十年之前,我们创立了 Cloudflare。那时,互联网是人们造访的地方,人们口中说的仍然是“上网冲浪”,iPhone 的发布也不足两年。而在 2009 年 7 月 4 日,美国和韩国的网站遭受了大规模的 DDoS 攻击。
这些攻击凸显了互联网的脆弱,也显现了所有人越来越依赖互联网作为我们日常生活的一部分。
快进十年,互联网的速度、可靠性和安全性变得至关重要,因为我们的私人生活和工作都离不开它。
我们之所以创立 Cloudflare 是为了解决每个 IT 组织所面临的一半挑战:如何确保向互联网公开的资源和基础架构免受攻击,并且保持快速和可靠。我们发现,人们正在从借助硬件和软件解决这些问题的惯性中走出来,希望拥有一种适用于全球的可扩展服务。
为此,我们建设了全球规模最大的网络之一。我们的网络如今已覆盖全球 200 多个城市,对每个连上互联网的人来说,几乎都是几毫秒的距离。我们建立了可抵御国家规模网络攻击的力量,也打造了一个由我们所见的大量互联网流量驱动的威胁情报系统。
今天,我们将扩充 Cloudflare 的产品,解决每个 IT 组织所面临的另一半挑战:确保组织中的人员和团队能够访问其工作所需的工具,并且免受恶意软件和其他网络威胁的侵害。
我们赋予公共基础设施的速度、可靠性与保护,今天将延伸到您的团队在互联网上所做的一切。
除了保护组织的基础架构之外,IT 组织还要负责确保组织的员工能够安全地访问其所需的工具。按照传统,这些问题通过 VPN 和防火墙之类的硬件产品来解决。VPN 使授权用户可以访问他们需要的工具,防火墙则用来阻挡恶意软件。
城堡与护城河
占主导地位的模型运用了城堡加护城河理念。一切有价值的资产都放入城堡之中。防火墙在城堡周围挖出一条护城河,防止任何恶意之徒进入城堡。需要让人进入时,由 VPN 充当跨越护城河的吊桥。
这仍然是当今大多数企业采用的模型,但它已开始落伍。第一个挑战是,如果攻击者想出办法越过护城河并进入城堡,就能造成重大破坏。不幸的是,每隔几周就会读到组织发生重大数据泄漏的新闻报道,起因要么是员工被钓鱼邮件蒙骗上当,要么是承包商失守,或者就是有人潜入办公室并插入非法设备。
该模型的第二个挑战是云和 SaaS 的兴起。越来越多的组织资源不再位于一座城堡之中,分散到不同的公共云和 SaaS 供应商。
例如,Box 之类的服务提供更好的存储和协作工具,比大多数组织想象中自己构建和管理的还要好。然而,其实没有地方可以帮您把硬件箱子运送到 Box,从而在他们的 SaaS 城堡周围建造您自己的护城河。Box 本身提供了一些出色的安全工具,但有别于其他所有 SaaS 和公共云供应商提供的工具。在过去,IT 组织力图使用配有复杂硬件的一块玻璃板来查看谁被护城河拦下、谁又越过了吊桥,而 SaaS 和云使这种可见性变得越来越困难。
传统的城堡加护城河式 IT 战略面临的第三个挑战是移动技术的兴盛。从前员工都会现身于您的城堡中工作,现在可以从世界各地工作。想象一下,如果将要求所有人登录有限数量的中央 VPN 比作村民每次想完成工作时必须从其他地方跨越吊桥冲回来,就会发现这显然很荒谬。难怪 VPN 支持是 IT 组织收到的票证中数量最多的一种,对于继续采用城堡加护城河方式的组织来说可能永远如此。
但然后,现实比这更糟。移动技术还引入了一种文化,员工将自己的设备带到工作中。或者,即使是公司管理的设备,也可以在路上或家里工作。这超出了城堡的保护墙,也失去护城河提供的安全防护。
如果您看过四年前我们在 Cloudflare 如何管理自己的 IT 系统,那么会发现我们遵循相同的模型。我们使用防火墙来阻挡威胁,并要求每位员工都通过我们的VPN 登录来完成工作。就个人而言,作为一个经常出差的人,这尤其令我痛苦。
时不时会有人给我发送一个内部 Wiki 文章链接,请我帮忙。我几乎肯定是坐在穿梭于不同会议之间的出租车上,用手机工作。我尝试访问这个链接,看到要登录我们旧金山的 VPN 的提示。我的沮丧由此开始。
根据我的经验,公司移动 VPN 客户端似乎都由大约 100 面芯片提供支持,只有在您离家庭办公室的里数小于某个数字的 25 倍时,才会允许您进行连接。经过多次挫败和几张 IT 票证,再加上一点运气,我也许能连接上。即使到那时,体验仍然极为缓慢且不可靠。
我们审核自己的系统时发现,对流程的不满导致多个团队创造了变通之法,而这实际上是在用心建设的护城河上擅自架设吊桥。而且,随着 Salesforce 和 Workday 之类 SaaS 工具采用率越来越高,我们越来越看不透这些工具的使用方式。
