考虑多个解决方案拼凑在一起给 CIO 带来的复杂性,我们正在扩大与 Microsoft 的合作,以打造最好的 Zero Trust 解决方案之一。今天,我们推出 Microsoft Azure Active Directory (Azure AD) 和 Cloudflare Zero Trust 之间的四项新集成,旨在主动降低风险。这些集成提高了自动化程度,使安全团队能够专注于威胁,无需顾及实施和维护。
Zero Trust 是什么?为什么重要?
Zero Trust 是一个被业界过度使用的术语,造成了不少困惑。因此,请让我们细细分说。Zero Trust 架构强调“永不信任,始终验证”的方法。打一个比方,在传统的安全边界或“城堡+护城河”模型中,只需通过正门(例如,通常是 VPN),您就可以自由进入建筑物内的所有房间(例如,应用程序)。在 Zero Trust 模型中,您需要分别获得对每个上锁房间(应用)的权限,而非仅仅通过正门即可。Zero Trust 模型中的一些关键组成部分有:身份,例如 Azure AD(谁);应用,例如一个 SAP 实例,或 Azure 上的自定义应用(应用程序);策略,例如Cloudflare Access rules (谁可访问什么应用程序);设备,例如由 Microsoft Intune 管理的一台笔记本电脑( (请求访问的端点的安全性) ;以及其他上下文信号。
Zero Trust 在今天愈发重要,因为大大小小的公司都面临着数字化转型加速,以及员工队伍日益分散的情况。淘汰城堡+护城河模型,并将整个互联网作为企业网络,要求对访问每个资源的每个用户进行安全检查。因此,所有的公司,尤其是那些越来越多地使用 Microsoft 广泛云产品组合者,都在采用 Zero Trust 架构,将其作为云之旅的重要组成部分。
Cloudflare 的 Zero Trust 平台为内部和 SaaS 应用程序提供了一种现代化的身份验证方法。大多数公司可能都拥有各种企业应用程序——一些是 SaaS,一些托管在本地部或 Azure 上。Cloudflare 的 Zero Trust 网络访问(ZTNA)产品是我们 Zero Trust 平台的一部分,使这些应用程序感觉像 SaaS 应用程序,允许员工通过简单和一致的流程进行访问。Cloudflare Access 充当一个统一的反向代理,通过确保每个请求都经过身份验证、授权和加密来实施访问控制。
Cloudflare Zero Trust 与 Microsoft Azure Active Directory
我们有成千上万的客户使用 Microsoft Azure Active Directory 和 Cloudflare Access 作为他们 Zero Trust 架构的一部分。我们去年宣布的Microsoft 的集成可在不影响我们共同客户性能的前提下加强安全。Cloudflare 的 Zero Trust 平台与 Azure AD 集成,为组织的混合办公人员提供无缝的应用程序访问体验。
回顾一下,我们推出的集成解决了两个关键问题:
对于本地传统应用程序,Cloudflare 作为 Azure AD 安全混合访问合作伙伴的参与,使客户能够使用 SSO 身份验证集中管理对其本地传统应用程序的访问,而无需额外开发。共同客户现可轻松使用 Cloudflare Access 作为其传统应用程序前的高性能额外安全层。
对于运行于 Microsoft Azure 平台上的应用,共同客户可将 Microsoft Azure AD 与 Cloudflare Zero Trust 集成,构建基于用户身份、组成员资格和 Azure AD 条件策略的规则。通过 Cloudflare 的应用连接器——Cloudflare Tunnel,用户仅需单击几下鼠标,就能使用其 Azure AD 凭据验证身份并连接到 Cloudflare Access 。Cloudflare Tunnel 可暴露在 Microsoft Azure 平台上运行的应用。查看有关安装和配置 Cloudflare Tunnel 的指南。
鉴于 Cloudflare 在 Zero Trust 和安全解决方案方面的创新方法, Microsoft 将 2022年 Microsoft 安全卓越奖中的 安全软件创新者奖项颁给我们,这是一个享有盛誉的奖项类别。
但是我们并没有停止创新。我们听取了客户的反馈,为了解决他们的痛点,我们正在宣布几项全新的集成。
今天推出的 Microsoft 集成
今天宣布的四项全新集成是——
**1. ****针对每个应用程序的条件访问:******Azure AD 客户可在 Cloudflare Zero Trust 中使用其现有的条件访问策略。
Azure AD 允许管理员就应用程序和用户创建和执行使用条件访问的策略。它提供了广泛参数,可用于控制用户对应用程序的访问(例如,用户风险等级、登录风险等级、设备平台、位置、客户端应用等)。Cloudflare Access 现在支持每个应用程序的 Azure AD 条件访问策略。这允许安全团队在 Azure AD 或 Cloudflare Access 中定义安全条件,并在两个产品中执行,而无需更改一行代码。
