Cloudflare mit Cloudflare One schützen

Eine wachsende hybride Belegschaft sichern

Seit unserer Gründung im Jahr 2010 lösen wir bei Cloudflare interne IT- und Sicherheitsprobleme in erster Linie mit unseren eigenen Diensten. Dieser Ansatz ermöglicht es uns, Funktionen zu testen und zu verbessern, bevor wir sie an unsere Kunden ausliefern, und er ist auch die Grundlage der Sicherheitsstrategie für unsere Mitarbeitenden.

Da die Angriffsfläche von Cloudflare stetig wächst – mehr Mitarbeitende, mehr Kunden und mehr Technologien – müssen wir unser Sicherheitsniveau weiter erhöhen und unseren IT- und Sicherheitsteams klare Transparenz und Kontrolle verleihen. Zu diesem Zweck haben wir die Dienste unserer SASE- und SSE-Plattform Cloudflare One entwickelt und eingeführt. Mit diesen Diensten sichern wir den Zugriff auf Anwendungen, verteidigen uns gegen Cyberbedrohungen und schützen sensible Daten.

Cloudflare beschäftigt mehr als 3.500 Menschen in Dutzenden von Büros und Remote-Standorten. Dieser Anwenderbericht beschreibt, wie wir unsere eigenen Cloudflare One-Dienste verwenden, um die Sicherheit und Produktivität der Nutzer im gesamten Unternehmen zu gewährleisten.

„Cloudflare mit unseren eigenen Diensten zu sichern, ist der effektivste Weg, nicht nur unser Geschäft zu schützen, sondern auch Innovationen für unsere Kunden zu schaffen“, so der Chief Security Officer Grant Bourzikas. „Indem wir Cloudflare mit Cloudflare schützen, bleiben unser Sicherheitsteam und unsere Dienste der Zeit voraus, während unser Geschäft immer ehrgeiziger und komplexer wird.“

Zugriff auf Anwendungen sichern

Cloudflare befolgt die Best Practices des Zero Trust, um den Zugriff auf alle selbstgehosteten Anwendungen für alle Nutzer zu sichern, sowohl remote als auch im Büro. Genauer: Wir nutzen Cloudflare Access, unseren eigenen Dienst für Zero Trust-Netzwerkzugang (ZTNA), um Identität zu überprüfen, Multi-Faktor-Authentifizierung (MFA) mit Hardware-Schlüsseln durchzusetzen und den Gerätestatus für jede Anfrage zu bewerten. Diese Aufstellung hat sich über die Jahre hinweg entwickelt und erlaubt uns, die wachsende Cloudflare-Belegschaft effektiver zu schützen und Kunden auf der Grundlage unserer eigenen Erfahrungen zu beraten.

Die Entstehungsgeschichte unseres ZTNA: Ein Ersatz für VPN

Unser Interesse an Zero Trust begann mit einem praktischen Problem, das Cloudflare-Entwickler für sich selbst lösten: Wir brauchten einen effizienteren Zugang für Entwicklungsumgebungen ohne den Ärger mit einem Virtual Private Network (VPN).

Wenn Mitarbeitende im Jahr 2015 ausnahmsweise remote arbeiteten, erreichten sie intern gehostete Apps nur über ein Backhaul des Traffics über ein On-Prem-VPN-Gerät. Das latenzanfällige und reaktionsschwache VPN führte zu Frustration, insbesondere bei Bereitschaftsentwicklern, die sich zu ungewöhnlichen Zeiten einloggten, um zeitkritische Probleme zu lösen.

Als Abhilfe für ihren eigenen Schmerzpunkt entwickelte das Team Cloudflare Access. Access begann als ein Reverse-Proxy-Dienst, der Zugriffsanfragen über das nächstgelegene Cloudflare-Rechenzentrum weiterleitete, anstatt ein Backhauling über eine VPN-Hardware durchzuführen. Bei jeder Anfrage verifizierte Access die Nutzer anhand unseres Identitätsproviders in einem Browserfenster und befreite sie so von der Unannehmlichkeit und dem Risiko, Anmeldedaten für VPN-Clients im Kopf zu behalten.

