作為CIO Week的一部分,我們宣布推出了DNS Filtering解決方案和Partner Tenant平臺之間的一個新集成,可支持合作伙伴生態(tài)系統(tǒng)及Cloudflare直接客戶的parent-child策略需求。我們的Tenant平臺發(fā)布于2019年,允許Cloudflare的合作伙伴與數(shù)百萬個客戶輕松集成Cloudflare解決方案。Cloudflare Gateway于2020年發(fā)布,短短幾年內,就已經(jīng)從保護個人網(wǎng)絡發(fā)展為保護財富500強企業(yè)。通過這兩個解決方案之間的集成,我們現(xiàn)在可以幫助托管服務提供商(MSP)通過parent-child策略配置和帳戶層級策略覆蓋來支持大型多租戶部署,無縫地保護全體員工免受在線威脅。
為什么要與托管服務提供者合作?
托管服務提供者(MSP)是許多CIO工具包中的關鍵部分。在這個顛覆性技術、混合辦公和不斷變化的商業(yè)模式同時并發(fā)的時代,IT和安全運營外包是不同體量的企業(yè)在推動實現(xiàn)戰(zhàn)略目標及降本增效時會采納的基本策略。MSP通常都具備深厚的技術知識儲備、威脅洞察能力及各類安全技術解決方案的專業(yè)知識背景,能夠協(xié)助防御勒索軟件、惡意軟件和其他在線威脅。通過與MSP合作可以獲得易于部署、且具有價格競爭力的IT和安全解決方案,這樣一來企業(yè)內部團隊可以專注于更具戰(zhàn)略性的舉措。而Cloudflare也一直在致力于讓我們的客戶可以更容易地與MSP開展合作,以便從部署和管理層面做好全面的Zero Trust轉型。
選擇一家合適的MSP的決策標準是:該提供商是否有能力維護合作伙伴的最佳技術、安全和成本利益。MSP應該盡可能利用創(chuàng)新和低成本的安全解決方案,為您的組織帶來最佳價值。由于混合辦公帶來更廣泛的攻擊受面,相比更現(xiàn)代和專門的解決方案,過時的技術會迅速地產生更高的實施和維護成本。在Zero Trust這樣一個發(fā)展中的領域,一家有效的MSP應該能夠支持客戶全局部署,規(guī)?;芾恚⒂行У卦跇I(yè)務部門執(zhí)行全局企業(yè)策略。
Cloudflare Gateway DNS Filtering可以與MSP的產品組合進行結合互補,作為Zero Trust訪問控制戰(zhàn)略的一部分。DNS過濾使用域名系統(tǒng)(DNS)屏蔽惡意網(wǎng)站,防止用戶接觸到互聯(lián)網(wǎng)上有害或不適當?shù)膬热?。這確保了公司數(shù)據(jù)的安全,并允許公司控制員工可以在公司管理的網(wǎng)絡和設備上訪問的內容。
過濾策略通常由組織與服務提供商協(xié)商確定。在某些情況下,這些策略還需要由MSP或客戶在帳戶或業(yè)務部門級別進行獨立管理。這意味著,需要用parent-child關系來平衡企業(yè)級規(guī)則的部署與跨設備、辦公地點或業(yè)務部門的定制,這是非常常見的。這種結構對于正在跨數(shù)百萬設備和帳戶部署訪問策略的MSP至關重要。
更為緊密及高效的協(xié)作:Zero Trust Tenant Platform
為了讓MSP更容易管理數(shù)百萬個帳戶,并實施適當?shù)脑L問控制和策略管理,我們將Cloudflare Gateway與現(xiàn)有的Tenant平臺集成了一個可提供parent-child配置的新特性。這允許MSP合作伙伴創(chuàng)建和管理帳戶,設置全局企業(yè)安全策略,并允許在單個業(yè)務部門或團隊級別進行適當?shù)墓芾砘蚋采w。