我们意识到传统的 IT 安全防护方法对于像 Cloudflare 这样的组织来说是站不住脚的。大约在同样的时间,Google 发表了题为“BeyondCorp:一种新的企业安全防护方法”的论文。其核心思想是,公司的内联网不应比互联网更值得信任。而且,不能由单一的护城河来强制分界,每个应用程序和数据源都应在每次访问时对个人和设备进行身份验证。
BeyondCorp 理念已被称为 IT 安全防护的零信任模型,它也影响了我们对自有系统的思索。在很大程度上,因为 Cloudflare 具有灵活的全球网络,我们能够在团队访问工具时使用它来执行策略,并在我们工作时保护自己免受恶意软件的侵害。
Cloudflare for Teams
今天我们很高兴地宣布,Cloudflare for Teams™ 这款我们为保护自己而开发的工具套件,现在可用来帮助任何 IT 组织,不论其规模大小如何。
Cloudflare for Teams 围绕Access 和 Gateway 这两个互补产品构建。 Cloudflare Access™ 是现代的 VPN,可以确保您的团队成员快速访问其工作所需的资源,同时又将威胁排除在外。Cloudflare Gateway ™ 则是新一代的现代防火墙,可确保您的团队成员免受恶意软件侵害,并遵循您组织的政策,而且无论他们从哪里上网。
Cloudflare Access 和 Cloudflare Gateway 功能强大,构建于现有的 Cloudflare 网络基础之上。这意味着它们快速、可靠,可扩展到最大的组织,并具有 DDoS 防护能力。不论您的团队成员如今位于何处,前往哪里旅行,都能为其保驾护航。某位高管正在进行摄影之旅,探访肯尼亚的长颈鹿、卢旺达的大猩猩和马达加斯加的狐猴?不用担心,我们在所有这些国家/地区(以及更多地方)都设有Cloudflare 数据中心,而且全部支持 Cloudflare for Teams。
所有 Cloudflare for Teams 产品都有Cloudflare 产品中全部可见的威胁情报支持。我们可以看到如此丰富多样的互联网流量,所以通常会比别人更快发现新的威胁和恶意软件。在自己的专有数据基础上,我们还有领先安全供应商的额外数据源的补充,确保 Cloudflare for Teams 提供广泛的防护措施来抵御恶意软件和其他网络威胁。
此外,由于 Cloudflare for Teams 在我们为基础架构保护产品构建的同一网络上运行,因此可以非常高效地交付。也就是说,我们可以极具竞争力的价格为客户提供这些产品。我们的目标是毫不犹豫地为所有Cloudflare for Teams 客户带来投资回报(ROI)。如果您正在考虑其他解决方案,请在决定之前与我们联系。
Cloudflare Access 和 Cloudflare Gateway 也围绕我们已经推出并已经实战测试的产品打造。例如,Gateway 在一定程度上基于我们的 1.1.1.1 公共 DNS 解析器。如今,4000 多万人信赖 1.1.1.1 这款全球最快的公共 DNS 解析器。通过增加恶意软件扫描功能,我们打造了入门级 Cloudflare Gateway 产品。
Cloudflare Access 和 Cloudflare Gateway 在我们的WARP 和 WARP+ 产品基础上开发。我们特意开发了一个消费型移动 VPN 服务,因为我们知道这并非易事。数百万 WARP 和 WARP+ 用户帮助这款产品步入正轨,确保它为走向企业做好准备。仅在 iOS 上,我们就获得了超过 200,000 个 4.5 星评分,这证明了底层 WARP 和 WARP+ 引擎已经变得多么可靠。与这相比,所有企业移动 VPN 客户端的评分无疑糟糕透顶。
我们与一些优秀的组织展开了合作,围绕 Cloudflare for Teams 建设一个生态系统。当中包括端点安全解决方案(如 VMWare Carbon Black、Malwarebytes 和 Tanium 等)、SEIM 和分析解决方案(如Datadog、Sumo Logic 和Splunk),以及身份标识平台(如 Okta、OneLogin 和 Ping Identity)。本文末尾可找到这些和其他合作伙伴提供的反馈。
如果您有兴趣进一步了解 Cloudflare for Teams 的技术细节,建议您阅读 Sam Rhea 的帖子。
服务所有人
