硬件密鑰可提供最強的身份驗證安全性,并能防御網(wǎng)絡(luò)釣魚���。但客戶向我們詢問如何實施�����,以及應(yīng)該購買哪種安全密鑰���。
硬件密鑰可提供最強的身份驗證安全性,并能防御網(wǎng)絡(luò)釣魚��。但客戶向我們詢問如何實施����,以及應(yīng)該購買哪種安全密鑰。如今我們針對Cloudflare客戶推出一項獨家計劃���,使硬件密鑰比以往任何時候都更容易實施且更具經(jīng)濟效益����。這項計劃通過與業(yè)界領(lǐng)先的硬件安全密鑰供應(yīng)商Yubico開展新的合作得以實現(xiàn)�,可為Cloudflare客戶提供“適合互聯(lián)網(wǎng)”的獨家價格。
如今����,Yubico安全密鑰可供所有Cloudflare客戶使用,并且可與Cloudflare的Zero Trust服務(wù)輕松整合����。此項服務(wù)向任何規(guī)模的企業(yè)開放,從保護家庭網(wǎng)絡(luò)的家庭到地球上規(guī)模最大的雇主�。如今,任何Cloudflare客戶登錄Cloudflare Dashboard���,即可以每個密鑰低至10美元的價格訂購硬件安全密鑰��。
2022年7月���,Cloudflare成功阻止了一起信息泄露事件(由針對130多家公司的短信網(wǎng)絡(luò)釣魚攻擊引起),這歸因于該公司配合使用了Cloudflare Zero Trust與硬件安全密鑰YubiKey�。同時�,此次與YubiKey制造商Yubico開展新的合作��,也為任何規(guī)模的企業(yè)部署硬件密鑰消除了障礙
為什么要選擇硬件安全密鑰��?
企業(yè)需要確保只有合適的用戶才能連接到其敏感資源——無論是自我托管的網(wǎng)絡(luò)應(yīng)用程序��、SaaS工具�,還是依賴任意TCP連接和UDP流傳輸?shù)姆?wù)。用戶傳統(tǒng)上通過用戶名和密碼來證明自己的身份�����,但網(wǎng)絡(luò)釣魚攻擊可以通過欺騙用戶來竊取這兩項信息��。
為應(yīng)對網(wǎng)絡(luò)釣魚攻擊�,安全團隊已著手部署多因素身份驗證(MFA)工具,以新增一個附加的安全層���。用戶需要輸入其用戶名�����、密碼和部分其他值�����。例如����,用戶可能在其設(shè)備上運行一個生成隨機數(shù)字的應(yīng)用程序,也可能使用其電話號碼注冊以通過短信接收代碼�。雖然這些MFA選項確實助力用戶提高了安全性,但用戶仍易受到網(wǎng)絡(luò)釣魚攻擊���。網(wǎng)絡(luò)釣魚網(wǎng)站循循善誘,促使用戶輸入MFA代碼��,或者攻擊者通過SIM卡交換攻擊來竊取用戶的電話號碼�����。
硬件安全密鑰可為企業(yè)提供一個防御網(wǎng)絡(luò)釣魚的MFA選項��。這些密鑰采用WebAuthn標準來向身份驗證服務(wù)提供證書�����,從而在以加密方式保障安全性的交換中驗證密鑰��,這是網(wǎng)絡(luò)釣魚網(wǎng)站無法獲得���、因此也無法騙取的信息�。
用戶通過其標識提供程序注冊一個或多個密鑰,除了讓用戶出示其用戶名和密碼外���,提供程序還可能通過一個MFA選項提示用戶輸入硬件密鑰��。安全團隊中的每一位成員在登錄時點擊密鑰(而不是在應(yīng)用程序中摸索代碼)�����,即可享受更順暢的體驗���。此外,安全團隊的成員如知曉其服務(wù)能夠防御網(wǎng)絡(luò)釣魚攻擊����,必定能夠安枕無憂。
使用Cloudflare的Zero Trust產(chǎn)品擴展硬件安全密鑰
雖然目前大多數(shù)標識提供程序允許用戶注冊硬件密鑰作為MFA選項�����,但管理員仍然沒有控制權(quán)來要求使用硬件密鑰��。個人用戶如果不能出示安全密鑰本身����,則可以退回到一個不太安全的選項�����,如基于應(yīng)用程序的代碼��。
當Cloudflare首次部署安全密鑰時�����,我們就遇到了這個問題���。如果用戶可以退回到一個不太安全且更容易遭到網(wǎng)絡(luò)釣魚攻擊的選項���,如基于應(yīng)用程序的代碼�,那么攻擊者也同樣可以���。我們攜手10,000多個企業(yè)����,在內(nèi)部使用Cloudflare的Zero Trust產(chǎn)品����,以部分確保用戶連接到其需要的資源和工具的安全���。