Tenant平臺允許MSP自行創(chuàng)建數(shù)百萬個最終客戶帳戶,以支持其特定的啟動和配置。這也確保了客戶之間所有權的適當分離,并允許最終客戶在需要時直接訪問Cloudflare儀表板。
所創(chuàng)建的每個帳戶都是一個單獨的容器,其中包含MSP每個最終客戶的訂閱資源(Zero Trust策略、區(qū)域、Worker等)。客戶管理員可以根據(jù)需要受邀對每個帳戶進行自助服務管理,而MSP保留對每個帳戶所啟用的功能的控制。
MSP現(xiàn)在能夠大規(guī)模地設置和管理帳戶,我們將探索與Cloudflare Gateway的集成如何讓他們管理這些帳戶的擴展DNS過濾策略。
分層Zero Trust帳戶
每個MSP最終客戶的獨立帳戶準備就緒后,MSP可完全管理部署,也可提供受Cloudflare配置API支持的自助門戶。支持配置門戶還意味著您永遠不希望您的最終用戶阻止對此域的訪問,因此MSP可以在其所有最終客戶帳戶加入時向其添加隱藏策略,這將是一個簡單的一次性API調用。盡管每當他們需要向上述策略推送更新時就會出現(xiàn)問題,但現(xiàn)在這意味著他們必須為每個MSP最終客戶更新一次策略,對于某些MSP,這可能意味著超過100萬次API調用。
為了將其轉換為單次API調用,我們引入了頂級帳戶(即parent帳戶)的概念。此parent帳戶允許MSP設置全局策略,這些策略在后續(xù)MSP最終客戶策略(即子帳戶策略)之前應用于所有DNS查詢。這種結構有助于確保MSP可以為其所有子帳戶設置自己的全局策略,同時每個子帳戶可以進一步過濾其DNS查詢以滿足他們的需求,而不會影響任何其他子帳戶。
這也并不限于策略,每個子賬戶都可以創(chuàng)建自己的自定義阻止頁面,上傳自己的證書以顯示這些阻止頁面,并通過Gateway地點設置自己的DNS端點(IPv4、IPv6、DoH和DoT)。此外,由于這些帳戶與非MSP Gateway帳戶完全相同,因此對于每個父或子帳戶的策略、位置或列表的默認限制而言,沒有任何下限。
下一步
綜上所述,在確保當今各種規(guī)模和發(fā)展階段的企業(yè)及組織可擁有多樣化的生態(tài)系統(tǒng)方面,MSP發(fā)揮了關鍵作用。各種規(guī)模的公司都發(fā)現(xiàn)自己面臨著同樣復雜的威脅形勢,并面臨著在有限的資源和有限的安全工具下維持適當?shù)陌踩珣B(tài)勢和管理風險的挑戰(zhàn)。MSP提供了額外的資源、專業(yè)知識和先進的安全工具,可以幫助這些公司降低風險。Cloudflare致力于讓MSP更容易有效地為客戶提供Zero Trust解決方案。
鑒于MSP對我們客戶的重要性和我們合作伙伴網(wǎng)絡的持續(xù)增長,我們計劃在2023年推出一系列新特性,并在此基礎上更好地支持我們的MSP合作伙伴。首先,我們路線圖上的一個關鍵項目是:開發(fā)一個重新設計的租戶管理儀表板,以改進帳戶和用戶管理。其次,我們希望在整個Zero Trust解決方案集上擴展我們的多租戶配置,以便讓MSP更容易大規(guī)模實施安全的混合辦公解決方案。
最后,為了更好地支持層級訪問,我們計劃擴展MSP合作伙伴目前可用的用戶角色和訪問模型,以允許他們的團隊更輕松地支持和管理他們的各種帳戶。Cloudflare一直以其易用性為榮,我們的目標是讓Cloudflare成為全球服務和安全提供商的首選Zero Trust平臺。
在整個CIO Week期間,我們已經(jīng)談到合作伙伴如何幫助他們的客戶實現(xiàn)安全態(tài)勢的現(xiàn)代化,與經(jīng)歷了混合辦公和混合多云基礎設施轉型的全球趨勢保持一致。歸根結底,Cloudflare Zero Trust的力量在于它是一個可組合、統(tǒng)一的平臺,將產品、功能和我們的合作伙伴網(wǎng)絡結合在一起。