使用

2023-02-03

閱讀時間:4 分鐘
本貼文還提供以下語言版本:EnglishFrançaisDeutsch日本語한국어PortuguêsEspañol简体中文

在採用身分驅動的 Zero Trust 規則之前,公有網際網路上的一些 SaaS 應用程式依賴連線使用者的 IP 位址作為網路安全模型。使用者會從使用固定 IP 位址範圍的已知辦公室位置連線,而 SaaS 應用程式則會檢查其位址以及登入憑證。

Manage and control the use of dedicated egress IPs with Cloudflare Zero Trust

很多系統仍然提供該第二因素方法。Cloudflare One 的客戶可以針對此用途,使用專用輸出 IP 作為實現 Zero Trust 模型之旅的一部分。與其他解決方案不同,使用此選項的客戶無需部署自己的任何基礎架構。然而,並非所有流量都需要使用那些專用輸出 IP。

今天,我們將推出一些原則,讓管理員能夠控制 Cloudflare 何時使用專用輸出 IP。具體而言,管理員可以使用 Cloudflare 儀表板中的規則構建器,以根據身分、應用程式、IP 位址和地理位置等屬性,判定使用哪個輸出 IP 以及何時使用。只要企業合約客戶將專用輸出 IP 新增至 Zero Trust 訂閱,都可以使用此功能。

我們為什麼要構建此功能?

在今天的混合式工作環境中,組織渴望獲得更一致的網路安全和 IT 體驗,以管理員工從辦公室、資料中心以及漫遊使用者那裡輸出的流量。為了提供一種更精簡的體驗,很多組織都採用現代的雲端交付代理服務,如安全 Web 閘道 (SWG),並取代複雜的內部部署設備混合。

這些舊式工具有一個傳統的便利之處,就是能夠根據靜態來源 IP 建立允許清單原則。當使用者主要集中於一個地方時,根據輸出位置驗證流量不但容易至極,也足夠可靠。很多組織希望或者必須維持這種流量驗證方法,即便使用者已經不再集中於一個地方亦是如此。

到目前為止,Cloudflare 透過提供專用輸出 IP 作為代理 Zero Trust 服務的附加元件,來支援這些組織。與預設輸出 IP 不同,這些專用輸出 IP 不會在任何其他 Gateway 帳戶之間共用,僅可用於為指定的帳戶輸出代理流量。

正如我們在上一篇部落格文章中所討論的,客戶已經在使用 Cloudflare 的專用輸出 IP,藉由這些 IP 識別使用者代理流量或將其新增至協力廠商提供者的允許清單,來取代 VPN 使用。這些組織仍然使用固定的已知 IP,受益於這種簡便性,他們的流量避免了傳統內部部署設備的瓶頸和回傳。

何時使用輸出原則

Gateway 輸出原則構建器可讓管理員根據使用者的身分、裝置狀態、來源/目的地 IP 位址等,增強輸出流量的靈活性和明確性。

流量從特定地理位置輸出,為特定的使用者群組提供特定於地理位置的體驗(例如,語言格式、地區頁面差異),這是一種常見的使用案例。例如,Cloudflare 目前正在與一間全球媒體企業集團的行銷部門合作。他們位於印度的設計師和 Web 專家通常需要驗證在不同國家/地區執行的廣告和網站的版面配置。

然而,那些網站會根據使用者來源 IP 位址的地理位置,來限制或變更存取權。這就需要團隊僅針對此用途使用額外的 VPN 服務。藉由輸出原則,管理員可以建立一項規則,來比對網域 IP 位址或目的地國家/地區 IP 地理位置和行銷員工,從而將流量從基於地理位置的專用輸出 IP 輸出至需要驗證網域的國家/地區。這讓網路安全團隊可以高枕無憂,因為他們不必再維護周邊防禦中的這一漏洞,即另一個僅為了行銷的 VPN 服務,並且可以對此流量強制執行所有其他篩選功能。

還有一個使用案例範例是,允許存取由協力廠商維護的應用程式或服務。雖然網路安全系統管理員可以控制其團隊如何存取資源,甚至可以對其流量進行篩選,但他們通常不能變更由協力廠商強制執行的安全性控制。例如,與大型信用貸款處理機構合作時,他們使用協力廠商服務來驗證將交易路由傳送通過 Zero Trust 網路的風險。該協力廠商要求他們將來源 IP 加入允許清單。

為了達到這一目標,此客戶可能僅使用專用輸出 IP 就可以了,但這意味著,現在他們的所有流量都使用專用輸出 IP 路由傳送通過資料中心。因此,如果使用者希望瀏覽任何其他網站,他們的使用體驗會變差,這是因為流量不能採用最高效的路徑到達上游。但現在有了輸出原則,此客戶就可以僅將這個專用輸出 IP 套用至這個協力廠商提供者流量,並讓所有其他使用者流量透過預設 Gateway 輸出 IP 進行輸出。

構建輸出原則

為了示範管理員設定原則有多輕鬆,我們來看看最後一種情況。我的組織使用協力廠商服務,除了使用者名稱/密碼登入,他們還要求我們使用靜態來源 IP 或網路範圍來存取其網域。

為了進行此設定,我必須導覽至 Zero Trust 儀表板 Gateway 下的「Egress Policies(輸出原則)」。在那裡,我可以點擊「Create egress policy(建立輸出原則)」:

對於我的組織而言,存取此協力廠商服務的使用者大多位於葡萄牙,因此,我會使用指派給葡萄牙蒙蒂茹的專用輸出 IP。使用者將存取代管於 203.0.113.10 上的 example.com,因此,我會使用目的地 IP 選取器,來比對此網站的所有流量;原則設定如下:

建立原則後,我會再新增一個作為組織的全部擷取,以確保他們不會將任何專用輸出 IP 用於與此協力廠商服務無關聯的目的地。這是新增的關鍵,因為它可確保我的使用者獲得效能最佳的網路體驗,同時仍然保持透過共用 Enterprise IP 集區輸出的隱私權;原則設定如下:

看看輸出原則清單,我們可以看到兩個原則均已啟用,現在,當使用者嘗試存取 example.com 時,他們會使用主要或次要專用 IPv4 或 IPv6 範圍作為輸出 IP。而針對其他所有流量,則會使用預設的 Cloudflare 輸出 IP。

後續步驟

我們意識到,隨著組織從內部部署設備移轉,他們希望在透過雲端安全堆疊代理更多流量的同時,仍能保持簡便性和控制能力。現在有了 Gateway 輸出原則,管理員能夠控制越來越分散的員工的流量。

如果您想建置有關 Cloudflare 專用輸出 IP 的原則,則可以將其加入 Cloudflare Zero Trust 企業方案,也可以連絡您的客戶經理。

我們保護整個企業網路,協助客戶有效地建置網際網路規模的應用程式,加速任何網站或網際網路應用程式抵禦 DDoS 攻擊,阻止駭客入侵,並且可以協助您實現 Zero Trust

從任何裝置造訪 1.1.1.1,即可開始使用我們的免費應用程式,讓您的網際網路更快速、更安全。

若要進一步瞭解我們協助打造更好的網際網路的使命,請從這裡開始。如果您正在尋找新的職業方向,請查看我們的職缺
Cloudflare OneZero TrustCloudflare Gateway

在 X 上進行關注

Ankur Aggarwal|@Encore_Encore
Cloudflare|@cloudflare

相關貼文

2024年9月24日 下午1:00

A safer Internet with Cloudflare: free threat intelligence, analytics, and new threat detections

Today, we are taking some big steps forward in our mission to help build a better Internet. Cloudflare is giving everyone free access to 10+ different website and network security products and features....