適用于托管服務(wù)提供商的Cloudflare Zero Trust

作為CIO Week的一部分，我們宣布推出了DNS Filtering解決方案和Partner Tenant平臺(tái)之間的一個(gè)新集成，可支持合作伙伴生態(tài)系統(tǒng)及Cloudflare直接客戶的parent-child策略需求。我們的Tenant平臺(tái)發(fā)布于2019年，允許Cloudflare的合作伙伴與數(shù)百萬個(gè)客戶輕松集成Cloudflare解決方案。Cloudflare Gateway于2020年發(fā)布，短短幾年內(nèi)，就已經(jīng)從保護(hù)個(gè)人網(wǎng)絡(luò)發(fā)展為保護(hù)財(cái)富500強(qiáng)企業(yè)。通過這兩個(gè)解決方案之間的集成，我們現(xiàn)在可以幫助托管服務(wù)提供商（MSP）通過parent-child策略配置和帳戶層級(jí)策略覆蓋來支持大型多租戶部署，無縫地保護(hù)全體員工免受在線威脅。

為什么要與托管服務(wù)提供者合作？

托管服務(wù)提供者（MSP）是許多CIO工具包中的關(guān)鍵部分。在這個(gè)顛覆性技術(shù)、混合辦公和不斷變化的商業(yè)模式同時(shí)并發(fā)的時(shí)代，IT和安全運(yùn)營外包是不同體量的企業(yè)在推動(dòng)實(shí)現(xiàn)戰(zhàn)略目標(biāo)及降本增效時(shí)會(huì)采納的基本策略。MSP通常都具備深厚的技術(shù)知識(shí)儲(chǔ)備、威脅洞察能力及各類安全技術(shù)解決方案的專業(yè)知識(shí)背景，能夠協(xié)助防御勒索軟件、惡意軟件和其他在線威脅。通過與MSP合作可以獲得易于部署、且具有價(jià)格競爭力的IT和安全解決方案，這樣一來企業(yè)內(nèi)部團(tuán)隊(duì)可以專注于更具戰(zhàn)略性的舉措。而Cloudflare也一直在致力于讓我們的客戶可以更容易地與MSP開展合作，以便從部署和管理層面做好全面的Zero Trust轉(zhuǎn)型。

選擇一家合適的MSP的決策標(biāo)準(zhǔn)是：該提供商是否有能力維護(hù)合作伙伴的最佳技術(shù)、安全和成本利益。MSP應(yīng)該盡可能利用創(chuàng)新和低成本的安全解決方案，為您的組織帶來最佳價(jià)值。由于混合辦公帶來更廣泛的攻擊受面，相比更現(xiàn)代和專門的解決方案，過時(shí)的技術(shù)會(huì)迅速地產(chǎn)生更高的實(shí)施和維護(hù)成本。在Zero Trust這樣一個(gè)發(fā)展中的領(lǐng)域，一家有效的MSP應(yīng)該能夠支持客戶全局部署，規(guī)?；芾?，并有效地在業(yè)務(wù)部門執(zhí)行全局企業(yè)策略。

Cloudflare Gateway DNS Filtering可以與MSP的產(chǎn)品組合進(jìn)行結(jié)合互補(bǔ)，作為Zero Trust訪問控制戰(zhàn)略的一部分。DNS過濾使用域名系統(tǒng)（DNS）屏蔽惡意網(wǎng)站，防止用戶接觸到互聯(lián)網(wǎng)上有害或不適當(dāng)?shù)膬?nèi)容。這確保了公司數(shù)據(jù)的安全，并允許公司控制員工可以在公司管理的網(wǎng)絡(luò)和設(shè)備上訪問的內(nèi)容。

過濾策略通常由組織與服務(wù)提供商協(xié)商確定。在某些情況下，這些策略還需要由MSP或客戶在帳戶或業(yè)務(wù)部門級(jí)別進(jìn)行獨(dú)立管理。這意味著，需要用parent-child關(guān)系來平衡企業(yè)級(jí)規(guī)則的部署與跨設(shè)備、辦公地點(diǎn)或業(yè)務(wù)部門的定制，這是非常常見的。這種結(jié)構(gòu)對(duì)于正在跨數(shù)百萬設(shè)備和帳戶部署訪問策略的MSP至關(guān)重要。

更為緊密及高效的協(xié)作：Zero Trust Tenant Platform

為了讓MSP更容易管理數(shù)百萬個(gè)帳戶，并實(shí)施適當(dāng)?shù)脑L問控制和策略管理，我們將Cloudflare Gateway與現(xiàn)有的Tenant平臺(tái)集成了一個(gè)可提供parent-child配置的新特性。這允許MSP合作伙伴創(chuàng)建和管理帳戶，設(shè)置全局企業(yè)安全策略，并允許在單個(gè)業(yè)務(wù)部門或團(tuán)隊(duì)級(jí)別進(jìn)行適當(dāng)?shù)墓芾砘蚋采w。

Tenant平臺(tái)允許MSP自行創(chuàng)建數(shù)百萬個(gè)最終客戶帳戶，以支持其特定的啟動(dòng)和配置。這也確保了客戶之間所有權(quán)的適當(dāng)分離，并允許最終客戶在需要時(shí)直接訪問Cloudflare儀表板。