Die reibungslose Authentifizierungserfahrung führte zu einer flüssigen Einführung von Access für immer mehr Anwendungen und verringerte die Abhängigkeit von einem VPN. Zuerst wurde Grafana mit dem neuen Authentifizierungs-Workflow geschützt, dann folgten Web-Apps wie unsere Atlassian-Suite und schließlich sogar Nicht-HTTP-Ressourcen.

Die abrupte Umstellung auf Remote-Arbeit während der Pandemie beschleunigte die Migration der Anwendungen hinter Access. Bis zum Sommer 2020 hatten die IT-Teams von Cloudflare die Zeit, die sie für die Bearbeitung von VPN-Tickets benötigten, um ca. 80 % reduziert und das Ticketvolumen im Vergleich zum Vorjahr um ca. 70 % verringert. Dies entspricht einer geschätzten Zeitersparnis von 100.000 USD pro Jahr.

Anfang 2021 verlangten die Cloudflare-Sicherheitsteams, dass alle intern gehosteten Anwendungen auf Access umgestellt werden. Dieser Schritt reduzierte unsere Angriffsfläche mithilfe von Features wie Least Privilege, standardmäßige Verweigerung und identitätsbasierte Kontrollen. Im Laufe des Jahres haben wir unser VPN vollständig abgeschafft und unsere Erfahrungen in einem verbindlichen Leitfaden für andere Organisationen festgehalten.

Auch das Onboarding und Offboarding von Mitarbeitenden ist einfacher geworden. Neue Teammitglieder müssen sich nicht mehr mit der Einrichtung eines VPNs vertraut machen und das sparte aufs Jahr 2020 gerechnet bis zu über 300 Arbeitsstunden für neue Angestellte. Stattdessen erfolgt die Konfiguration des Anwendungszugriffs nun weitgehend automatisiert über die Integration von Cloudflare mit dem Infrastructure-as-Code-Tool Terraform.

„Durch die Ablösung unseres VPNs und die interne Einführung von Zero Trust kann sich unsere Belegschaft nun schneller, sicherer und einfacher mit unseren Anwendungen verbinden und produktiv bleiben“, so der Security Director Derek Pitts. „Mit unserem ZTNA-Dienst muss Cloudflare keine Kompromisse machen, wenn es darum geht, einerseits die Sicherheit zu erhöhen und andererseits eine fantastische Nutzererfahrung zu bieten.“

MFA über Hardware-Token und die Vereitlung eines gezielten Phishing-Angriffs

Seit der internen Einführung von ZTNA hat Cloudflare die MFA eingeführt. Die Umstellung der MFA begann mit Softkeys wie zeitbasierten Einmalpasswörtern (Time-Based One-Time-Passwords, kurz TOTPs) über SMS, E-Mail und Apps. Ab 2018 startete das Sicherheitsteam von Cloudflare mit der Ausgabe von Hardware-Tokens. Diese konnten als optionale Form der Authentifizierung in bestimmten Apps verwendet werden.

Die größte Veränderung dieses MFA-Ansatzes begann im Februar 2021. Damals kam es vermehrt zu Social-Engineering-Angriffen auf Mitarbeitende, darunter auch Anrufe, bei denen sich die Angreifer als Cloudflare-IT ausgaben. Cloudflare führte daraufhin die Authentifizierung über FIDO1-konforme Hardware-Token für alle Anwendungen und Nutzer ein, da dieser Ansatz resistenter gegen Phishing ist. Sowohl auf Firmenlaptops als auch auf privaten Mobilgeräten müssen die Mitarbeitenden nun ihren FIPS-validierten Security-Token von YubiKey antippen, wenn sie auf eine App zugreifen wollen. Alle anderen Formen von MFA wurden deaktiviert. Diese Methode profitiert auch von der stärkeren Kryptografie des WebAuthn-Standardprotokolls.

Die Hardware-Token-Methode wurde im August 2022 auf die Probe gestellt: Cloudflare vereitelte einen gezielten Phishing-Angriff, der andere Großunternehmen erfolgreich kompromittieren konnte. Sechsundsiebzig Cloudflare-Mitarbeitende erhielten legitim aussehende SMS-Nachrichten, die zu einer gefälschten Okta-Anmeldeseite führten. In Echtzeit gaben die Bedrohungsakteure dann alle gestohlenen Anmeldedaten auf der echten Anmeldeseite des Identitätsanbieters ein, um einen TOTP-Code zurück an den Nutzer anzufordern. Bei Organisationen, die sich auf TOTP-Codes verließen, konnten die Bedrohungsakteure, sobald dieser TOTP-Code auf der gefälschten Anmeldeseite eingegeben wurde, eine Phishing-Nutzlast initiieren, um die Fernkontrolle über den Computer des Mitarbeitenden zu ergreifen.

