十年前,Cloudflare刚成立的时候,互联网还是一个单纯供人访问的地方。人们还在谈论“上网冲浪”,而iPhone出现还不到两年,但在2009年7月4日,出现了两起针对美国和韩国的网站的大规模DDoS攻击

这些攻击凸显了互联网是多么脆弱,以及我们所有人在日常生活中是多么依赖网络。

快进到十年后,互联网的速度、可靠性和安全性是至关重要的,因为我们的私人生活和工作都依赖于它。

我们创建Cloudflare是为了解决一半的IT组织面临的挑战:如何确保暴露在互联网上的资源和基础设施快速、可靠、不受攻击。我们看到,世界正在摆脱硬件和软件,转而想要一种可在世界范围内使用的可扩展服务来解决这些问题。

为了实现这个目标,我们建立了世界上最大的网络之一。今天,我们的网络遍及全球200多个城市,几乎每个人都能在几毫秒内接入互联网。我们已经建立了应对国家规模的网络攻击的容量和威胁情报系统,该系统由我们所见的海量互联网流量提供动力。

今天,我们正在扩展 Cloudflare的产品,以解决每个IT组织所面临的另一半挑战:确保组织中的人员和团队可以访问其工作所需的工具,并免受恶意软件和其他在线威胁的侵害。

今天,我们为公共基础设施带来的速度、可靠性和保护已经扩展到您的团队在互联网上所做的一切。

除了保护组织的基础设施之外,IT组织还负责确保组织的员工能够安全地访问他们需要的工具。传统上,这些问题可以通过VPN和防火墙等硬件产品来解决。VPN允许授权用户访问他们需要的工具,防火墙将恶意软件拒之门外。

城堡和护城河

最主要的模式是城堡和护城河的概念。你把所有值钱的东西都放在城堡里。你的防火墙在城堡周围筑起了护城河,以防任何恶意攻击。当您需要让某人进来时,VPN充当了护城河上的吊桥。

这仍然是大多数企业今天使用的模式,但它有一定的时代局限性。第一个挑战是,如果攻击者能够找到它的方式越过护城河进入城堡,那么它可以造成重大的破坏。不幸的是,鲜闻哪一周没有新闻报道某个组织因为员工陷入钓鱼邮件而导致重大数据被盗,或者承包商被盗,又或者有人潜入了办公室插入流氓设备。

该模型的第二个挑战是云和SaaS的兴起。越来越多的组织将资源分布在不同的公共云和SaaS供应商中,而不再只位于一座“城堡”中。

例如,Box等服务提供的存储和协作工具比大多数组织希望构建和管理它们自己的工具更好。但实际上,你不可能为了在他们的SaaS城堡周围建造你自己的护城河而一个一个地运送硬件。Box本身提供了一些很棒的安全工具,但它们与其他SaaS和公共云提供商提供的工具不同。IT组织过去试图用一块玻璃和一堆复杂的硬件来查看谁被他们的护城河挡住了,谁正在跨越他们的吊桥,SaaS和云计算使得这种透明化做法变得越来越困难。

第三个对传统城堡和护城河战略的挑战是移动的崛起。以前你的员工都会在你的城堡里工作,现在人们在世界各地工作。要求每个人都登录有限数量的中央VPN,你可以想象成,村民们无论身在何处,只要想完成工作,就得从吊桥上跑回来,这显然是荒谬的。难怪VPN支持是顶级IT组织的门槛之一,而且这些组织很可能永远之采用“城堡和护城河”这一固定方案。

但情况比这更糟。移动设备还引入了一种员工自带设备上班的文化。或者,即便使用公司管理的设备,员工也可以在路上或家里工作——超出了保护城堡的墙壁之外,没有护城河提供的安全保障。

如果你看看四年前我们在Cloudflare是如何管理我们自己的IT系统的,你就会看到我们在遵循同样的模式。我们使用防火墙来阻止威胁,并要求每个员工通过我们的VPN来完成他们的工作。就我个人而言,作为一个为了工作经常出差的人,这尤其痛苦。

经常会有人给我发一个内部wiki文章链接,征求我的意见。十有八九我都在会议间隙乘坐在出租车的后座上用手机工作。我会尝试访问这个链接,然后提示我登录我们在旧金山的VPN。这就很让我沮丧了。

