2020 年 1 月,我們發(fā)布了 Cloudflare for Teams,這是一種在不犧牲性能的前提下保護組織及其遍布全球的員工的新方式。Cloudflare for Teams 內含 Cloudflare Access 和 Cloudflare Gateway 這兩大和核心產品。
2020 年 3 月,Cloudflare 發(fā)布了 Cloudflare Gateway 的首個功能 —— 由全球最快 DNS 解析器提供支持的安全 DNS 過濾解決方案。Gateway 的 DNS 過濾功能通過阻止對可能涉及惡意軟件、網絡釣魚或勒索軟件等威脅的有害目的地的 DNS 查詢來確保用戶安全。組織只需更改辦公室中的路由器設置,便可確保整個團隊的安全,用時只需大約五分鐘。
發(fā)布后不久,許多公司開始全員撤離辦公室。用戶聯(lián)網上線的家庭辦公室原本是臨時使用,在過去幾個月中卻變?yōu)楣潭ㄞk公地點了。保護用戶和數(shù)據(jù)已從單一辦公室級設置,變成需要對成百上千個地點的用戶和設備進行管理。
互聯(lián)網上的安全威脅也已發(fā)生改變。網絡釣魚活動和惡意軟件攻擊在過去六個月里有所抬頭。而要檢測這些類型的攻擊,需要更加深入的探究,不僅僅是 DNS 查詢。
我們很高興宣布,Cloudflare Gateway 如今包含能夠攻克這些新挑戰(zhàn)的兩項功能。首先,Cloudflare Gateway 與 Cloudflare WARP 桌面客戶端集成。我們的 WARP 圍繞 WireGuard 而構建,這是一種新穎且高效的 VPN 協(xié)議,比傳統(tǒng) VPN 協(xié)議更加有效和靈活。
其次,Cloudflare Gateway 已變成一種安全 Web 網關并可執(zhí)行 L7 過濾,能夠檢查流量中隱匿的威脅。如同我們的 DNS 過濾和 1.1.1.1 解析器一樣,奠定這兩項功能的基礎是我們向全球數(shù)百萬用戶提供 Cloudflare WARP 所得的一切收獲。
我們的客戶主要采用分布式勞動力,員工分散在公司辦公室和自己的家中。鑒于疫情的關系,這將成為他們在短期內的工作環(huán)境。
用戶不處于固定的已知位置(例外允許遠程工作),這給已經負擔繁重的 IT 人員帶來了挑戰(zhàn):
VPN 采用全有或全無方法,提供對內部應用程序的遠程訪問。我們通過 Cloudflare Access 和零信任方法來解決這個問題,為內部應用程序以及現(xiàn)在的 SaaS 應用程序提供安全保護。
VPN 不僅速度慢,成本又高。然而,將流量回傳到集中式安全邊界一直是實施企業(yè)內容與安全策略以保護漫游用戶的主要方法。Cloudflare Gateway 因此誕生,為我們的客戶解決這一問題。
直到今天,Cloudflare Gateway 一直通過 DNS 過濾為我們的客戶提供安全性。盡管這在一定程度上提供了無關應用程序的安全與內容控制,但它依然給客戶留下了幾個難題:
客戶需要注冊將 DNS 查詢發(fā)送到 Gateway 的所有位置的源 IP 地址,以便可以標識其組織的流量以執(zhí)行策略。對于具有數(shù)百個地點的大型組織,即使算不上棘手,也一定乏味不堪。
DNS 策略相對粗糙,針對各個域采取全有或全方法來執(zhí)行。例如,組織缺乏相應的能力,無法在允許訪問云存儲提供商的同時,阻止從已知惡意 URL 下載有害文件。
注冊了 IP 地址的組織頻繁使用網絡地址轉換(NAT)流量,在許多用戶之間共享公共 IP 地址。這會導致無法查閱個體用戶層面上的 DNS 活動日志。雖然 IT 安全團隊能夠發(fā)現(xiàn)惡意的域被阻止,但他們必須要使用額外的剖析工具才能跟蹤可能被入侵的設備。
從今天開始,我們通過將 Cloudflare for Teams 客戶端與 L7 云防火墻相結合,使 Cloudflare Gateway 突破安全 DNS 過濾解決方案的局限??蛻衄F(xiàn)在可以拋棄其集中式安全邊界內的又一種硬件設備,直接從 Cloudflare 邊緣為其用戶提供企業(yè)級安全性。
由于所有應用程序都利用 DNS 過濾進行互聯(lián)網通信,因此 DNS 過濾為整個系統(tǒng)乃至網絡奠定安全性基礎。不過,細化的策略實施以及對流量是否應歸類為惡意的可見性是由特定于應用程序的保護來提供的。
如今,我們能夠擴展 DNS 過濾所提供的保護了,通過添加一個 L7 防火墻,讓我們的客戶能夠將安全性和內容策略應用于 HTTP 流量。這不僅為管理員提供了一個更好的工具,借助 HTTP 會話內細粒度控件來保護用戶,還賦予管理員對策略執(zhí)行的可見性。同樣重要的是,它也讓我們的客戶更有力地掌控其數(shù)據(jù)的駐留位置??蛻艨梢酝ㄟ^制定策略,根據(jù)文件類型、請求是上傳還是下載文件,或者目的地是否為組織的認可云存儲提供商來指定是允許還是阻止請求。
通過利用 Cloudflare for Teams 客戶端連接到 Cloudflare,企業(yè)能夠保護其用戶的互聯(lián)網流量,不論這些用戶身處何方。此客戶端能讓用戶快速、安全地連接距離最近的 Cloudflare 數(shù)據(jù)中心,它的基礎是全球數(shù)百萬用戶連接互聯(lián)網的同一 Cloudflare WARP 應用程序。由于客戶端在本質上使用了同一 WARP 應用程序,企業(yè)可以確信它已經過規(guī)?;瘻y試,能夠在不犧牲性能的同時提供安全性。Cloudflare WARP 通過利用 WireGuard 連接到 Cloudflare 邊緣,以優(yōu)化網絡性能。