Obwohl einige unserer Beschäftigte ihre Anmeldedaten eingegeben hatten, verhinderten die Maßnahmen von Cloudflare, dass die Angreifer die Kontrolle über die Rechner übernehmen konnten. Nach der Entdeckung des Angriffs ergriff Cloudflare weitere Maßnahmen, um das Risiko zu neutralisieren:

• Blockieren der Phishing-Domain mit unserem Secure Web Gateway (SWG)
• Isolierung des Zugriffs auf alle vor Kurzem registrierten Domains mit unserem Dienst für Remote-Browserisolierung (RBI)
• Zusammenarbeit mit Branchenpartnern, um die Infrastruktur des Angreifers lahmzulegen
• Unterbrechung aktiver Sitzungen über ZTNA und Zurücksetzen kompromittierter Anmeldedaten
• Scannen von Identitäten und Geräten mit ungeprüfter Zwei-Faktor-Authentifizierung über unsere Aktivitätsprotokolle
• Blockieren des Zugriffs auf Cloudflare-Service über IPs, die von Bedrohungsakteuren verwendet wurden

Insgesamt haben die verschiedenen Sicherheitsebenen von Cloudflare – mit einer starken MFA als erste Verteidigungslinie – diesen raffinierten Angriff vereitelt.

Wenn Sie mehr über dieses Kapitel unserer Geschichte erfahren möchten, lesen Sie gerne unseren Blogbeitrag und die Kurzdarstellung der Lösung zu diesem Vorfall.

Überprüfung des Gerätestatus ausdehnen

Cloudflare konzentriert sich intensiv darauf, die Überprüfung des Gerätestatus über Nutzer und Apps hinweg auszudehnen und dabei den Kontext von Erst- und Drittanbietersoftware zu nutzen.

Heute leitet der Geräte-Client von Cloudflare den Traffic als Proxy über verschlüsselte ausgehende Verbindungen weiter und wird über unseren Mobilgerätemanager auf alle von Unternehmen ausgegebenen Laptops ausgerollt. Mitarbeitende können auch private Mobilgeräte verwenden, wenn diese bestimmte Sicherheitskriterien erfüllen, einschließlich der Registrierung bei unserer Endpunktverwaltung. Der Geräte-Client ist jetzt für den Zugriff auf einige kritische interne Ressourcen über Firmenlaptops erforderlich und wird bald auch für den Zugriff über private Mobilgeräte verlangt werden.

Cloudflare führt auch die Falcon-Software von Crowdstrike aus, um Endpunkte über alle Firmengeräte hinweg zu schützen, und entwickelt Richtlinien für bedingten Zugriff, die die Telemetriedaten von Crowdstrike einbeziehen. Genauer gesagt, wird der Zugriff auf Ressourcen nur dann gewährt, wenn der Wert des Zero-Trust-Assessments (ZTA) von Crowdstrike – eine Zahl, die den Echtzeitstatus eines Geräts darstellt – über einem Mindestschwellenwert liegt. Diese ZTNA-Integration ist nur eine von vielen Facetten der fortlaufenden Zusammenarbeit zwischen Cloudflare und Crowdstrike.

Insgesamt hat das Sicherheitsteam von Cloudflare eine detaillierte Protokollierung jeder Zugriffsanfrage auf jede Ressource erreicht (sogar die Protokollierung von SSH-Befehlen). Die erweiterte Sichtbarkeit über Identitäten und Geräte hinweg hilft uns, Vorfälle mit höherer Agilität zu untersuchen.

Gegen Cyberbedrohungen verteidigen

Wir setzen die Dienste von Cloudflare One auch intern zur Abwehr von Cyberbedrohungen ein. Zum Beispiel nutzen wir SWG und Remote-Browserisolierung für den Schutz des Internetbrowsings und unsere E-Mail-Sicherheitsdienste, um E-Mail-Postfächer vor Phishing-Angriffen zu schützen.

