Cloudflare如何使用Cloudflare Access保護(hù)全球團(tuán)隊(duì)

下面是一個(gè)案例研究，介紹了 Cloudflare 下一代 VPN 替代品——Cloudflare Access 的誕生過(guò)程，以及我們?nèi)缃袢绾问褂盟?/span>

在 2015 年，Cloudflare 的身份驗(yàn)證方法和其他許多公司一樣，所有內(nèi)部托管的應(yīng)用程序都是通過(guò)基于硬件的 VPN 訪問(wèn)的。

當(dāng)我們隨叫隨到的工程師收到通知時(shí)（他們通常是用手機(jī)接收通知的），他們會(huì)在筆記本電腦上啟動(dòng)一個(gè)笨重的客戶端，連接到 VPN，然后登錄 Grafana。這感覺(jué)有點(diǎn)像破解密碼鎖，頭頂上還有一個(gè)火警報(bào)警器在嘟嘟作響。

Cloudflare 的一小組工程師開(kāi)始感到不解：為何一家云網(wǎng)絡(luò)安全公司會(huì)如此依賴笨重的本地硬件？他們認(rèn)為我們可以做得更好。于是 Cloudflare Access 應(yīng)運(yùn)而生。

“自我試用”文化

Cloudflare 打造的許多產(chǎn)品都直接脫胎于我們自己的團(tuán)隊(duì)想要克服的挑戰(zhàn)，Access 便是一個(gè)完美例證。Access 的開(kāi)發(fā)工作最初開(kāi)始于 2015 年，當(dāng)時(shí)該項(xiàng)目的內(nèi)部名字是 EdgeAuth。

起初只有一個(gè)應(yīng)用程序支持 Access。在手機(jī)上收到通知的工程師可以點(diǎn)擊一個(gè)鏈接，通過(guò)瀏覽器進(jìn)行身份驗(yàn)證后，就可以立即在 Grafana 中訪問(wèn)該提醒的重要詳細(xì)信息。這比使用舊 VPN 獲得的體驗(yàn)要好得多。

Access 還為我們的安全團(tuán)隊(duì)解決了各種問(wèn)題。借助我們選擇的身份提供商，我們得以使用 Access 策略在 L7 限制對(duì)內(nèi)部應(yīng)用程序的訪問(wèn)。在網(wǎng)絡(luò)層管理訪問(wèn)控制的過(guò)程曾經(jīng)如此繁瑣，現(xiàn)在只需在 Cloudflare 儀表板中點(diǎn)擊幾下鼠標(biāo)即可輕松實(shí)現(xiàn)。

在經(jīng)歷了 Grafana、我們的內(nèi)部 Atlassian 套件（包括 Jira 和 Wiki）以及數(shù)百種其他內(nèi)部應(yīng)用程序之后，Access 團(tuán)隊(duì)開(kāi)始設(shè)法支持非基于 HTTP 的服務(wù)。得益于對(duì) git 的支持，Cloudflare 的開(kāi)發(fā)人員能夠以經(jīng)過(guò)充分審核的方式在世界任何地方安全地提交代碼。Cloudflare 的安全團(tuán)隊(duì)對(duì)此十分滿意。下面的示例略微改編自一個(gè)真實(shí)的身份驗(yàn)證事件，該事件是在將代碼推送到內(nèi)部 git 存儲(chǔ)庫(kù)時(shí)生成的。

不久以后，越來(lái)越多的 Cloudflare 內(nèi)部應(yīng)用程序支持 Access。一旦人們開(kāi)始使用新的身份驗(yàn)證流，他們便希望它無(wú)處不在。最終，安全團(tuán)隊(duì)要求我們將應(yīng)用遷移到 Access，但其實(shí)很久以來(lái)，這完全是自發(fā)的舉動(dòng)：因?yàn)閳F(tuán)隊(duì)都渴望使用 Access。

順便提一句，這也體現(xiàn)了使用 Access 的好處：可以首先針對(duì)最熱門(mén)的內(nèi)部工具來(lái)保護(hù)并簡(jiǎn)化身份驗(yàn)證流——不需要大規(guī)模地推倒重來(lái)。許多組織都面臨著基于硬件的 VPN 帶來(lái)的限制，對(duì)于這些組織而言，Access 可謂藥到病除。只需與 Cloudflare 新用戶引導(dǎo)專(zhuān)家進(jìn)行一次設(shè)置方面的通話，即可快速上手（可以在此預(yù)約時(shí)間）。

事實(shí)上，使用 Access 來(lái)保護(hù)所有應(yīng)用程序也是有百利而無(wú)一害的。

支持全球團(tuán)隊(duì)

