Cloudflare如何使用Cloudflare Access保護(hù)全球團(tuán)隊

下面是一個案例研究，介紹了 Cloudflare 下一代 VPN 替代品——Cloudflare Access 的誕生過程，以及我們?nèi)缃袢绾问褂盟?/span>

在 2015 年，Cloudflare 的身份驗證方法和其他許多公司一樣，所有內(nèi)部托管的應(yīng)用程序都是通過基于硬件的 VPN 訪問的。

當(dāng)我們隨叫隨到的工程師收到通知時（他們通常是用手機接收通知的），他們會在筆記本電腦上啟動一個笨重的客戶端，連接到 VPN，然后登錄 Grafana。這感覺有點像破解密碼鎖，頭頂上還有一個火警報警器在嘟嘟作響。

Cloudflare 的一小組工程師開始感到不解：為何一家云網(wǎng)絡(luò)安全公司會如此依賴笨重的本地硬件？他們認(rèn)為我們可以做得更好。于是 Cloudflare Access 應(yīng)運而生。

“自我試用”文化

Cloudflare 打造的許多產(chǎn)品都直接脫胎于我們自己的團(tuán)隊想要克服的挑戰(zhàn)，Access 便是一個完美例證。Access 的開發(fā)工作最初開始于 2015 年，當(dāng)時該項目的內(nèi)部名字是 EdgeAuth。

起初只有一個應(yīng)用程序支持 Access。在手機上收到通知的工程師可以點擊一個鏈接，通過瀏覽器進(jìn)行身份驗證后，就可以立即在 Grafana 中訪問該提醒的重要詳細(xì)信息。這比使用舊 VPN 獲得的體驗要好得多。

Access 還為我們的安全團(tuán)隊解決了各種問題。借助我們選擇的身份提供商，我們得以使用 Access 策略在 L7 限制對內(nèi)部應(yīng)用程序的訪問。在網(wǎng)絡(luò)層管理訪問控制的過程曾經(jīng)如此繁瑣，現(xiàn)在只需在 Cloudflare 儀表板中點擊幾下鼠標(biāo)即可輕松實現(xiàn)。

在經(jīng)歷了 Grafana、我們的內(nèi)部 Atlassian 套件（包括 Jira 和 Wiki）以及數(shù)百種其他內(nèi)部應(yīng)用程序之后，Access 團(tuán)隊開始設(shè)法支持非基于 HTTP 的服務(wù)。得益于對 git 的支持，Cloudflare 的開發(fā)人員能夠以經(jīng)過充分審核的方式在世界任何地方安全地提交代碼。Cloudflare 的安全團(tuán)隊對此十分滿意。下面的示例略微改編自一個真實的身份驗證事件，該事件是在將代碼推送到內(nèi)部 git 存儲庫時生成的。

不久以后，越來越多的 Cloudflare 內(nèi)部應(yīng)用程序支持 Access。一旦人們開始使用新的身份驗證流，他們便希望它無處不在。最終，安全團(tuán)隊要求我們將應(yīng)用遷移到 Access，但其實很久以來，這完全是自發(fā)的舉動：因為團(tuán)隊都渴望使用 Access。

順便提一句，這也體現(xiàn)了使用 Access 的好處：可以首先針對最熱門的內(nèi)部工具來保護(hù)并簡化身份驗證流——不需要大規(guī)模地推倒重來。許多組織都面臨著基于硬件的 VPN 帶來的限制，對于這些組織而言，Access 可謂藥到病除。只需與 Cloudflare 新用戶引導(dǎo)專家進(jìn)行一次設(shè)置方面的通話，即可快速上手（可以在此預(yù)約時間）。

事實上，使用 Access 來保護(hù)所有應(yīng)用程序也是有百利而無一害的。

支持全球團(tuán)隊

眾所周知，VPN 會影響 Internet 連接，我們使用的 VPN 也不例外。連接內(nèi)部應(yīng)用程序時，讓所有員工的 Internet 連接都經(jīng)過一個獨立的 VPN 既嚴(yán)重制約了性能，同時也是一個單一故障點。

Cloudflare Access 是一種更為明智的方法。身份驗證是在網(wǎng)絡(luò)邊緣進(jìn)行的，而我們的網(wǎng)絡(luò)邊緣擴展到全球 90 多個國家/地區(qū)的 200 個城市。Access 并沒有讓所有員工通過單臺網(wǎng)絡(luò)設(shè)備傳輸網(wǎng)絡(luò)流量。與之相反，連接內(nèi)部應(yīng)用程序的員工都接入了附近的數(shù)據(jù)中心。

在我們?yōu)榉植加谌蚋鞯氐膯T工隊伍提供支持時，我們的安全團(tuán)隊致力于以最安全實用的身份驗證機制保護(hù)我們的內(nèi)部應(yīng)用程序。

利用 Cloudflare Access，我們能夠充分依靠身份提供商強大的雙因素身份驗證機制，而傳統(tǒng) VPN 要實現(xiàn)這一點非常困難。

加入和退出不再令人憂心忡忡

對于任何公司而言，最棘手的任務(wù)之一就是確保每個人都能（并且僅能）訪問所需的工具和數(shù)據(jù)。隨著團(tuán)隊規(guī)模的擴大，這一挑戰(zhàn)變得越發(fā)嚴(yán)峻。同樣重要的是，在員工和承包商離職后，必須迅速撤銷其權(quán)限。

對于全球各地的 IT 組織而言，如何管理這些訪問控制都是一項艱巨的挑戰(zhàn)——當(dāng)每個員工在不同環(huán)境的不同工具中都設(shè)置了多個賬戶時，這個問題就更加令人頭疼了。在使用 Access 之前，我們的團(tuán)隊必須投入大量時間來確保沒有漏網(wǎng)之魚。

現(xiàn)在，Cloudflare 的內(nèi)部應(yīng)用程序都已受到 Access 的保護(hù)，加入和退出變得更加順暢。每個新員工和承包商很快就能獲得所需應(yīng)用程序的權(quán)限，并且可以通過一個啟動臺來輕松訪問這些應(yīng)用程序。當(dāng)有人離開團(tuán)隊時，每個應(yīng)用程序都會進(jìn)行一次配置更改——無需人工加以判斷。

Access 在網(wǎng)絡(luò)可見性方面同樣益處多多。使用 VPN 時，您對用戶在網(wǎng)絡(luò)上的活動知之甚少——您知道他們的用戶名和 IP 地址，但僅此而已。如果有人設(shè)法進(jìn)入，您很難追溯他們的腳步。

Cloudflare Access 基于零信任模型，這意味著每個數(shù)據(jù)包都經(jīng)過身份驗證。這樣一來，我們就可以通過 Access 群組將細(xì)化的權(quán)限分配給員工和承包商。此外，我們的安全團(tuán)隊還能借此檢測到我們所有應(yīng)用程序中的異?；顒?，并有大量的日志記錄為分析提供依據(jù)。簡而言之，有了 Access，我們對內(nèi)部應(yīng)用程序的安全性更加充滿信心。

我山之石，可以攻玉

隨著許多組織都大規(guī)模過渡到遠(yuǎn)程工作模式，Cloudflare Access 可以讓您對內(nèi)部應(yīng)用程序的安全性更有信心——同時還能提高遠(yuǎn)程員工的工作效率。無論您依賴 Jira、Confluence、SAP 還是定制的應(yīng)用程序，它都可以全面加以保護(hù)，而且?guī)追昼妰?nèi)就能上線。