เมื่อเดือนตุลาคมที่ผ่านมา เราได้ประกาศเปิดตัว Cloudflare One ซึ่งเป็นโซลูชันเครือข่ายแบบบริการบนระบบคลาวด์ที่ครอบคลุม มีความปลอดภัย รวดเร็ว และเชื่อถือได้ พร้อม ๆ กับกำหนดอนาคตของเครือข่ายองค์กร ทั้งนี้ Cloudflare One ประกอบด้วยองค์ประกอบสองส่วน ได้แก่ บริการเครือข่าย อย่างเช่น Magic WAN และ Magic Transit ที่ปกป้องศูนย์ข้อมูลและสำนักงานสาขาและเชื่อมต่อเข้ากับอินเทอร์เน็ต และองค์ประกอบที่สองคือ Cloudflare for Teams ซึ่งรักษาความปลอดภัยให้กับแอปพลิเคชัน อุปกรณ์ และพนักงานขององค์กรที่ทำงานบนอินเทอร์เน็ต วันนี้ เรารู้สึกตื่นเต้นที่จะประกาศการผสานการทำงานแบบใหม่กับ VMware Carbon Black, CrowdStrike และ SentinelOne เพื่อจับคู่กับการผสานรวม Tanium ที่มีอยู่ของเรา ลูกค้า Cloudflare for Teams สามารถใช้การผสานการทำงานเหล่านี้เพื่อจำกัดการเข้าถึงแอปพลิเคชันของตน โดยพิจารณาตามสัญญาณความปลอดภัยจากอุปกรณ์ของลูกค้าเอง
การปกป้องแอปพลิเคชันด้วย Cloudflare for Teams
เมื่อเกิดการระบาดของ COVID-19 พวกเราหลายคนเริ่มทำงานจากที่บ้าน พนักงานออกจากสำนักงาน แต่เครือข่ายและแอปพลิเคชันที่พวกเขาทำงานด้วยไม่ได้ออกไปด้วย VPN เริ่มหยุดตอบสนองอย่างรวดเร็วภายใต้โหลดที่หนักอึ้งจากการรับส่งข้อมูล backhauling ส่วนการกำหนดค่าไฟร์วอลล์ใหม่กลายเป็นฝันร้ายด้านไอทีในชั่วข้ามคืน
เหตุการณ์เหล่านี้เป็นตัวเร่งลำดับเวลาให้องค์กรหลายแห่งปรับใช้สถาปัตยกรรมเครือข่ายแบบ Zero Trust ทั้งนี้ Zero Trust หมายถึงการไม่ไว้วางใจทุกคำขอเชื่อมต่อกับทรัพยากรขององค์กร และหันมาสกัดกั้นและให้สิทธิ์การเข้าถึงเฉพาะเมื่อตรงตามเกณฑ์ที่กำหนดโดยผู้ดูแลระบบเท่านั้น Cloudflare for Teams ทำแบบเดียวกันนี้ด้วยการแทนที่ VPN รุ่นเก่าด้วยเครือข่ายทั่วโลกของเราที่ทำงานในกว่า 200 สถานที่ และตรวจสอบตัวตนของผู้ใช้ผ่านผู้ให้บริการข้อมูลยืนยันตัวตน และตรวจสอบการอนุญาตแบบไขว้ไปยังแอปพลิเคชันที่ร้องขอ เฉพาะในกรณีที่ผู้ใช้ยืนยันตัวตนได้สำเร็จ และมีสิทธิ์ในการเข้าถึงเพียงพอเท่านั้นจึงจะได้รับสิทธิ์ในการเข้าถึง ผลลัพธ์ที่ได้: ประสิทธิภาพดีขึ้นเนื่องจากเครือข่ายทั่วโลกของเรา และรูปแบบการรักษาความปลอดภัยที่อิงอยู่กับการตรวจสอบยืนยันมากกว่าความไว้วางใจ
BYOD—นำอุปกรณ์มาเอง นำการทำลายล้างมาเอง