Cloudflare 一直相信为所有人服务的力量。正因为此,我们在 2010 年发布 Cloudflare for Infrastructure 后推出了免费版本。随着我们发布 Cloudflare for Teams,这一信念依然不会改变。对于 Cloudflare Access 和 Cloudflare Gateway,我们都会提供免费版本来保护个人、家庭网络和小型企业。我们记得身为一家初创公司的感受,而且认为每个人都应该安全地上网,不论预算多寡。
对于 Cloudflare Access 和 Gateway,产品都按照良好、更好和最佳框架来进行细分。这便划分为 Access Basic、Access Pro 和Access Enterprise 三个等级。您可以从下表中查看各个等级提供的功能,包括未来几个月即将推出的Access Enterprise 功能。
对于 Cloudflare Gateway,我们也想采用类似的良好、更好和最佳框架。Gateway Basic 可以在数分钟内配置,只需对网络的递归 DNS 设置进行简单更改便可。一旦到位,网络管理员就可以设置网络上应允许和过滤哪些域的规则。支撑 Cloudflare Gateway 的是从我们全球传感器网络收集的恶意软件数据,以及丰富的域分类库,这让网络操作人员可以设置对他们有意义的任何策略。Gateway Basic 通过精细的网络控制来利用 1.1.1.1 的速度。
Gateway Pro 于今天发布,具体功能在未来几月陆续推出,您可以报名参加 Beta 测试。它将 DNS 预置的保护扩展到完整的代理。Gateway Pro 可以通过 WARP 客户端置备(我们正在将其扩展到 iOS 和Android 移动设备之外,支持 Windows、MacOS 和 Linux),也可通过网络策略来置备(包括 MDM 预置的代理设置或来自办公路由器的 GRE 隧道)。这样,网络操作员不仅可以通过域,还能通过特定 URL 来过滤策略。
建设首屈一指的网关
尽管 Gateway Basic(通过 DNS 配置)和 Gateway Pro(作为代理配置)已经很好,但我们想要设想,对于那些注重最高性能和安全性级别的企业来说,怎样才算一流的网关。通过与这些组织交流,我们听到了一个永恒的担忧:仅浏览互联网本身就会有造成未经授权代码破坏设备的风险。每个用户访问的每个页面,都会在其设备上下载并执行第三方代码(JavaScript 等)。
至于解决方案,他们建议将本地浏览器与第三方代码隔离开,并在网络中渲染网站。这种技术称为浏览器隔离。从理论上讲,这个主意不错。可惜在利用当前技术的实践中,效果不甚理想。浏览器隔离技术最常见的工作方式是在服务器上渲染页面,然后将页面的位图向下推送到浏览器。这称为像素推送。其挑战在于速度慢、带宽密集,而且会破坏许多复杂的 Web 应用程序。
我们希望可以通过将页面渲染移至更接近最终用户的 Cloudflare 网络来解决其中的一些问题。因此,我们与许多领先的浏览器隔离公司讨论了潜在的合作。遗憾的是,当我们利用他们的技术试验时,即使我们这样庞大的网络规模,也无法摆脱困扰现有浏览器隔离解决方案的缓慢感受。
S2 Systems 登台亮相
后来有人向我们介绍了 S2 Systems。我清晰记得首次尝试 S2 演示的体会,因为我的第一反应是:“这不正常,速度太快了。”S2 团队在隔离浏览器上另辟蹊径。他们没有往下推送屏幕画面的位图,而是推送用于绘制屏幕上内容的矢量。结果是,体验到速度通常至少与本地浏览相当,而且没有页面损坏。
我想了一个最好(虽然不完美)的类比来描述 S2 技术与其他浏览器隔离公司之间的区别,那就是 2001 年同期推出的 WindowsXP 和MacOS X 之间的差别。WindowsXP 的原始图形基于位图图像。MacOS X 则基于矢量。还记得观看应用程序“精灵”般开关 MacOS X 文档的神奇感受吗?您可以到发布会的视频看看…
与使用位图用户界面所能达到的效果相比,当时看到窗口滑进滑出程序坞就像魔法般神奇。您可以听到观众席发出的惊叹之声。这种惊叹在今天的 UI 中已司空见惯,而它源自于矢量图像的力量。如果您对现有浏览器隔离技术的像素推送位图无动于衷,那就耐心等待 S2 技术可以达到的效果。
我们被这个团队和他们的技术打动,所以收购了这家公司。我们将把 S2 技术整合到 Cloudflare Gateway Enterprise 中。此浏览器隔离技术将在Cloudflare 的整个全球网络中运行,几乎与每一位互联网用户的距离都在数毫秒之内。您可以从 Darren Remington 的博客文章中了解有关此方法的更多信息。
