我們很高興地宣佈,Zero Trust 基礎架構存取平台 BastionZero 已加入 Cloudflare。此次收購延伸了我們的 Zero Trust 網路存取 (ZTNA) 流程,為伺服器、Kubernetes 叢集和資料庫等基礎架構提供原生存取管理。
安全團隊通常優先考慮應用程式和網際網路存取,因為這些是使用者與公司資源交互的主要媒介,也是外部威脅滲入網路的主要媒介。應用程式通常是組織數位足跡中最顯眼、最易存取的部分,因此經常成為網路攻擊的目標。透過單一登入 (SSO) 和多重要素驗證 (MFA) 等方法保護應用程式存取,可以立即顯著提高使用者安全性。
然而,基礎架構存取同樣重要,許多團隊仍然依賴城堡加護城河式的網路控制和本機資源權限來保護伺服器、資料庫、Kubernetes 叢集等基礎架構。這很困難,而且充滿風險,因為安全控制分散在數百或數千個目標上。惡意行為者越來越多地將重點放在攻擊基礎架構資源上,以此來一次性關閉大量應用程式或竊取敏感性資料。我們很高興能夠延伸 Cloudflare One 的 Zero Trust 網路存取,以使用基於使用者和裝置的原則以及多重要素驗證來原生保護基礎架構。
應用程式存取與基礎架構存取
應用程式存取通常涉及與基於 Web 的應用程式或用戶端-伺服器應用程式互動。這些應用程式通常支援現代驗證機制,例如單一登入 (SSO),這可簡化使用者驗證並增強安全性。SSO 與身分識別提供者 (IdP) 整合,提供無縫且安全的登入體驗,降低密碼疲勞和憑證被盜的風險。
另一方面,基礎架構存取涵蓋了更廣泛、更多樣化的系統,包括伺服器、資料庫和網路裝置。這些系統通常依賴 SSH(安全殼層)、RDP(遠端桌面通訊協定)和 Kubectl (Kubernetes) 等通訊協定進行管理存取。這些通訊協定的性質帶來了額外的複雜性,使保護基礎架構存取變得更具挑戰性。
- SSH 驗證:SSH 是存取 Linux 和 Unix 系統的基本工具。SSH 存取通常透過公開金鑰驗證來實現,透過該驗證,使用者將獲得一個公開金鑰/私密金鑰對,目標系統將設定為接受該金鑰對。這些金鑰必須分發給受信任的使用者,經常輪換,並監控任何洩露情況。如果金鑰意外洩露,則可能導致惡意行為者直接控制可透過 SSH 存取的資源。
- RDP 驗證:RDP 廣泛用於遠端存取基於 Windows 的系統。雖然 RDP 支援各種驗證方法,包括基於密碼和基於憑證的驗證,但它經常成為暴力破解和憑證填充攻擊的目標。
- Kubernetes 驗證:Kubernetes 作為容器協調平台,引入了一系列驗證挑戰。存取 Kubernetes 叢集涉及管理角色、服務帳戶和 kubeconfig 檔案以及使用者憑證。
立即透過 Cloudflare One 存取基礎架構
Cloudflare One 以優於傳統 VPN 的方式促進了基礎架構資源的 Zero Trust 網路存取 (ZTNA)。管理員可以定義一組身分、裝置和網路感知原則,規定使用者是否可以存取特定的 IP 位址、主機名稱和/或連接埠組合。這允許您建立原則,例如「只有身分識別提供者群組『開發人員』中的使用者才能透過我們公司網路中的連接埠 22(預設 SSH 連接埠)存取資源」,這已經比僅具有基本防火牆原則的 VPN 允許的控制要精細得多。
然而,這種方法仍然有局限性,因為它依賴於一組關於如何佈建和管理企業基礎架構的假設。如果基礎架構資源是在假定的網路結構之外設定的,例如允許透過非標準連接埠使用 SSH,則可能會繞過所有網路級控制。這樣就只剩下特定通訊協定的原生驗證保護來保護該資源,導致 SSH 金鑰或資料庫憑證洩露,進而導致更廣泛的系統中斷或入侵。
許多組織將利用更複雜的網路結構(如堡壘主機模型或複雜的特權存取管理 (PAM) 解決方案)作為附加的縱深防禦策略。然而,這會給 IT 安全團隊帶來更多成本和管理開銷,有時還會使與最低特權存取相關的挑戰變得更加複雜。堡壘主機或 PAM 解決方案等工具最終會隨著時間的推移侵蝕最低特權,因為原則會擴展、變更或偏離公司的安全立場。這會導致使用者錯誤地保留對敏感基礎架構的存取權限。
BastionZero 如何融入
雖然多年來我們的目標一直是協助各種規模的組織盡可能簡單、快速地取代 VPN,但 BastionZero 將 Cloudflare VPN 取代解決方案的範圍擴展到應用程式和網路之外,以提供相同級別的簡便性,來將 Zero Trust 控制延伸到基礎架構資源。這有助於安全團隊集中管理更多的混合 IT 環境,同時使用標準 Zero Trust 做法來確保 DevOps 團隊的高效性和安全性。Cloudflare 和 BastionZero 聯手,不僅可以協助組織取代 VPN,還可以取代堡壘主機、SSH、Kubernetes 或資料庫金鑰管理系統以及備援 PAM 解決方案。
BastionZero 提供與主要基礎架構存取通訊協定和目標(如 SSH、RDP、Kubernetes、資料庫伺服器等)的原生整合,以確保將目標資源設定為接受該特定使用者的連線,而不是依賴網路級控制。這讓管理員可以從資源和目標的角度來思考,而不是 IP 位址和連接埠。此外,BastionZero 建立在 OpenPubkey 之上,這是一個使用 OpenID Connect (OIDC) 將身分繫結到密碼編譯金鑰的開放原始碼庫。藉助 OpenPubkey,可以使用 SSO 授予對基礎架構的存取權限。BastionZero 使用多個信任根來確保您的 SSO 不會成為關鍵伺服器和其他基礎架構的單一攻擊點。
BastionZero 將為 Cloudflare 的 SASE 平台新增以下功能:
- 消除長期存在的金鑰/憑證:透過無摩擦的基礎架構特權存取管理 (PAM) 功能實現,這些功能透過新的短暫、非集中化的方法實現憑證管理(例如,SSH 金鑰、kubeconfig 檔案、資料庫密碼)的現代化。
- 用於保護 SSH 連線的基於 DevOps 的方法:以支援最低權限存取,該方法可錄製工作階段並記錄每個命令,從而獲得更好的可見性,支援合規性要求。團隊可以根據自動發現的目標(而不是 IP 位址或網路)進行操作,因為他們可以定義即時存取原則並自動化工作流程。
- 無用戶端 RDP:以支援對桌面環境的存取,且沒有在使用者裝置上安裝用戶端的開銷和麻煩。
BastionZero 下一步計畫
BastionZero 團隊將專注於將其基礎架構存取控制直接整合到 Cloudflare One 中。今年第三季和第四季,我們將宣佈一些新功能,以促進透過 Cloudflare One 實現 Zero Trust 基礎架構存取。今年提供的所有功能都將包含在 Cloudflare One 免費套餐中,適用於使用者數少於 50 人的組織。我們堅信,每個人都應該能夠獲得世界一流的安全控制。
我們正在尋找早期的 Beta 版測試人員和團隊,以便他們就基礎架構存取方面希望看到的內容提供意見反應。如果您有興趣瞭解更多資訊,請在此處註冊。