การทำงานทางไกลก็เหมือนกับการเขวี้ยงลูกโค้งให้บริษัท เมื่อเส้นแบ่งระหว่างเวลาทำงานและเวลาส่วนตัวไม่ชัดเจน ผู้ใช้ก็เริ่มทำงานจากอุปกรณ์ต่าง ๆ รวมถึงอุปกรณ์ส่วนบุคคลด้วย ทั้งนี้ อุปกรณ์ส่วนบุคคลหรืออุปกรณ์ที่ไม่ปลอดภัยมักจะเสี่ยงต่อภัยคุกคาม เช่น มัลแวร์ ได้มากกว่า เพราะอุปกรณ์เหล่านี้ไม่ได้รับการปกป้องโดยโปรแกรมป้องกันมัลแวร์หรือผู้ให้บริการรักษาความปลอดภัยปลายทางที่มีความซับซ้อนมากขึ้น การใช้อุปกรณ์ที่ไม่ปลอดภัยเพื่อเข้าถึงอีเมลของบริษัท ปรับใช้โค้ดกับระบบที่ใช้งานจริง หรือเข้าถึงแอปพลิเคชันที่มีข้อมูลที่ละเอียดอ่อนนั้นมีความเสี่ยง และอาจส่งผลให้เกิดการละเมิดกฎการปฏิบัติตามข้อกำหนดของบริษัท หรือที่แย่กว่านั้นคือ ทำให้ระบบเสียหายหากอุปกรณ์ที่ติดไวรัสแพร่กระจายมัลแวร์
นโยบายใหม่ที่พิจารณาจากความปลอดภัยของอุปกรณ์
เริ่มตั้งแต่วันนี้ ลูกค้า Cloudflare for Teams สามารถกำหนดค่านโยบายใหม่ที่อาศัยสัญญาณความปลอดภัยของอุปกรณ์ที่ผู้จำหน่ายความปลอดภัยปลายทางให้มา เพื่ออนุญาตหรือปฏิเสธการเชื่อมต่อกับแอปพลิเคชันของตน คำว่าการรักษาความปลอดภัยปลายทาง ความปลอดภัยของอุปกรณ์ ความสมบูรณ์ของอุปกรณ์ หรือรูปแบบของอุปกรณ์มักใช้แทนกันได้ แต่ทั้งหมดมีความหมายเหมือนกัน นั่นคือทั้งหมดนี้เป็นชุดของสัญญาณที่ช่วยตัดสินว่าอุปกรณ์ต่าง ๆ เช่น แล็ปท็อปหรือโทรศัพท์มือถือ มีความปลอดภัยหรือไม่ ซึ่งรวมถึงสัญญาณและคุณลักษณะต่าง ๆ เช่น เวอร์ชันของระบบปฏิบัติการ วันที่ของโปรแกรมปะแก้ล่าสุด สถานะการเข้ารหัสดิสก์ รายการของแอปพลิเคชันที่ติดตั้ง สถานะของการป้องกันมัลแวร์หรือผู้ให้บริการความปลอดภัยปลายทาง และวันที่ของการสแกนมัลแวร์ครั้งล่าสุด
การทำความเข้าใจสัญญาณเหล่านี้ โดยเฉพาะอย่างยิ่งในอุปกรณ์ทั้งหมดที่ออกโดยบริษัท หรือเรียกอีกอย่างว่ากลุ่มอุปกรณ์ เป็นสิ่งสำคัญและทำให้ทีมรักษาความปลอดภัยและไอทีสามารถพบอุปกรณ์เก่าที่ต้องมีการลงแพทช์ หรือเมื่ออุปกรณ์ติดมัลแวร์และจำเป็นต้องแก้ไข เมื่อใช้ Cloudflare for Teams เราสามารถใช้สัญญาณเหล่านี้เพื่อทำการตัดสินใจที่เกี่ยวข้องกับการเข้าถึงเครือข่าย ตัวอย่างเช่น เพื่อป้องกันไม่ให้อุปกรณ์ที่ออกโดยบริษัทเข้าถึงแอปพลิเคชันที่มีความละเอียดอ่อน เราสามารถกำหนดนโยบายการเข้าถึงที่เปรียบเทียบหมายเลขซีเรียลของอุปกรณ์กับรายการอุปกรณ์ของบริษัท เมื่อหมายเลขซีเรียลตรงกันแสดงว่านั่นคือผู้ใช้ที่ได้รับสิทธิ์ในการเข้าถึง
ไคลเอนต์ WARP ของเราได้ตรวจสอบคุณลักษณะเหล่านี้บางส่วนแล้ว เช่น หมายเลขซีเรียลและตำแหน่งของอุปกรณ์ และรับรองว่าการรับส่งข้อมูลได้รับการเข้ารหัสด้วย WARP การผสานการทำงานใหม่ของเราจะช่วยให้ลูกค้าได้รับเลเยอร์การรักษาความปลอดภัยเพิ่มเติมโดยกำหนดให้อุปกรณ์ทำงาน เช่น เอเยนต์ CrowdStrike หรือ VMware Carbon Black ก่อนที่จะให้สิทธิ์อุปกรณ์ในการเข้าถึงทรัพยากรที่ปกป้องด้วย Cloudflare การรวมสัญญาณจาก WARP และแพลตฟอร์มการรักษาความปลอดภัยปลายทางของคู่ค้าของเรา ทำให้เรามั่นใจได้ว่าอุปกรณ์นั้นเป็นอุปกรณ์ที่บริษัทไม่ต้องการและปลอดมัลแวร์ ดังนั้นจึงถือว่าเป็นอุปกรณ์ที่ปลอดภัย
