订阅以接收新文章的通知:

使用 Cloudflare 浏览器隔离控制可疑站点的输入

2021-12-07

3 分钟阅读时间
这篇博文也有 EnglishIndonesia日本語版本。

您的团队现在可以使用 Cloudflare 的浏览器隔离服务在 Web 浏览器中防御网络钓鱼攻击和凭证盗窃。用户可以浏览更多互联网内容,而不会带来风险。管理员可以定义 Zero Trust 策略,以在高风险浏览活动期间禁止键盘输入和文件传输。

今年早些时候,Cloudflare 浏览器隔离引入了数据保护控制措施,以利用远程浏览器管理用户与任何网站之间的所有输入和输出的能力。我们很高兴能够扩展该功能以应用更多控制措施,例如禁止键盘输入和文件上传以避开高风险和未知网站上的网络钓鱼攻击和凭证盗窃。

防御未知威胁的挑战

管理员要为其团队防御开放互联网上的威胁,通常会实施安全 Web 网关 (SWG) 以基于威胁情报馈送来过滤 Internet 流量。这可有效缓解已知威胁。实际上,并非所有网站都完全符合恶意或非恶意的分类。

例如,在某个公认 Web 属性中存在键入差异的备用域名可以注册给不相关的产品,或成为网络钓鱼攻击的武器。误报会被规避风险的管理员容忍,但这样会牺牲员工工作效率。在这两方面之间取得平衡需要微妙的技巧,如果应用得过于激进,会让用户感到沮丧,并增加对被阻止流量的例外进行微管理的支持负担。

旧版安全 Web 网关是低效的工具,为安全团队提供了有限的选项来为其特定防御互联网上的威胁。仅仅允许或阻止网站是不够的,现代安全团队需要更复杂的工具来完全保护其团队,同时不破坏工作效率。

使用 Cloudflare Gateway 进行智能过滤

Cloudflare Gateway 向客户提供安全 Web 网关,无论其用户在何处工作。管理员可以构建规则,包括阻止安全风险、扫描病毒或基于 SSO 组身份限制浏览,以及其他选项。用户流量离开其设备,并到达其附近的 Cloudflare 数据中心,在提供安全性和日志记录的同时不会拖慢速度。

不同于过去低效的工具,Cloudflare Gateway 基于 Cloudflare 的网络所处理数据的独特量级,应用相应的安全策略。例如,Cloudflare 每天发现超过 1 万亿个 DNS 查询。我们使用这些数据来构建一个全面模型,表明“良好”DNS 查询是什么样子 — 以及哪些 DNS 查询有异常并可能表示数据泄露的 DNS 隧道,等等。我们使用我们的网络来构建更智能的过滤并减少误报。您还可以使用 Cloudflare Radar 查看该研究。

但是,我们知道一些客户希望允许用户导航到所谓“中立”区域中的目标。新注册或者被 DNS 解析器新发现的域可以是您团队的卓越新服务的大本营,也可以是发起秘密攻击来盗窃凭证的基地。Cloudflare 会设法尽快对它们进行分类,但在最初的几分钟时间里,如果您的团队径直阻止这些类别,用户就必须请求例外。

安全地浏览未知内容

Cloudflare 浏览器隔离将执行不受信任或恶意的网站代码的风险从用户的端点转移到低延迟数据中心中托管的远程浏览器。Cloudflare 浏览器隔离不会以激进方式阻止未知网站,从而潜在影响员工工作效率,而是让管理员控制用户可以_如何_与有风险的网站交互。

Cloudflare 的网络情报跟踪更高风险的互联网属性,如误植域名和新域。这些类别中的网站可能是善意的网站,也可能是等待被用作武器的网络钓鱼攻击。规避风险的管理员通过隔离这些网站,并禁用文件上传、下载和键盘输入来以只读模式提供网站,可以保护其团队而不造成误报。

用户能够安全地浏览未知网站,而不会带来泄露凭证、传输文件并成为网络钓鱼攻击受害者的风险。如果用户有合法理由来与未知网站交互,则建议用户联系管理员以在浏览网站时获取提升的权限。

HTTP Policy rule builder with download, upload and keyboard settings disabled.

请参阅我们的开发人员文档,以了解有关远程浏览器策略的更多信息。

立即开始

Cloudflare 浏览器隔离原生集成到 Cloudflare 的安全 Web 网关和 Zero Trust 网络访问服务,并且与旧版远程浏览器隔离解决方案不同的是,它不需要 IT 团队将多个不同的解决方案串起来,也不强制用户更改其首选 Web 浏览器。

浏览器隔离提供的 Zero Trust 威胁和数据保护功能使得信任安全网关保护其业务的公司有了额外选择。目前,我们的 Cloudflare for Teams Enterprise 计划中便包含了这一功能,且不收取任何额外费用。1 快来尝试我们的 Zero Trust 网页吧


1.截止 2021 年 12 月 31 日共提供 2,000 个名额。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
CIO WeekRemote Browser IsolationCloudflare Zero Trust产品新闻Zero Trust安全性

在 X 上关注

Tim Obezuk|@obezuk
Cloudflare|@cloudflare

相关帖子

2024年10月24日 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

2024年10月15日 13:00

Protect against identity-based attacks by sharing Cloudflare user risk scores with Okta

Uphold Zero Trust principles and protect against identity-based attacks by sharing Cloudflare user risk scores with Okta. Learn how this new integration allows your organization to mitigate risk in real time, make informed access decisions, and free up security resources with automation....