预计在 2020 年下半年完成全面部署后,希望能提供率先提供不会迫使您牺牲性能的完整浏览器隔离技术。同时,如果您想要 S2 技术实际应用的演示,请告诉我们。
承诺为所有人提供更快的互联网
Cloudflare 的使命是帮助构建更美好的互联网。借助 Cloudflare for Teams,我们已经扩展了这个网络,为使用互联网开展工作的人员和组织提供保护。我们很高兴能帮助创造一个更加现代、移动并支持云的互联网,比利用传统硬件设备时更加安全、更加快速。
然而,我们目前为提升企业安全性而部署的技术仍有许多发展空间。最吸引人的互联网应用程序变得愈加精致,但需要更多的带宽和处理能力才能使用。
对于我们当中有幸负担得起最新 iPhone 的人,我们将继续受益于功能日益强大的互联网兼容工具集。但是,如果尝试从几代之前的手机使用互联网,就会发现最新的互联网应用以多快速度将旧设备甩在身后。如果我们想要使另外 40 亿互联网用户上网,这就是一个问题。
如果应用程序的精致和接口的复杂继续与最新一代设备保持同步,我们就需要进行范式转变。为了使所有人都能充分利用互联网,我们可能需要将互联网的工作从我们随身携带的终端设备上移开,并让功率、带宽和 CPU 相对富足的网络承载更多的负载。
这是一个长远的愿景,S2 技术与 Cloudflare 网络两者联合或许能在某一天实现。如果成功的话,我们就能让价格低廉的设备运行最新的互联网应用程序,而且使用比以往更少的电池、带宽和 CPU,那时就能让互联网成为每个人都负担得起并且更易访问的事物。
我们首先从 Cloudflare for Infrastructure 开始,今天又推出了Cloudflare for Teams。但我们的雄心无异于面向所有人的 Cloudflare。
客户和合作伙伴对 Cloudflare for Teams 的早期反馈
“Cloudflare Access 让 Ziff Media Group 能够无缝、安全地向员工交付我们的内部工具套件,无需复杂的网络配置,他们就能从全球任何地方通过任何设备使用这些工具。”— Josh Butts,Ziff Media Group 产品与技术高级副总裁
“VPN 令人苦不堪言,让员工和支持他们的 IT 同事浪费了无数的时间和精力。此外,传统的 VPN 可以使人们产生虚幻的安全感。有了 Cloudflare Access,我们拥有了能够基于每个用户、每次访问运行的解决方案,而且更加安全可靠、直观易用。我认为它是身份验证 2.0,甚至是 3.0。”— Amod Malviya,Udaan 联合创始人兼首席技术官
“Roman 致力于让医疗保健服务更便捷。该任务的一部分包括将患者与医生联系起来,Cloudflare 则帮助 Roman 安全、方便地将医生与内部管理的工具联系起来。借助Cloudflare,Roman 可以评估内部应用程序的每个请求以获取许可和身份,同时还可以提高速度和用户体验。”— Ricky Lindenhovius,Roman Health 工程部总监
“我们很高兴与 Cloudflare 携手合作,为我们的客户提供一种将端点保护和网络安全两者优势相结合的创新企业安全防护方法。VMware Carbon Black 是领先的端点保护平台(EPP),为大规模笔记本电脑、服务器、虚拟机和云基础架构提供可见性和控制力。借助我们与 Cloudflare 的合作,客户将能够使用 VMware Carbon Black 的设备运行状况,作为一个信号来通过 Cloudflare 的零信任解决方案 Access 对团队内部管理的应用程序执行精细身份验证。我们的联合解决方案结合了端点保护和零信任身份验证解决方案的优势,可以让通过互联网工作团队更加安全。”— Tom Barsi,VMware 业务开发副总裁
“Rackspace 是一家领先的全球技术服务公司,可在客户数字化转型的每个阶段提高云的价值。与 Cloudflare 合作使我们能够为客户提供最先进的网络性能,并帮助他们向云端迁移过程中利用软件定义的网络架构。”— Lisa McLin,Rackspace 副总裁兼联盟与渠道总监
“员工越来越多地在传统公司总部之外工作。分散于各地的远程用户需要连接到互联网,但当今的安全解决方案通常要求他们通过总部回传这些连接,这样才能达到相同的安全级别。我们很高兴与 Cloudflare 合作,该公司的全球网络可帮助任何规模的团队访问内部管理的应用程序并安全地使用互联网,从而保护为业务提供动力的数据、设备和团队成员。”— Michael Kenney,Ingram Micro Cloud 战略与业务开发总监