當任何用戶需要訪問內(nèi)部應(yīng)用程序或服務(wù)時,Cloudflare的網(wǎng)絡(luò)會評估每次請求或連接的多個信號����,例如標識、設(shè)備狀態(tài)和國家/地區(qū)���。管理員也可以構(gòu)建僅適用于某些目的地的精細規(guī)則��。具有客戶數(shù)據(jù)讀取能力的內(nèi)部管理員工具可能要求健康狀況良好的公司設(shè)備連接自某個特定的國家/地區(qū)�����,并歸特定標識提供程序組中的某個用戶所有�����。此外�,可能只需要標識即可通過共享一個新的營銷啟動頁面來獲取反饋����。如果我們可以在用戶的身份驗證過程中出示安全密鑰�����,而不是其他不太安全的MFA選項����,那么我們也可以強制執(zhí)行該信號�����。
幾年前�,標識提供程序、硬件供應(yīng)商和安全公司合作開發(fā)了一項新的標準—身份驗證方法參考標準(AMR)�,目的正是為了分享此類數(shù)據(jù)。根據(jù)AMR�,標識提供程序可以分享關(guān)于登錄嘗試的多項詳情,包括正在使用的MFA選項的類型�。該公告發(fā)布后不久���,我們在Cloudflare的Zero Trust套件中推出了規(guī)則構(gòu)建功能�����,以尋找和執(zhí)行該信號��。如今��,任何規(guī)模的團隊都可以構(gòu)建基于資源的規(guī)則�����,從而確保團隊成員始終使用其硬件密鑰��。
部署硬件安全密鑰時面臨哪些障礙�?
保證您實際控制的事物的安全性,也是導(dǎo)致部署硬件密鑰增加了一層復(fù)雜性的原因—您需要找到一種方法�,將這種物理密鑰批量交由用戶保管,使您團隊的每一位成員都可以注冊安全密鑰�����。
在所有情況下�,必須先購買硬件安全密鑰才能實施這種部署。與基于應(yīng)用程序的代碼(可能是免費的)相比�,安全密鑰會產(chǎn)生實際成本。對于一些企業(yè)而言���,這種成本讓人望而卻步���,繼而導(dǎo)致其安全性較低�����,但要注意的是��,并非所有的MFA都具備同等效力��。
對于其他團隊而言�����,特別是目前部分或完全實施遠程辦公的企業(yè)���,向永遠不會踏入實體辦公室的終端用戶提供這些密鑰,對IT部門而言是一項莫大的挑戰(zhàn)����。Cloudflare首次部署硬件密鑰是在公司級務(wù)虛會上完成的。許多企業(yè)不再有這種機會在單一場所乃至全球辦公室內(nèi)以物理方式發(fā)放密鑰���。
與Yubico開展合作
Cloudflare生日周始終是為了消除阻礙用戶和團隊更安全或更快速地訪問互聯(lián)網(wǎng)的壁壘和障礙而舉辦的。在實現(xiàn)該目標的過程中�,我們與Yubico開展合作,繼續(xù)消除采用硬件密鑰安全模式的摩擦。
·這款產(chǎn)品向所有Cloudflare客戶開放���。Cloudflare客戶可直接在Cloudflare Dashboard中針對Yubico安全密鑰申領(lǐng)這款產(chǎn)品��。
·Yubico將以“適合互聯(lián)網(wǎng)”的價格提供安全密鑰—每個密鑰低至10美元�����。Yubico將直接向客戶發(fā)放密鑰��。
·Cloudflare和Yubico的開發(fā)人員文檔和支持部門都將指導(dǎo)客戶設(shè)置密鑰并將其與他們的標識提供程序和Cloudflare的Zero Trust服務(wù)相整合���。
如何開始
您可以先登錄您的Cloudflare賬號并導(dǎo)航到儀表板,按照橫幅通知中列出的流程申請您自己的硬件密鑰�。屆時,Yubico將以電子郵件形式將您申請的硬件密鑰直接發(fā)送至您在Cloudflare帳戶中提供的管理員電子郵箱�����。希望批量部署YubiKey的大型企業(yè)����,可以探索Yubico的YubiEnterprise訂閱并在三年期訂閱中的第一年享受50%的折扣。
已經(jīng)擁有硬件安全密鑰�?如果您擁有物理硬件密鑰��,則可以開始在Cloudflare Access中構(gòu)建規(guī)則�,從而通過將它們注冊到支持AMR的標識提供程序(如Okta或Azure AD)中來強制使用它們�����。
最后�,如果您有意自行一同部署Yubikeys與我們的Zero Trust產(chǎn)品,請查看我們的安全總監(jiān)Evan Johnson的這篇博文��,其中回顧了Cloudflare的經(jīng)驗以及我們根據(jù)經(jīng)驗教訓(xùn)提出的建議�����。
立即登錄����,閱讀全文
閩公網(wǎng)安備 35010202001226號