例如,客户可能对内部工资单应用程序有更严格的控制级别,因此在 Azure AD 上有特定的条件访问策略。但是,对于一般的信息类应用程序(例如内部 wiki),客户可能会通过 Azure AD 条件访问策略执行不那么严格的规则。在这种情况下,两个应用程序组和相关 Azure AD 条件访问策略都可以直接无缝地插入 Cloudflare Zero Trust,而无需任何代码更改。
**2. ****SCIM:******在 Cloudflare Zero Trust 和 Azure Active Directory 之间自动同步 Azure AD 组,为 CIO 节省大量时间。
Cloudflare Access 策略可以使用 Azure AD 验证用户的身份并提供有关该用户的信息(例如,姓/名、电子邮件、组成员资格等)。这些用户属性并非总是不变,可以随着时间的推移而改变。当用户仍然保留对某些敏感资源的访问权限时,可能会产生严重的后果。
通常,当用户属性发生变化时,管理员需要检查和更新可能包含相关用户的所有访问策略。这是一个单调乏味的过程,容易导致错误结果。
SCIM (跨域身份管理系统) 规范确保使用它的实体之间的用户身份始终是最新的。我们很高兴地宣布,Azure AD 和 Cloudflare Access 的共同客户将很快能够启用 SCIM 用户和组的配置和取消配置。它将完成如下操作:
IdP 策略组选择器现在已经预先填充了 Azure AD 组,并将保持同步。对策略组所做的任何更改都将立即反映在 Access 中,而不会给管理员带来任何开销。
当某个用户在 Azure AD 上被取消配置时,该用户在 Cloudflare Access 和 Gateway 上的所有权限都将被撤销。这确保了几乎实时的更改,从而降低了安全风险。
**3. 高风险用户隔离:**通过将高风险用户(基于 AD 信号)隔离到浏览器隔离会话(使用 Cloudflare 的 RBI 产品),帮助共同客户增加额外的完全保护层。
Azure AD 根据它分析的许多数据点将用户分为低风险、中风险和高风险用户。用户可能会根据其活动从一个风险组转移到另一个风险组。用户被确定存在风险是基于多个因素的,例如雇佣性质(即承包商)、危险登录行为、凭据泄露等。虽然这些用户是高风险用户,但在进一步评估用户的同时,可以通过一种低风险的方式提供对资源/应用的访问。
我们现在支持将 Azure AD 群组与 Cloudflare Browser Isolation 集成。当一个用户在 Azure AD 上被归类为高风险时,我们会使用这个信号,通过我们的 Azure AD 集成自动将其流量隔离开来。这意味着高风险用户可以通过安全和隔离的浏览器访问资源。如果用户从高风险用户转变为到低风险用户,则不再受到适用于高风险用户的隔离策略影响。
**4. 保护共同政府云客户:**通过 Azure AD 的集中式身份和访问管理,帮助政府云 (“GCC”) 客户实现更高的安全性,并通过将他们连接到 Cloudflare 全球网络来增加额外的安全层,而不必向整个互联网开放。
通过安全混合访问 (SHA) 计划,政府云 (‘GCC’) 客户很快就能将 Microsoft Azure AD 与 Cloudflare Zero Trust 集成,构建基于用户身份、组成员资格和 Azure AD 条件策略的规则。通过 Cloudflare Tunnel,用户仅需单击几下鼠标,就能使用其 Azure AD 凭据验证身份并连接到 Cloudflare Access。Cloudflare Tunnel 可暴露在 Microsoft Azure 上运行的应用程序。
“数字化转型创造了一种新的安全范式,导致组织加速采用 Zero Trust。Cloudflare Zero Trust 和 Azure Active Directory 联合解决方案简化了员工 Zero Trust 部署,使我们能够专注于核心业务,促进了 Swiss Re 的增长。该联合解决方案使我们能够超越 SSO,为我们的自适应员工提供从任何地方对应用程序的无摩擦、安全访问。该联合解决方案还为我们提供了一个全面的 Zero Trust 解决方案,包括人员、设备和网络。”– Botond Szakács,主管,Swiss Re
“随着企业继续采用云优先战略,云原生的 Zero Trust 安全模型已经成为绝对的必需品。Cloudflare 和 Microsoft 联合开发了强大的产品集成,以帮助 CIO 团队主动预防攻击,动态控制策略和风险,并增加自动化,与 Zero Trust 最佳实践保持一致。”– Joy Chik,总裁,身份与网络访问,Microsoft
马上试试吧
有兴趣进一步了解我们的 Zero Trust 产品如何与 Azure Active Directory 集成吗?欢迎查看这个可帮助您开始 Zero Trust 之旅的广泛参考架构,然后按需阅读以上具体用例。此外,欢迎关注我们与 Microsoft 举行网络研讨会,其中介绍了我们的联合 Zero Trust 解决方案,以及如何开始。
下一步是什么
我们才刚刚开始。我们希望继续创新,让 Cloudflare Zero Trust 和 Microsoft 安全联合解决方案解决您的问题。随着您继续使用这个联合解决方案,欢迎 告诉我们您希望增加什么新功能。