“Okta 的使命是使任何组织都能安全地使用任何技术。作为企业身份验证的领先提供者,Okta 帮助广大组织消除为每个连接管理企业身份并请求其用户对应用程序进行处理的麻烦。我们很高兴与Cloudflare 建立合作关系,为任何规模的团队带来无缝的身份验证和连接。”— Chuck Fontana,Okta 企业与业务开发副总裁
“组织需要一个统一的地方来查看、保护和管理其端点。我们很高兴与 Cloudflare 携手帮助团队保护其数据、网络外设备和应用程序的安全。Tanium 的平台让客户通过基于风险方法来进行运维与安全防护,并可即时查看和控制其端点。Cloudflare 通过整合设备数据来增强与受保护资源的每个连接的安全性,从而帮助扩展保护范围。”— Matt Hastings,Tanium 产品管理高级总监
“OneLogin 很高兴与 Cloudflare 合作,提升安全团队在本地或云端任何环境中的身份控制力度,而且不影响用户的性能。OneLogin 的身份和访问管理平台可为每个用户、每个应用程序和每个设备安全地连接人员和技术。OneLogin 与 Cloudflare for Teams 集成为各种规模的团队提供了全面的身份和网络控制解决方案。”— Gary Gwin,OneLogin 产品高级总监
“Ping Identity 帮助企业改善其数字化业务的安全性和用户体验。Cloudflare for Teams 与 Ping Identity 集成,可为任何规模的团队提供全面的身份和网络控制解决方案,并确保只有合适的人才能以恰当的方式无缝、安全地访问应用程序。”— Loren Russon,Ping Identity 产品管理副总裁
“我们的客户越来越多地利用深层次可观察性数据来解决操作和安全用例,这就是我们推出 Datadog Security Monitoring 的原因。我们与 Cloudflare 的集成已让客户能够洞悉他们的 Web 和 DNS 流量;我们很高兴能够同协作,一同让Cloudflare for Teams 将这种可见性延伸到企业环境。”— Marc Tremsal,Datadog 产品管理总监
“随着越来越多公司支持员工在办公室外使用公司应用程序,他们必须要清楚用户发出的每一个请求,这一点至关重要。需要实时洞察和情报来对事件做出响应并审核安全连接。借助我们与 Cloudflare 的合作,客户现在可以记录对内部应用程序的所有请求,并且自动将它们直接推送到Sumo Logic 进行保留和分析。”— John Coyle,Sumo Logic 业务开发副总裁
“Cloudgenix 很高兴与 Cloudflare 合作,提供从分支机构到云的端到端安全解决方案。企业正在告别昂贵的传统 MPLS 网络并采用分支机构到互联网的突破策略,CloudGenix CloudBlade 平台和 Cloudflare for Teams 的强强联合可以使这种转变无缝顺畅、安全无虞。我们期待与这次公告相关的 Cloudflare 路线图,也期盼着很快就有合作机会。”— Aaron Edwards,Cloudgenix 现场首席技术官
“面对有限的网络安全资源,组织正在寻找高度自动化的解决方案,并希望这些解决方案能够协同工作,以降低当今网络风险的可能性和影响。有了 Malwarebytes 和 Cloudflare 之间的合作,组织能够部署 20 多层的深度安全防御。团队只需使用两套解决方案,就可以确保整个企业从设备到网络,再到内部和外部应用程序的安全。”— Akshay Bhargava,Malwarebytes 首席产品官
“组织的敏感数据很容易遭受攻击,不仅是在互联网上传输过程中,也包括存储在公共云、SaaS 应用程序和端点的目标位置时。CipherCloud 很高兴与 Cloudflare 携手确保数据在任何阶段、任何位置都能安全无虞。Cloudflare 的全球网络能够在数据传输过程中为其提供保护,而且不会减慢传输性能。CipherCloud CASB + 为云环境、SaaS 应用程序和 BYOD 端点提供具有端到端数据保护和自适应控制的强大云安全防护平台。借助双方的合作,团队可以依靠Cloudflare 和 CipherCloud 集成解决方案,在不牺牲用户体验的前提下使数据始终受到保护。”— Pravin Kothari,CipherCloud首席执行官