根据我的经验,企业移动VPN客户端就像是一个100面骰子,只有当你离开家庭办公室的里程数小于投掷到的骰子数的1/25时,才允许您进行连接(就跟我形容的一样难)。经历了许多挫折,几次失败后,如果幸运的话,我也许能连接成功。而且,即使在那时,这种连接也是极其缓慢和不可靠的。

当我们审核我们自己的系统时,我们发现对流程的不满导致多个团队创建了工作区,这些工作区实际上是在我们精心建造的护城河上的未经授权的吊桥。而且,随着我们越来越多地采用Salesforce和Workday等SaaS工具,我们对这些工具的使用情况愈发不了解。

大约在同一时间,我们意识到传统的IT安全方法对于Cloudflare这样的组织来说是站不住脚的。谷歌发表了题为“BeyondCorp:一种新的企业安全方法”的论文。其核心思想是公司的内部网不应该比因特网更值得信任。并且,不应该由单一的护城河来强制执行外围操作,每个应用程序和数据源都应在每次访问时对个人和设备进行身份验证。

BeyondCorp的想法被称为IT安全的零信任模型,它对我们如何看待自己的系统产生了影响。因为Cloudflare有一个灵活的全球网络,所以我们能够在团队访问工具时使用它来执行策略,也可以在工作中保护自己免受恶意软件的侵害。

Cloudflare for Teams

今天,我们很高兴地发布Cloudflare for Teams ™:我们为保护自己而构建的工具套件,现在可用于帮助从最小到最大的任何IT组织。

Cloudflare for Teams围绕两个互补产品构建:Access和Gateway。Cloudflare Access ™是现代的VPN——一种确保您的团队成员快速访问其工作所需的资源,同时又将威胁排除在外的一种方法。Cloudflare Gateway ™是现代的下一代防火墙——一种确保您的团队成员免受恶意软件侵害,并且无论他们在何处上网,都能遵循其组织策略的一种方法。

功能强大的Cloudflare Access和Cloudflare Gateway都建立在现有Cloudflare网络之上。这意味着它们快速,可靠,可扩展到最大的组织,具有DDoS防护能力,并且可覆盖您的团队成员今天所在的任何地方以及他们可能旅行的任何地方。让高级主管去照相旅行吧,看看肯尼亚的长颈鹿,卢旺达的大猩猩和马达加斯加的狐猴——不用担心,我们在所有这些国家(甚至更多国家)都有Cloudflare数据中心,而且它们都可以为您的团队提供Cloudflare支持。

所有Cloudflare for Teams产品都拥有我们通过所有Cloudflare产品看到的安全威胁情报。我们看到互联网流量的多样性如此之大,以至于我们经常比其他任何人看到新的威胁和恶意软件。我们已经从领先的安全供应商处获得了额外的数据源,以补充自己的专有数据,从而确保Cloudflare for Teams可提供针对恶意软件和其他在线威胁的广泛保护。

此外,由于Cloudflare for Teams在我们为基础架构保护产品构建的同一网络上运行,因此我们可以非常高效地交付它们。这意味着我们可以以极具竞争力的价格为客户提供这些产品。我们的目标是让所有Cloudflare for Teams客户轻松获得投资回报(ROI)。如果您正在考虑其他解决方案,请在决定之前与我们联系

Cloudflare Access和Cloudflare Gateway都基于我们已经发布和测试的产品。例如,Gateway部分基于1.1.1.1 Public DNS resolver构建。如今,超过4000万人信任1.1.1.1作为全球最快的公共​​DNS解析器。通过添加恶意软件扫描,我们能够创建我们的入门级Cloudflare Gateway产品。

Cloudflare Access和Cloudflare Gateway构建了我们的WARP和WARP+产品。我们有意建立了一个消费者移动VPN服务,因为我们知道这会很困难。使产品步入正轨的数百万WARP和WARP+用户确保了产品已为企业准备就绪。仅在iOS上,我们就拥有超过200,000个4.5星评级,这证明了WARP和WARP+底层引擎已经变得多么可靠。相比之下,任何其他企业的移动VPN客户端都表现糟糕,这并不令人意外。

我们与一些不可思议的组织合作,围绕Cloudflare for Teams构建生态:在端点安全解决方案方面——VMWare Carbon Black、Malwarebytes和Tanium;SEIM和分析解决方案——Datadog、Sumo Logic和Splunk;身份平台——Okta、OneLogin和Ping Identity。