ในวัฒนธรรมการทำงานจากทุกที่ในปัจจุบัน ความเสี่ยงที่จะเกิดช่องโหว่ของความปลอดภัยมีเพิ่มขึ้นอย่างมาก เนื่องจากพนักงานและอุปกรณ์ของพนักงานอยู่ภายใต้สภาพแวดล้อมที่เป็นภัยคุกคามต่อภายนอกสำนักงาน แต่ด้วยการผสานรวมกับ Cloudflare องค์กรต่าง ๆ จะสามารถใช้ประโยชน์จากพลังของแพลตฟอร์ม CrowdStrike Falcon เพื่อเข้าถึงแอปพลิเคชันแบบมีเงื่อนไขแบบไดนามิกได้อย่างแม่นยำ ให้การป้องกัน Zero Trust แบบ end-to-end บนอุปกรณ์ปลายทาง ปริมาณงาน และแอปพลิเคชันต่าง ๆ เพื่อหยุดยั้งการโจมตีในแบบเรียลไทม์— Patrick McCormack รองประธานอาวุโสฝ่ายวิศวกรรมระบบคลาวด์ CrowdStrike
VMware Carbon Black Cloud ได้รวมเอาอุปกรณ์ปลายทางและข้อเสนอการรักษาความปลอดภัยสำหรับปริมาณงานหลายรายการเข้าไว้ในแพลตฟอร์มคลาวด์เนทีฟเดียว Cloudflare ใช้ประโยชน์จาก VMware Carbon Black Cloud เพื่อช่วยให้ลูกค้ารักษาความปลอดภัยและจัดการอุปกรณ์ที่เชื่อมต่อกับระบบคลาวด์และเครือข่าย Zero Trust— Tom Corn รองประธานอาวุโส หน่วยธุรกิจความปลอดภัย, VMware
สถานประกอบการต่างเห็นพ้องกับแนวคิดที่ว่าขอบเขตแบบเดิมกำลังเสื่อมถอยลง ขอบเขตแบบกระจายและไดนามิกในปัจจุบันจำเป็นต้องมีแนวทางใหม่ในการรักษาความปลอดภัย แต่ด้วยความร่วมมือกับ Cloudflare ทำให้แพลตฟอร์มความปลอดภัยทางไซเบอร์ที่ขับเคลื่อนด้วย AI ของเราช่วยให้องค์กรยุคใหม่มีโซลูชันการรักษาความปลอดภัยแบบ Zero Trust ที่แข็งแกร่งยิ่งขึ้น ซึ่งครอบคลุมอุปกรณ์ เครือข่าย และแอปพลิเคชันที่สำคัญต่อภารกิจที่องค์กรต่าง ๆ ไว้วางใจ— Chuck Fontana รองประธานอาวุโสฝ่ายพัฒนาธุรกิจและองค์กร, SentinelOne
สถาปัตยกรรมการรักษาความปลอดภัย Zero Trust เริ่มต้นที่ระดับเครือข่ายด้วยการแบ่งส่วนและการบังคับใช้ แต่เมื่อมีการใช้ทรัพยากรและข้อมูลขององค์กรบนอุปกรณ์ปลายทางมากขึ้น สถาปัตยกรรม Zero Trust จึงต้องพิจารณาทั้งที่อุปกรณ์ปลายทางและเครือข่าย การทราบข้อมูลยืนยันตัวตนของอุปกรณ์ปลายทาง ตลอดจนการทราบว่าอุปกรณ์เป็นอุปกรณ์ล่าสุด ทนทานต่อภัยคุกคามด้านความปลอดภัยและไม่ตกอยู่ในอันตราย เป็นเรื่องสำคัญที่ช่วยรับประกันว่าจะมีการเข้าถึงทรัพยากรขององค์กรได้อย่างปลอดภัย— Pete Constantine หัวหน้าเจ้าหน้าที่ฝ่ายผลิตภัณฑ์, Tanium
ผลิตภัณฑ์นี้ทำงานอย่างไร
การบูรณาการของเรานั้นไม่ยุ่งยาก ขั้นตอนแรกคือการรักษาความปลอดภัยแอปพลิเคชันของคุณด้วย Cloudflare Access การผสานรวมระหว่าง Access และผู้ให้บริการรักษาความปลอดภัยปลายทางของคุณจะแตกต่างกันเล็กน้อยตามผู้จำหน่ายของคุณ
