Wir möchten heute näher erläutern, auf welche Weise Administratoren mit Cloudflare Sicherheitsrichtlinien erstellen und zugleich spezielle Ursprungs-IP-Adressen nutzen können. Bei lokalen Appliances wie herkömmlichen VPNs, Firewalls und Secure Web Gateways (SWGs) ist es für Unternehmen praktisch, auf Positivlisten-Richtlinien zurückzugreifen, die sich auf statische Ursprungs-IPs stützen. Doch diese Hardware ist schwer zu verwalten bzw. zu skalieren, weist von vornherein Schwachstellen auf und kann weltweit verteilten Traffic von Remote-Mitarbeitenden nur mit Mühe bewältigen.
In dieser Woche haben wir Beiträge dazu veröffentlicht, wie sich der Wechsel von diesen klassischen Tools zu Internet-nativer Zero Trust-Sicherheit bewerkstelligen lässt, die von Services wie unserem SWG Cloudflare Gateway geboten wird. Als wichtiger, nativ in unsere übergeordnete Zero Trust-Plattform integrierter Dienst erlaubt Cloudflare Gateway unter anderem auch das Filtern und Routen von Traffic für eine rekursive DNS-Namensauflösung, den Zero Trust-Netzwerkzugang, die Remote-Browserisolierung und die Nutzung eines CASB innerhalb des Datenpfads.
Uns ist aber auch bewusst, dass Administratoren während der Umstellung ihrer Unternehmen auf cloudbasierte Proxy-Dienste gern weiterhin die für sie bequemen Ursprungs-IPs nutzen möchten. In diesem Blogbeitrag wird beschrieben, wie wir vorgehen, um spezielle IPs für ausgehenden Traffic (Egress-Traffic) anzubieten. Außerdem stellen wir einige Funktionen vor, die in Kürze eingeführt werden und Administratoren noch größere Kontrolle verschaffen.
Die speziell für ausgehenden Traffic bestimmten IPs von Cloudflare
Um zu überprüfen, ob Traffic beim Zugriff auf Anwendungen oder Drittziele im Internet auch wirklich von einem bekannten Unternehmen/Nutzer stammt, werden immer noch gern Ursprungs-IP-Adressen genutzt. Wenn Unternehmen Cloudflare als Secure Web Gateway einsetzen, wird ihr Traffic durch unser globales Netzwerk geleitet, wo wir in dem aus Sicht des Nutzers nächstgelegenen Rechenzentrum Filter- und Routingrichtlinien anwenden. Besonders wirkungsvoll ist diese Methode bei Firmen, deren Mitarbeitende über die ganze Welt verteilt sind, oder bei Nutzern, die an keinen festen Ort gebunden sind. Administratoren brauchen bei Standortwechseln von Usern keine Listen mit statischen IP-Adressen zu aktualisieren und ein einzelner Standort kann auf diese Weise nicht zu einer Engstelle für Datenverkehr von Nutzern werden.
Für Ursprungs-IP-Adressen von über einen Proxy-Server geleiteten Traffic gibt es zwei Möglichkeiten:
Proxy-IP eines Geräte-Clients (WARP) – Cloudflare leitet Nutzer-Traffic, der über einen Proxy-Server geroutet wird, mithilfe einer IP aus dem vorgegebenen IP-Adressbereich – der für alle Zero Trust-Konten gilt – weiter
Spezielle IP für Egress-Traffic – Cloudflare stellt Kunden eine speziell dafür vorgesehene (IPv4- oder IPv6-)IP-Adresse oder einen IP-Adressbereich zur Verfügung, wobei die Adressen mittels Geolokalisierung einem Cloudflare-Netzwerkstandort oder mehreren zugeordnet ist
Standardmäßig wird für alle Kunden von Cloudflare Zero Trust ein WARP-Proxy-IP-Adressbereich für ausgehenden Datenverkehr verwendet. Auf diese Weise können die Daten eines Unternehmens bei der Übermittlung von Nutzer-Traffic an den nächstgelegenen Cloudflare-Netzwerkstandort hervorragend geschützt werden. Doch bei dieser Methode bietet die Festlegung von Sicherheitsrichtlinien für die Ursprungs-IP nicht die von Administratoren häufig zum Filtern des Nutzer-Traffics benötigte Detailgenauigkeit.
Spezielle Egress-IPs sind in Situationen hilfreich, in denen Administratoren Traffic mit einer Positivliste anhand eines Persistent Identifiers filtern wollen. Diese exklusiven Egress-IPs sind ausschließlich dem zugewiesenen Kunden vorbehalten und werden nicht von anderen Kunden verwendet, deren Datenverkehr durch das Cloudflare-Netzwerk geleitet wird.
Darüber hinaus können durch das Leasing solcher Egress-IPs von Cloudflare Datenschutzprobleme vermieden werden, die auftreten, wenn stattdessen auf IPs aus dem eigenen Adressbereich eines Unternehmens zurückgegriffen wird. Außerdem sinkt dadurch die Notwendigkeit, die der lokalen VPN-Appliance zugewiesenen IP-Adressbereiche vor DDoS-Angriffen oder anderen Attacken zu schützen.