如果您对Cloudflare for Teams的更多技术细节感到好奇,建议您阅读Sam Rhea的文章

服务于所有人

Cloudflare一直相信为所有人服务的力量。因此,自2010年推出以来,我们就提供了Cloudflare for Infrastructure的免费版本。随着Cloudflare for Teams的推出,这种信念并没有改变。对于Cloudflare Access和Cloudflare Gateway,将有免费版本来保护个人,家庭网络和小型企业。我们记得成为一家初创公司的感觉,并相信每个人都应该安全地上网,无论他们的预算如何。

借助Cloudflare Access和Gateway,产品可以按照良好,更好,最佳框架进行细分。分为Access Basic,Access Pro和Access Enterprise。您可以在下表中看到每个等级可用的功能,包括将在未来几个月推出的Access Enterprise功能。

我们希望为Cloudflare Gateway使用一个类似的Good,Better,Best框架。只需对网络的递归DNS设置进行简单的更改,即可在数分钟内配置Gateway Basic。一旦配置成功,网络管理员就可以设置网络上应该允许哪些域和过滤哪些域的规则。Cloudflare Gateway通过从我们的全球传感器网络收集的恶意软件数据和丰富的域分类库来获取信息,允许网络运营商设置任何对他们有意义的策略。Gateway Basic通过精细的网络控制来利用1.1.1.1的速度。

对于我们今天发布的Gateway Pro,随着它的功能在接下来的几个月中推出,您可以注册进行beta测试,它将DNS提供的保护扩展到完整的代理。Gateway Pro可以通过WARP客户端(我们将其扩展到除了iOS和Android移动设备之外,还支持Windows,MacOS和Linux)或网络策略(包括MDM设置的代理设置或办公室路由器的GRE隧道)来配置Gateway Pro。这使得网络操作员不仅可以根据域,还可以根据特定的URL来筛选策略。

构建最高等级的Network Gateway

虽然Gateway Basic(通过DNS提供)和Gateway Pro(作为代理提供)很有意义,但是我们想要想象一下,对于那些重视最高性能和安全性的企业来说,最好的网络网关应该是什么样的。当我们与这些组织交谈时,我们听到了一个一直存在的担忧:仅浏览互联网就有造成未经授权的代码破坏设备的风险。每个用户访问的每个页面,都在他们的设备上下载并执行了第三方代码(JavaScript等)。

他们建议,解决方案是将本地浏览器与第三方代码隔离,并让网站在网络中呈现。这种技术称为浏览器隔离。理论上,这是个好主意。不幸的是,在当前技术的实践中,它的表现并不好。浏览器隔离技术最常见的工作方式是在服务器上呈现页面,然后将页面的位图下推到浏览器。这就是所谓的像素推送。挑战在于它可能是缓慢的、带宽密集型的,并且会破坏许多复杂的web应用程序。

我们希望可以通过将页面渲染移至更接近最终用户的Cloudflare网络来解决其中的一些问题。因此,我们与许多领先的浏览器隔离公司讨论了合作的可能性。不幸的是,当我们尝试他们的技术时,即使是我们庞大的网络,我们也无法克服困扰现有浏览器隔离解决方案的缓慢感觉。

介绍S2系统

是时候接触S2系统了。我清楚地记得我第一次尝试S2的时候,因为我的第一反应是:“这不可能,它太快了。” S2团队采用了另一种方法来隔离浏览器。他们没有下推屏幕的位图,而是下推了矢量以绘制屏幕上的内容。其结果是,用户体验至少与在本地浏览时一样快,而且没有中断页面。

在描述S2的技术和其他浏览器隔离公司之间的区别时,我想到的最好的类比是2001年推出的WindowsXP和MacOS X,尽管这个类比并不完美。WindowsXP的原始图形是基于位图图像。MacOS X是基于向量的。还记得在MacOS X文档中查看应用程序“精灵”的魔力吗?来看看发布会的视频吧……

当时,与使用位图用户界面相比,观看窗口滑进和滑出dock看起来就像魔术一样。你可以从观众的反应中感受到他们的赞叹。我们今天在UI中已经习惯的敬畏感来自于矢量图像的力量。如果你对现有的浏览器隔离技术的像素推送位图不感兴趣,就等着看S2的技术能做什么吧。

