擴(kuò)大與Microsoft的合作：為客戶提供主動(dòng)、自動(dòng)化的Zero Trust安全防護(hù)

考慮多個(gè)解決方案拼湊在一起給CIO帶來的復(fù)雜性，我們正在擴(kuò)大與Microsoft的合作，以打造最好的Zero Trust解決方案之一。今天，我們推出Microsoft Azure Active Directory（Azure AD）和Cloudflare Zero Trust之間的四項(xiàng)新集成，旨在主動(dòng)降低風(fēng)險(xiǎn)。這些集成提高了自動(dòng)化程度，使安全團(tuán)隊(duì)能夠?qū)Ｗ⒂谕{防御，無需顧及實(shí)施和維護(hù)。

Zero Trust是什么？為什么重要？

Zero Trust是一個(gè)被業(yè)界過度使用的術(shù)語（也被稱為“零信任”），造成了不少困惑。因此，請(qǐng)讓我們細(xì)細(xì)分說。Zero Trust架構(gòu)強(qiáng)調(diào)“永不信任，始終驗(yàn)證”的方法。打一個(gè)比方，在傳統(tǒng)的安全邊界或“城堡+護(hù)城河”模型中，只需通過正門（例如，通常是VPN），您就可以自由進(jìn)入建筑物內(nèi)的所有房間（例如，應(yīng)用程序）。在Zero Trust模型中，您需要分別獲得對(duì)每個(gè)上鎖房間（應(yīng)用）的權(quán)限，而非僅僅通過正門即可。Zero Trust模型中的一些關(guān)鍵組成部分有：身份，例如Azure AD（誰）；應(yīng)用，例如一個(gè)SAP實(shí)例，或Azure上的自定義應(yīng)用（應(yīng)用程序）；策略，例如Cloudflare Access rules（誰可訪問什么應(yīng)用程序）；設(shè)備，例如由Microsoft Intune管理的一臺(tái)筆記本電腦（（請(qǐng)求訪問的端點(diǎn)的安全性）；以及其他上下文信號(hào)。

Zero Trust在今天愈發(fā)重要，因?yàn)榇蟠笮⌒〉墓径济媾R著數(shù)字化轉(zhuǎn)型加速，以及員工隊(duì)伍日益分散的情況。淘汰城堡+護(hù)城河模型，并將整個(gè)互聯(lián)網(wǎng)作為企業(yè)網(wǎng)絡(luò)，要求對(duì)訪問每個(gè)資源的每個(gè)用戶進(jìn)行安全檢查。因此，所有的公司，尤其是那些越來越多地使用Microsoft廣泛云產(chǎn)品組合者，都在采用Zero Trust架構(gòu)，將其作為云之旅的重要組成部分。

Cloudflare的Zero Trust平臺(tái)為內(nèi)部和SaaS應(yīng)用程序提供了一種現(xiàn)代化的身份驗(yàn)證方法。大多數(shù)公司可能都擁有各種企業(yè)應(yīng)用程序——一些是SaaS，一些托管在本地部或Azure上。Cloudflare的Zero Trust零信任網(wǎng)絡(luò)訪問（ZTNA）產(chǎn)品是我們Zero Trust平臺(tái)的一部分，使這些應(yīng)用程序感覺像SaaS應(yīng)用程序，允許員工通過簡(jiǎn)單和一致的流程進(jìn)行訪問。Cloudflare Access充當(dāng)一個(gè)統(tǒng)一的反向代理，通過確保每個(gè)請(qǐng)求都經(jīng)過身份驗(yàn)證、授權(quán)和加密來實(shí)施訪問控制。

Cloudflare Zero Trust與Microsoft Azure Active Directory

我們有成千上萬的客戶使用Microsoft Azure Active Directory和Cloudflare Access作為他們Zero Trust架構(gòu)的一部分。我們?nèi)ツ晷嫉腗icrosoft的集成可在不影響我們共同客戶性能的前提下加強(qiáng)安全。Cloudflare的Zero Trust平臺(tái)與Azure AD集成，為組織的混合辦公人員提供無縫的應(yīng)用程序訪問體驗(yàn)。

回顧一下，我們推出的集成解決了兩個(gè)關(guān)鍵問題：

對(duì)于本地傳統(tǒng)應(yīng)用程序，Cloudflare作為Azure AD安全混合訪問合作伙伴的參與，使客戶能夠使用SSO身份驗(yàn)證集中管理對(duì)其本地傳統(tǒng)應(yīng)用程序的訪問，而無需額外開發(fā)。共同客戶現(xiàn)可輕松使用Cloudflare Access作為其傳統(tǒng)應(yīng)用程序前的高性能額外安全層。