因此,企業(yè)用戶能夠獲得既安全又性能高的連接,無論他們身在何處,也不需要將網絡流量回傳到集中式安全邊界。通過使用 Cloudflare for Teams 客戶端連接到 Cloudflare Gateway,對所有出站互聯(lián)網流量應用過濾策略來保護企業(yè)用戶,從而在用戶瀏覽互聯(lián)網時保護他們并防止丟失公司數(shù)據(jù)。
Cloudflare Gateway 現(xiàn)在可基于包括如下在內的各種條件來支持 HTTP 流量過濾:
條件 | 示例 |
---|---|
URL、路徑和/或查詢字符串 | https://www.myurl.com/path?query |
HTTP 方法 | GET、POST,等等 |
HTTP 響應代碼 | 500 |
文件類型和文件名 | myfilename.zip |
MIME 類型 | application/zip |
URL 安全性或內容類別 | 惡意軟件、網絡釣魚、成人內容 |
若要補充 DNS 過濾策略,IT 管理員現(xiàn)在可以創(chuàng)建 L7 防火墻規(guī)則來對 HTTP 流量應用細化的策略。
例如,管理員可能想要允許用戶瀏覽 Reddit 的有用部分,但阻止不需要的部分。
或者,為了預防數(shù)據(jù)丟失,管理員可能會創(chuàng)建一條規(guī)則,允許用戶接收來自流行云存儲提供商的內容,但禁止他們從企業(yè)設備上傳特定文件類型。
另一名管理員可能想要防止惡意文件通過 zip 文件下載潛入進來,因而可能會決定通過配置規(guī)則來阻止下載壓縮文件類型。
使用我們的 DNS 過濾類別來保護內部用戶之后,管理員可能想根據(jù)完整 URL 的分類來簡單地阻止安全威脅。惡意軟件有效載荷經常從云存儲傳播,使用 DNS 過濾,時,管理員必須選擇是允許還是拒絕給定存儲提供商訪問整個域。URL 過濾使管理員能夠過濾對惡意軟件有效載荷所駐留的確切 URL 的請求,以便客戶能夠繼續(xù)發(fā)揮所選存儲提供商的用處。
而且,由于 Cloudflare for Teams 客戶端可以實現(xiàn)所有這些功能,因此具有漫游客戶端的分布式工作者不論身在何處,都可以通過與距離最近的 Cloudflare 數(shù)據(jù)中心的安全連接來獲得這種保護。
通過檢查 HTTP 流量,我們能夠為瀏覽互聯(lián)網的團隊提供保護,但是非 HTTP 流量呢?今年晚些時候,我們將通過使用 L4 云防火墻添加對 IP、端口和協(xié)議過濾的支持來擴展 Cloudflare Gateway。這樣,管理員可以將規(guī)則應用到所有流向互聯(lián)網的流量,例如允許出站 SSH 的規(guī)則,或決定是否將到達非標準端口的 HTTP 流量發(fā)送到 L7 防火墻以進行 HTTP 檢查的規(guī)則。
發(fā)布之后,Cloudflare Gateway 將允許管理員創(chuàng)建策略來過濾組織中所有用戶之間的 DNS 和 HTTP 通信。這為安全性奠定了良好的基礎。但是,凡事都有例外:一刀切的內容與安全策略實施方法極少能滿足所有用戶的具體需求。
為解決這個問題,我們正在努力將 Cloudflare Access 與客戶現(xiàn)有的身份提供商集成,以支持基于用戶和組身份的規(guī)則。這將使管理員能夠創(chuàng)建細化的規(guī)則,利用與用戶相關的上下文,例如:
拒絕所有用戶訪問社交媒體。但是,如果 John Doe 是營銷部門的成員,則被允許訪問這些網站以履行其職責。
僅允許 Jane Doe 通過 Cloudflare Gateway 連接到特定的 SaaS 應用程序,或者僅允許某一種設備狀態(tài)。
由于用戶不會固定在已知的工作場所,基于身份的策略實施和日志可見性的需求與日俱增。我們通過使用 Cloudflare for Teams 客戶端集成身份識別并且隨時隨地保護用戶來滿足這種需求。
人們開辦企業(yè)不是為了應對信息技術和安全性的細枝末節(jié)。他們有著遠大的理想,將自己的產品或服務推向全世界,我們希望能夠讓他們回到正軌為實現(xiàn)理想而奮斗。我們可以幫助消除與實施高級安全工具的難點,這些工具通常是為更大型、更復雜的組織而保留的,我們希望所有團隊不論規(guī)模大小都可以使用它們。
Cloudflare for Teams 客戶端和 L7 防火墻的發(fā)布為先進的安全 Web 網關奠定了基礎,它將集成防病毒掃描、CASB 和遠程瀏覽器隔離等諸多功能,并且一切都在 Cloudflare 邊緣執(zhí)行。很高興分享這些信息,揭開我們團隊所建設未來的一角 —— 這條道路才剛剛起步。
這些新功能全部準備就緒,馬上供您享用。L7 防火墻通過獨立版 Gateway、Teams Standard 和 Teams Enterprise 計劃提供。只需注冊 Gateway 帳戶并完成入門培訓,即可開始使用。