我们对其团队和技术印象深刻,所以我们收购了这家公司。我们将把S2技术集成到Cloudflare Gateway Enterprise中。浏览器隔离技术将贯穿Cloudflare的整个全球网络,使其能在几毫秒内到达几乎每一个互联网用户。您可以在Darren Remington的博客文章中了解有关此方法的更多信息。

一旦在2020年下半年推出完成,我们预计我们将能够提供第一个完整的浏览器隔离技术,不会强迫你牺牲性能。同时,如果你想要S2技术的演示,请告诉我们

为所有人提供更快的互联网的承诺

Cloudflare的使命是帮助建立更好的互联网。借助Cloudflare for Teams,我们已经扩展了该网络,以保护使用互联网开展工作的人员和组织。相比传统的硬件设备,我们很高兴能够帮助一个更加现代化、移动化和云计算化的互联网更安全、更快。

但是,我们现在正在部署的用于提高企业安全性的技术还有进一步的前景。最有趣的互联网应用程序正变得越来越复杂,进而需要更多的带宽和处理能力才能使用。

对于能够买得起最新款iPhone的幸运儿来说,我们将继续从一套日益强大的互联网工具中获益。但是,试着用几代人以前的手机上网,你就会发现最新的互联网应用程序是多么迅速地将传统设备甩在身后。如果我们想让未来的40亿互联网用户上网,这就是个问题。

如果应用程序的复杂程度和接口的复杂性继续与最新一代设备保持同步,我们就需要一个范式转换。为了让每个人都能充分利用互联网,我们可能需要把互联网的工作从我们口袋里携带的终端设备上转移出来,让网络——那里的电力、带宽和CPU相对充足——承担更多的负载。

这是S2与Cloudflare的网络相结合的技术的长期前景。如果我们可以使它变得更便宜,从而可以运行最新的互联网应用程序(比以往任何时候都可以使用更少的电量,带宽和CPU),那么我们就可以使每个人都可以更负担得起和更容易地访问互联网。

我们从Cloudflare for Infrastructure开始。今天,我们发布Cloudflare for Teams。但是我们的远大目标是Cloudflare for Everyone。

来自客户和合作伙伴的对Cloudflare for Teams的早期反馈

Ziff Media Group 产品与技术高级副总裁Josh Butts表示:“ Cloudflare Access使Ziff Media Group能够在任何设备上无缝安全地向世界各地的员工提供我们的内部工具套件,而无需复杂的网络配置。


Udaan的联合创始人兼首席技术官Amod Malviya说:“ VPN令人沮丧,并导致员工和支持他们的IT人员浪费了无数的周期。此外,传统的VPN可能使人们陷入一种错误的安全感。借助Cloudflare Access,我们提供了一种更加可靠,直观,安全的解决方案,该解决方案可以针对每个用户,每个访问权限运行。我认为它是身份验证2.0——甚至是3.0。”


Roman Health工程总监Ricky Lindenhovius说:“Roman使医疗服务变得方便易行。任务的一部分包括将患者与医生联系起来,Cloudflare帮助Roman安全,方便地将医生与内部管理的工具联系起来。借助Cloudflare,Roman可以评估对内部应用程序的每个请求以获取许可和身份,同时还可以提高速度和用户体验。”


“我们很高兴与Cloudflare合作,为我们的客户提供一种创新的企业安全方法,该方法结合了端点保护和网络安全的优势,” VMware业务开发副总裁Tom Barsi说道。“VMware Carbon Black是领先的端点保护平台(EPP)并提供对笔记本电脑,服务器,虚拟机和云基础架构的大规模可见性和控制。通过与Cloudflare合作,客户将能够使用VMware Carbon Black的设备运行状况作为信号,通过Cloudflare的零信任解决方案——Access,对团队的内部管理应用程序执行精细身份验证。我们的联合解决方案结合了端点保护和零信任身份验证解决方案的优势,以确保在Internet上工作的团队更加安全。”


Rackspace 联盟副总裁兼渠道负责人Lisa McLin表示:“ Rackspace是一家领先的全球技术服务公司,可在客户的数字化转型的每个阶段提高云的价值。我们与Cloudflare的合作关系使我们能够为客户提供最先进的网络性能,并帮助他们在进入云的过程中利用软件定义的网络架构。”