眾所周知，VPN 會(huì)影響 Internet 連接，我們使用的 VPN 也不例外。連接內(nèi)部應(yīng)用程序時(shí)，讓所有員工的 Internet 連接都經(jīng)過(guò)一個(gè)獨(dú)立的 VPN 既嚴(yán)重制約了性能，同時(shí)也是一個(gè)單一故障點(diǎn)。

Cloudflare Access 是一種更為明智的方法。身份驗(yàn)證是在網(wǎng)絡(luò)邊緣進(jìn)行的，而我們的網(wǎng)絡(luò)邊緣擴(kuò)展到全球 90 多個(gè)國(guó)家/地區(qū)的 200 個(gè)城市。Access 并沒(méi)有讓所有員工通過(guò)單臺(tái)網(wǎng)絡(luò)設(shè)備傳輸網(wǎng)絡(luò)流量。與之相反，連接內(nèi)部應(yīng)用程序的員工都接入了附近的數(shù)據(jù)中心。

在我們?yōu)榉植加谌蚋鞯氐膯T工隊(duì)伍提供支持時(shí)，我們的安全團(tuán)隊(duì)致力于以最安全實(shí)用的身份驗(yàn)證機(jī)制保護(hù)我們的內(nèi)部應(yīng)用程序。

利用 Cloudflare Access，我們能夠充分依靠身份提供商強(qiáng)大的雙因素身份驗(yàn)證機(jī)制，而傳統(tǒng) VPN 要實(shí)現(xiàn)這一點(diǎn)非常困難。

加入和退出不再令人憂心忡忡

對(duì)于任何公司而言，最棘手的任務(wù)之一就是確保每個(gè)人都能（并且僅能）訪問(wèn)所需的工具和數(shù)據(jù)。隨著團(tuán)隊(duì)規(guī)模的擴(kuò)大，這一挑戰(zhàn)變得越發(fā)嚴(yán)峻。同樣重要的是，在員工和承包商離職后，必須迅速撤銷(xiāo)其權(quán)限。

對(duì)于全球各地的 IT 組織而言，如何管理這些訪問(wèn)控制都是一項(xiàng)艱巨的挑戰(zhàn)——當(dāng)每個(gè)員工在不同環(huán)境的不同工具中都設(shè)置了多個(gè)賬戶時(shí)，這個(gè)問(wèn)題就更加令人頭疼了。在使用 Access 之前，我們的團(tuán)隊(duì)必須投入大量時(shí)間來(lái)確保沒(méi)有漏網(wǎng)之魚(yú)。

現(xiàn)在，Cloudflare 的內(nèi)部應(yīng)用程序都已受到 Access 的保護(hù)，加入和退出變得更加順暢。每個(gè)新員工和承包商很快就能獲得所需應(yīng)用程序的權(quán)限，并且可以通過(guò)一個(gè)啟動(dòng)臺(tái)來(lái)輕松訪問(wèn)這些應(yīng)用程序。當(dāng)有人離開(kāi)團(tuán)隊(duì)時(shí)，每個(gè)應(yīng)用程序都會(huì)進(jìn)行一次配置更改——無(wú)需人工加以判斷。

Access 在網(wǎng)絡(luò)可見(jiàn)性方面同樣益處多多。使用 VPN 時(shí)，您對(duì)用戶在網(wǎng)絡(luò)上的活動(dòng)知之甚少——您知道他們的用戶名和 IP 地址，但僅此而已。如果有人設(shè)法進(jìn)入，您很難追溯他們的腳步。

Cloudflare Access 基于零信任模型，這意味著每個(gè)數(shù)據(jù)包都經(jīng)過(guò)身份驗(yàn)證。這樣一來(lái)，我們就可以通過(guò) Access 群組將細(xì)化的權(quán)限分配給員工和承包商。此外，我們的安全團(tuán)隊(duì)還能借此檢測(cè)到我們所有應(yīng)用程序中的異常活動(dòng)，并有大量的日志記錄為分析提供依據(jù)。簡(jiǎn)而言之，有了 Access，我們對(duì)內(nèi)部應(yīng)用程序的安全性更加充滿信心。

我山之石，可以攻玉

隨著許多組織都大規(guī)模過(guò)渡到遠(yuǎn)程工作模式，Cloudflare Access 可以讓您對(duì)內(nèi)部應(yīng)用程序的安全性更有信心——同時(shí)還能提高遠(yuǎn)程員工的工作效率。無(wú)論您依賴 Jira、Confluence、SAP 還是定制的應(yīng)用程序，它都可以全面加以保護(hù)，而且?guī)追昼妰?nèi)就能上線。