所創(chuàng)建的每個(gè)帳戶都是一個(gè)單獨(dú)的容器，其中包含MSP每個(gè)最終客戶的訂閱資源（Zero Trust策略、區(qū)域、Worker等）?？蛻艄芾韱T可以根據(jù)需要受邀對(duì)每個(gè)帳戶進(jìn)行自助服務(wù)管理，而MSP保留對(duì)每個(gè)帳戶所啟用的功能的控制。

MSP現(xiàn)在能夠大規(guī)模地設(shè)置和管理帳戶，我們將探索與Cloudflare Gateway的集成如何讓他們管理這些帳戶的擴(kuò)展DNS過濾策略。

分層Zero Trust帳戶

每個(gè)MSP最終客戶的獨(dú)立帳戶準(zhǔn)備就緒后，MSP可完全管理部署，也可提供受Cloudflare配置API支持的自助門戶。支持配置門戶還意味著您永遠(yuǎn)不希望您的最終用戶阻止對(duì)此域的訪問，因此MSP可以在其所有最終客戶帳戶加入時(shí)向其添加隱藏策略，這將是一個(gè)簡單的一次性API調(diào)用。盡管每當(dāng)他們需要向上述策略推送更新時(shí)就會(huì)出現(xiàn)問題，但現(xiàn)在這意味著他們必須為每個(gè)MSP最終客戶更新一次策略，對(duì)于某些MSP，這可能意味著超過100萬次API調(diào)用。

為了將其轉(zhuǎn)換為單次API調(diào)用，我們引入了頂級(jí)帳戶（即parent帳戶）的概念。此parent帳戶允許MSP設(shè)置全局策略，這些策略在后續(xù)MSP最終客戶策略（即子帳戶策略）之前應(yīng)用于所有DNS查詢。這種結(jié)構(gòu)有助于確保MSP可以為其所有子帳戶設(shè)置自己的全局策略，同時(shí)每個(gè)子帳戶可以進(jìn)一步過濾其DNS查詢以滿足他們的需求，而不會(huì)影響任何其他子帳戶。

這也并不限于策略，每個(gè)子賬戶都可以創(chuàng)建自己的自定義阻止頁面，上傳自己的證書以顯示這些阻止頁面，并通過Gateway地點(diǎn)設(shè)置自己的DNS端點(diǎn)（IPv4、IPv6、DoH和DoT）。此外，由于這些帳戶與非MSP Gateway帳戶完全相同，因此對(duì)于每個(gè)父或子帳戶的策略、位置或列表的默認(rèn)限制而言，沒有任何下限。

下一步

綜上所述，在確保當(dāng)今各種規(guī)模和發(fā)展階段的企業(yè)及組織可擁有多樣化的生態(tài)系統(tǒng)方面，MSP發(fā)揮了關(guān)鍵作用。各種規(guī)模的公司都發(fā)現(xiàn)自己面臨著同樣復(fù)雜的威脅形勢，并面臨著在有限的資源和有限的安全工具下維持適當(dāng)?shù)陌踩珣B(tài)勢和管理風(fēng)險(xiǎn)的挑戰(zhàn)。MSP提供了額外的資源、專業(yè)知識(shí)和先進(jìn)的安全工具，可以幫助這些公司降低風(fēng)險(xiǎn)。Cloudflare致力于讓MSP更容易有效地為客戶提供Zero Trust解決方案。

鑒于MSP對(duì)我們客戶的重要性和我們合作伙伴網(wǎng)絡(luò)的持續(xù)增長，我們計(jì)劃在2023年推出一系列新特性，并在此基礎(chǔ)上更好地支持我們的MSP合作伙伴。首先，我們路線圖上的一個(gè)關(guān)鍵項(xiàng)目是：開發(fā)一個(gè)重新設(shè)計(jì)的租戶管理儀表板，以改進(jìn)帳戶和用戶管理。其次，我們希望在整個(gè)Zero Trust解決方案集上擴(kuò)展我們的多租戶配置，以便讓MSP更容易大規(guī)模實(shí)施安全的混合辦公解決方案。

最后，為了更好地支持層級(jí)訪問，我們計(jì)劃擴(kuò)展MSP合作伙伴目前可用的用戶角色和訪問模型，以允許他們的團(tuán)隊(duì)更輕松地支持和管理他們的各種帳戶。Cloudflare一直以其易用性為榮，我們的目標(biāo)是讓Cloudflare成為全球服務(wù)和安全提供商的首選Zero Trust平臺(tái)。

在整個(gè)CIO Week期間，我們已經(jīng)談到合作伙伴如何幫助他們的客戶實(shí)現(xiàn)安全態(tài)勢的現(xiàn)代化，與經(jīng)歷了混合辦公和混合多云基礎(chǔ)設(shè)施轉(zhuǎn)型的全球趨勢保持一致。歸根結(jié)底，Cloudflare Zero Trust的力量在于它是一個(gè)可組合、統(tǒng)一的平臺(tái)，將產(chǎn)品、功能和我們的合作伙伴網(wǎng)絡(luò)結(jié)合在一起。