對(duì)于運(yùn)行于Microsoft Azure平臺(tái)上的應(yīng)用，共同客戶可將Microsoft Azure AD與Cloudflare Zero Trust集成，構(gòu)建基于用戶身份、組成員資格和Azure AD條件策略的規(guī)則。通過Cloudflare的應(yīng)用連接器——Cloudflare Tunnel，用戶僅需單擊幾下鼠標(biāo)，就能使用其Azure AD憑據(jù)驗(yàn)證身份并連接到Cloudflare Access。Cloudflare Tunnel可暴露在Microsoft Azure平臺(tái)上運(yùn)行的應(yīng)用。查看有關(guān)安裝和配置Cloudflare Tunnel的指南。

鑒于Cloudflare在Zero Trust和安全解決方案方面的創(chuàng)新方法，Microsoft將2022年Microsoft安全卓越獎(jiǎng)中的安全軟件創(chuàng)新者獎(jiǎng)項(xiàng)頒給我們，這是一個(gè)享有盛譽(yù)的獎(jiǎng)項(xiàng)類別。

但是我們并沒有停止創(chuàng)新。我們聽取了客戶的反饋，為了解決他們的痛點(diǎn)，我們正在宣布幾項(xiàng)全新的集成。

今天推出的Microsoft集成

今天宣布的四項(xiàng)全新集成是——

1.針對(duì)每個(gè)應(yīng)用程序的條件訪問：Azure AD客戶可在Cloudflare Zero Trust中使用其現(xiàn)有的條件訪問策略。

Azure AD允許管理員就應(yīng)用程序和用戶創(chuàng)建和執(zhí)行使用條件訪問的策略。它提供了廣泛參數(shù)，可用于控制用戶對(duì)應(yīng)用程序的訪問（例如，用戶風(fēng)險(xiǎn)等級(jí)、登錄風(fēng)險(xiǎn)等級(jí)、設(shè)備平臺(tái)、位置、客戶端應(yīng)用等）。Cloudflare Access現(xiàn)在支持每個(gè)應(yīng)用程序的Azure AD條件訪問策略。這允許安全團(tuán)隊(duì)在Azure AD或Cloudflare Access中定義安全條件，并在兩個(gè)產(chǎn)品中執(zhí)行，而無需更改一行代碼。

例如，客戶可能對(duì)內(nèi)部工資單應(yīng)用程序有更嚴(yán)格的控制級(jí)別，因此在Azure AD上有特定的條件訪問策略。但是，對(duì)于一般的信息類應(yīng)用程序（例如內(nèi)部wiki），客戶可能會(huì)通過Azure AD條件訪問策略執(zhí)行不那么嚴(yán)格的規(guī)則。在這種情況下，兩個(gè)應(yīng)用程序組和相關(guān)Azure AD條件訪問策略都可以直接無縫地插入Cloudflare Zero Trust，而無需任何代碼更改。

2.SCIM：在Cloudflare Zero Trust和Azure Active Directory之間自動(dòng)同步Azure AD組，為CIO節(jié)省大量時(shí)間。

Cloudflare Access策略可以使用Azure AD驗(yàn)證用戶的身份并提供有關(guān)該用戶的信息（例如，姓/名、電子郵件、組成員資格等）。這些用戶屬性并非總是不變，可以隨著時(shí)間的推移而改變。當(dāng)用戶仍然保留對(duì)某些敏感資源的訪問權(quán)限時(shí)，可能會(huì)產(chǎn)生嚴(yán)重的后果。

通常，當(dāng)用戶屬性發(fā)生變化時(shí)，管理員需要檢查和更新可能包含相關(guān)用戶的所有訪問策略。這是一個(gè)單調(diào)乏味的過程，容易導(dǎo)致錯(cuò)誤結(jié)果。

SCIM（跨域身份管理系統(tǒng)）規(guī)范確保使用它的實(shí)體之間的用戶身份始終是最新的。我們很高興地宣布，Azure AD和Cloudflare Access的共同客戶將很快能夠啟用SCIM用戶和組的配置和取消配置。它將完成如下操作：

IdP策略組選擇器現(xiàn)在已經(jīng)預(yù)先填充了Azure AD組，并將保持同步。對(duì)策略組所做的任何更改都將立即反映在Access中，而不會(huì)給管理員帶來任何開銷。