Ausgehendem Datenverkehr vorbehaltene IPs sind von Cloudflare Zero Trust-Kunden hinzubuchbar, die den Enterprise-Tarif nutzen. Diese Kunden können die konkreten Cloudflare-Rechenzentren auswählen, die speziell für ihren Ausgangsdatenverkehr genutzt werden. Alle Kunden mit entsprechendem Abo erhalten für den Anfang mindestens zwei IPs, sodass der Nutzer-Traffic immer an das designierte nächstgelegene Rechenzentrum weitergeleitet wird. Auf diese Weise werden eine hohe Performance und Zuverlässigkeit gewährleistet. Last but not least können Unternehmen ihren ausgehenden Traffic über die speziell dafür vorgesehenen Cloudflare-IPs und die bevorzugten Netzwerkzugänge versenden. Dazu gehören der Geräte-Client von Cloudflare (WARP), Proxy-Endpunkte, GRE- und IPsec-On-Rampings sowie jeder unserer mehr als 1.600 Peering-Netzwerk-Standorte, einschließlich großer ISPs, Cloud-Provider und Unternehmen.
Aktuelle Anwendungsfälle
Cloudflare-Kunden rund um den Globus nutzen speziell für ausgehenden Datenverkehr vorgesehene IPs von Gateway zur Optimierung des Anwendungszugangs. Unten aufgeführt sind die drei gängigsten Anwendungsfälle bei Kunden unterschiedlicher Größe und aus verschiedenen Branchen:
Anwendung von Positivlisten für den Zugriff auf Drittapplikationen: Nutzer müssen oft auf Tools zugreifen, die von externen Anbietern, Partnern und anderen Drittunternehmen kontrolliert werden. Viele dieser externen Firmen nutzen weiterhin Usprungs-IPs zur Authentifizierung des Traffics. Mit speziell für ausgehenden Datenverkehr bestimmten IPs lassen sich diese Drittanbieter problemlos in die bestehenden Beschränkungen einfügen.
Zugangskontrolle für SaaS-Anwendungen per Positivliste: Herkunfts-IPs werden nach wie vor häufig als eine von mehreren Schutzschichten beim Nutzerzugriff auf SaaS-Applikationen angewandt – neben ausgefeilteren Methoden wie der Multi-Faktor-Authentifizierung und einer Überprüfungen mittels Identitätsanbietern.
Unterbindung der VPN-Nutzung: Gehostete VPNs werden oft IP-Adressen innerhalb des veröffentlichten IP-Adressbereichs des Kunden zugewiesen. Auf die Schwachstellen bei der Sicherheit, die Grenzen im Hinblick auf die Performance und die Komplexität der Verwaltung von VPNs sind wir in aktuellen Blogbeiträgen bereits ausführlich eingegangen. Um die Migration zu erleichtern, entscheiden sich Nutzer oft dafür, zuvor angewandte Verfahren beizubehalten, in denen auf IP-Positivlisten zurückgegriffen wird.
So können Administratoren weiterhin bequem Richtlinien mit feststehenden und bekannten IPs erstellen und gleichzeitig die Performance für Endnutzer steigern, indem sie den Traffic über das globale Netzwerk von Cloudflare leiten.
Richtlinien von Cloudflare Zero Trust für ausgehenden Datenverkehr
Doch damit nicht genug: Demnächst wird es möglich sein, noch detailliertere Richtlinien mittels der speziell dafür bestimmten Egress-IPs von Cloudflare zu erstellen. Bald können Administratoren mit einem Tool zur Erstellung von Egress-IP-Richtlinien im Dashboard von Cloudflare Zero Trust auf Grundlage von Identität, Applikation, Netzwerk und Geolokalisierung genau festlegen, welche IP-Adresse für ausgehenden Traffic verwendet werden soll.
Oft möchten Administratoren nur bestimmten Traffic über spezielle Egress-IPs leiten – sei es für bestimmte Anwendungen, Bestimmungsorte im Internet oder Nutzergruppen. In Kürze können sie ihre bevorzugte Egress-Methode auf Basis einer großen Bandbreite an Kriterien auswählen, darunter Applikation, Inhaltskategorie, Domain, Nutzergruppe oder Ziel-IP. Diese Flexibilität erlaubt es Unternehmen, einen mehrstufigen Sicherheitsansatz zu verfolgen und zugleich bei Datenübertragungen an die wichtigsten Ziele eine hohe Performance aufrecht zu erhalten (häufig mittels speziell diesem Zweck vorbehaltener IPs).
Außerdem werden Administratoren mit dem Tool zur Erstellung von Egress-IP-Richtlinien eine Geolokalisierung von Traffic für jedes Land und jeden Wirtschaftsraum vornehmen können, in dem Cloudflare vertreten ist. Besonders nützlich ist diese Geolokalisierungsfunktion, wenn die Mitarbeitenden eines Unternehmens über die ganze Welt verteilt sind und somit die Nutzererfahrung auf eine bestimmte geographische Region abgestimmt werden muss.
Nehmen wir beispielsweise an, dass die Marketingabteilung einer großen Mediengruppe das Layout digitaler Werbeanzeigen überprüfen möchte, die in verschiedenen Regionen eingesetzt werden. Ohne Cloudflare muss mühsam kontrolliert werden, ob die Anzeigen auf den lokalen Märkten den Erwartungen entsprechend angezeigt werden. Man musste entweder Kollegen vor Ort bitten, das zu überprüfen, oder einen VPN-Dienst einsetzen, um den Traffic zu dieser Region zu leiten. Doch mit einer Egress-Richtlinie genügt es, jeder Region eine benutzerdefinierte Test-Domain zuzuweisen und für den ausgehenden Datenverkehr die dort eingesetzte IP-Adresse zu nutzen.
Was kommt als Nächstes?
Sie können die eigens dafür vorgesehenen Egress-IP-Adressen verwenden, indem Sie sie einem Enterprise-Tarif von Cloudflare Zero Trust hinzufügen oder sich an Ihre Kundenbetreuer wenden. Sollten Sie bei Veröffentlichung des Gateway-Tools zur Erstellung von Egress-Richtlinien benachrichtigt werden möchten, können Sie sich hier in die Warteliste eintragen.