Tanium
Tanium ไม่ต้องการซอฟต์แวร์เพิ่มเติมใด ๆ ที่ติดตั้งในเครื่องของผู้ใช้ เพียงป้อนใบรับรอง Tanium ของคุณใน Cloudflare for Teams Dashboard และเปิดใช้งาน Endpoint Identity ในอินสแตนซ์ Tanium หลังจากนั้น คุณสามารถเพิ่ม Tanium เป็นการตรวจสอบนโยบายของแอปพลิเคชันใน Teams Dashboard เพื่อให้แน่ใจว่าอุปกรณ์ของผู้ใช้เป็นอุปกรณ์ที่บริษัทไม่ต้องการและปราศจากมัลแวร์
VMware Carbon Black, CrowdStrike และ SentinelOne
ผู้จำหน่ายเหล่านี้ต่างจาก Tanium เพราะผู้จำหน่ายต้องการให้ใช้ไคลเอนต์ WARP บนอุปกรณ์ ดังนั้น ก่อนที่คุณจะกำหนดค่าผู้ให้บริการเหล่านี้บน Teams Dashboard เราแนะนำให้ปรับใช้ WARP ผ่านโซลูชัน MDM ก่อน หรือผู้ใช้สามารถดาวน์โหลดไคลเอนต์ WARP ได้โดยตรง
เมื่อใช้ไคลเอนต์ WARP สำหรับทีมของคุณแล้ว คุณสามารถกำหนดค่าผู้ให้บริการความปลอดภัยปลายทางของคุณได้บน Teams Dashboard โดยเริ่มแรก ให้เข้าสู่ระบบ Teams Dashboard ก่อน แล้วไปที่ My Team->Devices จากนั้นคลิกที่แท็บใหม่ "Device posture" สำหรับพันธมิตรของเรา เราได้กำหนดค่าไว้ล่วงหน้าซึ่งควรจะใช้กับการติดตั้งส่วนใหญ่ได้
คุณกำหนดค่าเสร็จเรียบร้อยแล้ว คุณสามารถตั้งกฎตามผู้ให้บริการที่คุณเลือก และนำไปใช้กับแอปพลิเคชันของคุณได้ แบบเดียวกับที่คุณทำกับนโยบาย Access อื่น ๆ เมื่อมีกฎแล้ว WARP จะตรวจสอบเพื่อดูว่าซอฟต์แวร์รักษาความปลอดภัยปลายทางทำงานอยู่ในอุปกรณ์หรือไม่ และแจ้งสถานะไปยัง Access หลังจากนั้น Access จะใช้สถานะของซอฟต์แวร์ความปลอดภัยปลายทางของอุปกรณ์เพื่ออนุญาตหรือปฏิเสธการเข้าถึงแอปพลิเคชันที่ปลอดภัย หากอุปกรณ์ใช้ซอฟต์แวร์รักษาความปลอดภัยปลายทางขององค์กร คุณจะได้รับสิทธิ์เข้าถึง
การตรวจสอบ Zero Trust เหล่านี้สามารถทำร่วมกับคุณสมบัติต่าง ๆ เช่น MFA และ User Identity เพื่อป้องกันข้อมูลประจำตัวที่ถูกขโมยหรือความพยายามในการเข้าถึงที่เป็นอันตรายอื่น ๆ
แล้วยังไงต่อ
ในรุ่นที่จะเปิดตัวในอนาคต เราจะรวมสัญญาณความปลอดภัยเพิ่มเติมจากพันธมิตรที่เพิ่งเปิดตัวใหม่ของเรา เช่น คะแนนความเสี่ยงของ CrowdStrike และ VMware Carbon Black เพื่อให้การควบคุมที่ละเอียดยิ่งขึ้นว่าอุปกรณ์ใดสามารถเข้าถึงแอปพลิเคชันที่ได้รับการป้องกัน เราจะยังคงเป็นพันธมิตรกับผู้จำหน่ายรายอื่นต่อไปเพื่อให้ลูกค้าเลือกผู้จำหน่ายได้ตามที่ใจต้องการ
หากคุณกำลังใช้ Cloudflare for Teams และสนใจที่จะใช้งานการผสานการทำงานของเรา โปรดไปที่เอกสารสำหรับนักพัฒนาเพื่อศึกษาวิธีการเปิดใช้งาน หากคุณต้องการเรียนรู้เพิ่มเติมหรือมีคำถาม โปรดกรอกแบบฟอร์มในหน้า Endpoint Security Partnerships แล้วเราจะรีบติดต่อกลับ