“员工越来越多地在传统公司总部之外工作。分布式和远程用户需要连接到互联网,但是今天的安全解决方案通常要求他们通过总部回传这些连接,以具有相同的安全级别,” Ingram Micro Cloud战略和业务开发主管Michael Kenney说。“我们很高兴与Cloudflare合作,该公司的全球网络可帮助任何规模的团队访问内部管理的应用程序并安全地使用互联网,从而保护推动业务的数据,设备和团队成员。”


“在Okta,我们的使命是让任何组织都能安全地使用任何技术。作为一家领先的企业身份认证提供商,Okta帮助组织消除了管理每个连接的企业身份和用户对应用程序的请求之间的摩擦。我们很高兴能与Cloudflare合作,为任何规模的团队带来无缝认证和连接。” Okta公司企业与业务开发副总裁Chuck Fontana说道。


“组织需要一个统一的地方来查看、保护和管理它们的端点,”Tanium的产品管理高级总监Matt Hastings说。“我们很高兴能与Cloudflare合作,帮助团队保护他们的数据、离网设备和应用程序。Tanium的平台为客户提供了一种基于风险的操作和安全方法,可以立即看到和控制他们的端点。Cloudflare通过整合设备数据来加强与受保护资源的每一次连接的安全性,从而帮助扩展了这种保护。”


OneLogin 产品高级总监Gary Gwin说:“ OneLogin很高兴与Cloudflare合作,以在不影响用户性能的情况下,在本地或云中的任何环境中提高安全团队的身份控制。OneLogin的身份和访问管理平台安全连接每个用户、每个应用程序和每个设备的人和技术。OneLogin和Cloudflare的团队集成为各种规模的团队提供了全面的身份和网络控制解决方案。”


“Ping Identity可以帮助企业改善其数字业务的安全性和用户体验,” Ping Identity产品管理副总裁Loren Russon说道。“ Cloudflare for Teams与Ping Identity集成在一起,可为任何规模的团队提供全面的身份和网络控制解决方案,并确保只有合适的人才能无缝,安全地获得对应用程序的正确访问。”


Datadog产品管理总监Marc Tremsal表示:“我们的客户越来越多地利用深层可观察性数据来解决操作和安全用例,这就是我们推出Datadog Security Monitoring的原因。我们与Cloudflare的集成已经为我们的客户提供了对他们的web和DNS流量的可见性;我们很高兴能与Cloudflare合作,将这种可见性扩展到企业环境。“


“随着越来越多的公司支持那些在办公室外处理公司应用程序的员工,了解用户的每个请求是至关重要的。他们需要实时的洞察力和情报来应对事件和审计安全连接,” Sumo Logic业务开发副总裁John Coyle“通过与Cloudflare的合作,客户现在可以记录向内部应用程序发出的每个请求,并自动将它们直接推送到Sumo Logic进行保留和分析。”


“Cloudgenix很高兴能与Cloudflare合作,提供从分支到云的端到端的安全解决方案。随着企业摆脱昂贵的遗留MPLS网络,并采用分支到internet的突破策略,CloudGenix CloudBlade平台和Cloudflare团队一起可以使这种转变无缝且安全。我们期待着Cloudflare的未来规划,以及近期的合作机会。” Cloudgenix Field CTO Aaron Edwards说道。


Malwarebytes首席产品官Akshay Bhargava表示:“面对有限的网络安全资源,企业正在寻求高度自动化的解决方案,这些解决方案应共同努力以降低当今网络风险的可能性和影响。有了Malwarebytes和Cloudflare的合作,组织正在部署超过20层的安全防御——深度防御。只要使用两种解决方案,团队就可以保护整个企业,从设备到网络,再到内部和外部应用程序。”


CipherCloud首席执行官Pravin Kothari说:“企业的敏感数据在互联网传输过程中,以及在目的地的公共云、SaaS应用程序和端点中,都很容易受到攻击。CipherCloud很高兴能与Cloudflare合作,无论在哪个阶段,确保数据的安全。Cloudflare的全球网络在不降低性能的情况下保护传输中的数据。CipherCloud CASB+为云环境、SaaS应用程序和BYOD端点提供强大的云安全平台,提供端到端数据保护和自适应控制。团队合作时,可以依赖于集成的Cloudflare和CipherCloud解决方案,在不损害用户体验的情况下始终保护数据。”