自创立以来,Cloudflare 一直致力于保护全球客户。我们的服务保护客户的流量和数据,也保护我们自己的流量和数据,并持续改善和扩展这些服务,以应对不断改变的互联网威胁环境。兑现以上承诺是一个多方位的事业,我们的安全团队将重点放在人员、证据和透明度上,以确保我们的产品和公司每一个接触点都是可靠的。
人员
安全团队拥有广博和超前沿的知识。作为安全公司的安全团队,要求高技术、多元化、愿意在自己身上测试所有产品、通过行业群体与我们的本地和全球社区分享知识,及在世界各地的研讨会上进行宣讲。通过聚会和会议与我们客户和同行进行交流,我们能分享问题,了解即将到来的行业趋势,并分享反馈以改善客户体验。除了为 Cloudflare 运营一个具备正式文档、基于风险的计划外,通过审查和建议更改、识别和处理漏洞、控制对系统的授权和访问、加密传送中和静态数据,检测和响应威胁与事件,团队成员还驱动着我们的产品和基础设施团队持续改进。
证据
安全声明固然重要,但客户如何确定我们能言出必行?为此,我们每年接受数次审计,证明我们的安全实践达到行业标准。迄今,Cloudflare 定期评估并维持对 PCI DSS(作为商家和服务提供商)、SOC 2 Type II、 ISO 27001 和 ISO 27701 的合规。无论我们的客户位于世界任何地方,他们都可能需要依赖于这些标准中的至少一个来保护其客户的信息。我们尊重作为以上信任的中干力量这一责任。
随着 Cloudflare 的客户群继续增长并进入监管更严格、要求更复杂的行业,我们决定今年按照根据三个额外的标准来评估我们的全球网络:
FedRAMP(美国联邦风险和授权管理项目)评估我们的系统和实践是否符合云计算环境中保护美国机构数据的标准。 Cloudflare 在 FedRAMP Marketplace 中的具有中等影响水平的机构授权状态为 “In Process”。我们正在完成审计机构安全评估报告的最后阶段,有望在 2022 年获得运营授权。
ISO 27018,检查我们作为云提供商在保护个人身份信息(PII)方面的实践。这是对 ISO 27001 标准的扩展,旨在确保我们的信息安全管理系统(ISMS)管理与处理 PII 相关的风险。我们已经完成了第三方评估,并在等待下个月获得认证。
C5,即云计算合规标准目录(Cloud Computing Compliance Criteria Catalog),由德国联邦信息安全办公室 (BSI)提出,是对云计算基线安全的验证。Cloudflare 目前正处于第三方审计员根据目录进行评估的过程中。在这里了解我们的进度。
透明度
我们对客户和企业安全的承诺意味着,我们必须做到高度透明。在安全事件得到控制时,我们的响应计划中不仅引入我们的法律、合规和通信团队来确定通知策略,还会开始就我们如何响应提供一个详细的概述,即使我们仍在补救过程中。
如果关键供应商在安全事件期间保持沉默,仅提供寥寥数字的法律回应,无法显示他们如何受到安全漏洞或事件的影响,我们亲身体会到这种情况会多令人沮丧。透明植根于 Cloudflare 的 DNA 中。欢迎阅读我们的博客文章(Verkada Incident,Log4j),了解我们如何迅速向客户展示我们如何响应及正在采取什么措施来解决问题。
有关这些事件,客户提出的最常见问题之一是,我们的第三方是否受到了影响。供应链漏洞(例如 Solarwinds 和 Log4j)已促使我们向同时向所有关键供应商创造效率,例如自动询问。在我们的安全事件响应过程的控制阶段,我们的第三方风险团队能迅速识别受影响的供应商,并优先考虑我们的生产和安全供应商。我们的工具允许立即触发对第三方的询问,而且我们的团队集成到事件响应过程中,以确保有效通信。从我们的供应商收到任何信息时,我们都会通过我们的"安全合规”论坛分享,以确保其他也在询问其供应商的公司不必做重复的工作。
价值
这些经常性的审计和评估并非简单的网站徽章。我们的安全团队不会仅仅为通过审计而产生证据;我们的过程包括识别风险、形成控制和过程来应对这些风险、这些过程的持续运行、评估这些过程的有效性(以内部和外部审计、测试的形式),并根据以上评估对 ISMS 进行改良。我们的过程具有一些与众不同的特点,例如:
很多公司不会联系供应商,或不会将这个过程嵌入其事件响应过程。对于 log4j,在事件被识别后,我们的供应商安全团队立即与响应团队联系,并就供应商回应提供定期更新。
很多公司不像我们这么主动与客户进行沟通。即使在法律没有要求的时候,我们也会与客户进行沟通,因为我们认为这样做是正确之举,不管要求如何。
这个领域的工具通常也不够灵活,无法迅速将定制问卷发送给供应商。我们部署了自动化工具来批量即时发出问卷,并根据当前漏洞定制问题。最后一步是向客户告知我们安全态势的最终状况。客户可从仪表板下载我们的安全认证和评估结果,也可以向其帐户团队提出请求。有关我们认证和报告的最新信息,请访问我们的信任中心(Trust Hub)。