當(dāng)某個(gè)用戶在Azure AD上被取消配置時(shí)，該用戶在Cloudflare Access和Gateway上的所有權(quán)限都將被撤銷。這確保了幾乎實(shí)時(shí)的更改，從而降低了安全風(fēng)險(xiǎn)。

3.高風(fēng)險(xiǎn)用戶隔離：通過將高風(fēng)險(xiǎn)用戶（基于AD信號(hào)）隔離到瀏覽器隔離會(huì)話（使用Cloudflare的RBI產(chǎn)品），幫助共同客戶增加額外的完全保護(hù)層。

Azure AI根據(jù)它分析的許多數(shù)據(jù)點(diǎn)將用戶分為低風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)和高風(fēng)險(xiǎn)用戶。用戶可能會(huì)根據(jù)其活動(dòng)從一個(gè)風(fēng)險(xiǎn)組轉(zhuǎn)移到另一個(gè)風(fēng)險(xiǎn)組。用戶被確定存在風(fēng)險(xiǎn)是基于多個(gè)因素的，例如雇傭性質(zhì)（即承包商）、危險(xiǎn)登錄行為、憑據(jù)泄露等。雖然這些用戶是高風(fēng)險(xiǎn)用戶，但在進(jìn)一步評(píng)估用戶的同時(shí)，可以通過一種低風(fēng)險(xiǎn)的方式提供對(duì)資源/應(yīng)用的訪問。

我們現(xiàn)在支持將Azure AD群組與Cloudflare Browser Isolation集成。當(dāng)一個(gè)用戶在Azure AD上被歸類為高風(fēng)險(xiǎn)時(shí)，我們會(huì)使用這個(gè)信號(hào)，通過我們的Azure AD集成自動(dòng)將其流量隔離開來。這意味著高風(fēng)險(xiǎn)用戶可以通過安全和隔離的瀏覽器訪問資源。如果用戶從高風(fēng)險(xiǎn)用戶轉(zhuǎn)變?yōu)榈降惋L(fēng)險(xiǎn)用戶，則不再受到適用于高風(fēng)險(xiǎn)用戶的隔離策略影響。

4.保護(hù)共同政府云客戶：通過Azure AD的集中式身份和訪問管理，幫助政府云（“GCC”）客戶實(shí)現(xiàn)更高的安全性，并通過將他們連接到Cloudflare全球網(wǎng)絡(luò)來增加額外的安全層，而不必向整個(gè)互聯(lián)網(wǎng)開放。

通過安全混合訪問（SHA）計(jì)劃，政府云（‘GCC’）客戶很快就能將Microsoft Azure AD與Cloudflare Zero Trust集成，構(gòu)建基于用戶身份、組成員資格和Azure AD條件策略的規(guī)則。通過Cloudflare Tunnel，用戶僅需單擊幾下鼠標(biāo)，就能使用其Azure AD憑據(jù)驗(yàn)證身份并連接到Cloudflare Access。Cloudflare Tunnel可暴露在Microsoft Azure上運(yùn)行的應(yīng)用程序。

“數(shù)字化轉(zhuǎn)型創(chuàng)造了一種新的安全范式，導(dǎo)致組織加速采用Zero Trust。Cloudflare Zero Trust和Azure Active Directory聯(lián)合解決方案簡(jiǎn)化了員工Zero Trust部署，使我們能夠?qū)Ｗ⒂诤诵臉I(yè)務(wù)，促進(jìn)了Swiss Re的增長。該聯(lián)合解決方案使我們能夠超越SSO，為我們的自適應(yīng)員工提供從任何地方對(duì)應(yīng)用程序的無摩擦、安全訪問。該聯(lián)合解決方案還為我們提供了一個(gè)全面的Zero Trust解決方案，包括人員、設(shè)備和網(wǎng)絡(luò)?！报CBotond Szakács，主管，Swiss Re

“隨著企業(yè)繼續(xù)采用云優(yōu)先戰(zhàn)略，云原生的Zero Trust安全模型已經(jīng)成為絕對(duì)的必需品。Cloudflare和Microsoft聯(lián)合開發(fā)了強(qiáng)大的產(chǎn)品集成，以幫助CIO團(tuán)隊(duì)主動(dòng)預(yù)防攻擊，動(dòng)態(tài)控制策略和風(fēng)險(xiǎn)，并增加自動(dòng)化，與Zero Trust最佳實(shí)踐保持一致?！报CJoy Chik，總裁，身份與網(wǎng)絡(luò)訪問，Microsoft