„Die Dienste von Cloudflare One schützen uns während des gesamten Lebenszyklus eines Angriffs. Dies geschieht, indem sie unsere Angriffsfläche reduzieren, webbasierte Bedrohungen abwehren, laterale Bewegungen einschränken und Daten- und Finanzdiebstahl verhindern“, so Bourzikas. „In den letzten Jahren hat uns eine mehrschichtige Web- und E-Mail-Sicherheit dabei geholfen, durchgängigen Schutz und Transparenz für unsere wachsende hybride Belegschaft zu schaffen.

Internetbrowsing für Remote-Nutzer und -Büros schützen

Wir haben unsere SWG (auch als Gateway bekannt) zum ersten Mal eingesetzt, als Cloudflare vor einer ähnlichen Herausforderung stand wie unsere Kunden: Der Schutz einer Belegschaft vor einer Zunahme von Online-Bedrohungen nach der Umstellung auf Remote-Arbeit während der Pandemie.

Unsere Hauptpriorität bestand darin, unsere DNS-Filterung zu implementieren, um zu verhindern, dass Nutzer schädliche oder unerwünschte Domains erreichen. Die Grundlage für die Blockierung bildeten unsere Sicherheits- und Inhaltskategorien. Dies wurde innerhalb eines Jahres der Umstellung auf Remote-Arbeit in folgenden Phasen erreicht:

• DNS-Filterung für alle Bürostandorte. Die Einrichtung dauerte nur wenige Tage und erforderte lediglich die Umleitung des DNS-Traffics von den Büroroutern auf unser Netzwerk. Diese standortbasierte Filterung schützte die Handvoll Nutzer, die weiterhin geschäftskritische Funktionen vor Ort ausführten, half unseren Administratoren bei der Feinabstimmung der Richtlinienkonfiguration und ist heute noch aktiv.
• Implementierung des Cloudflare-Geräte-Clients. Die Verwendung des Geräte-Clients als Forward-Proxy bildet die Grundlage für nutzer- und gerätespezifische Kontrollen und Sichtbarkeit, einschließlich der Verschlüsselung jeder ausgehenden Verbindung zum Internet.
• DNS-Filterung für alle Remote-Nutzer. Bis Anfang 2021 hatte Cloudflare einheitliche DNS-Filterrichtlinien und eine einheitliche Interneterfahrung für Nutzer an Remote-Standorten und im Büro eingerichtet.

Seitdem Cloudflare routinemäßig hybride Systeme einsetzt, profitieren unsere Sicherheitsteams von zusätzlicher Kontrolle und Sichtbarkeit des weitergeleiteten Internet-Traffics, dazu gehört:

• Präzise Steuerung des HTTP-Traffics  – Unsere Sicherheitsteams inspizieren den HTTPS-Traffic und blockieren den Zugriff auf bestimmte Websites, die von unserem Sicherheitsteam als böswillig eingestuft wurden. Sie führen Antiviren-Scans durch und wenden identitätsbewusste Browsing-Richtlinien an.
• Selektive Isolierung des Internet-Browsings  – Bei isolierten Browsing-Sitzungen wird der gesamte Webcode im Cloudflare-Netzwerk ausgeführt, weit entfernt von lokalen Geräten. Das isoliert die Nutzer von nicht vertrauenswürdigem und böswilligem Inhalt. Heute sind soziale Medien, Nachrichtenkanäle, private E-Mail und andere potenziell riskante Internetkategorien isoliert. In die letztgenannte Kategorie fallen beispielsweise neu erschienene Domains. Cloudflare ist hervorragend in der Lage, sie angesichts des hohen Volumens an von uns aufgelösten DNS-Abfragen (im Durchschnitt zwei Milliarden Abfragen pro Tag) zu identifizieren.
• Standortbasierte Protokollierung  – Wenn wir sehen, woher ausgehende Anfragen kommen, können unsere Sicherheitsteams die geografische Verteilung unserer Mitarbeitenden besser verstehen, einschließlich unserer Präsenz in Hochrisikogebieten.

„Heute hat Cloudflare einen nutzer- und gerätespezifischen Überblick über alle unsere Mitarbeitenden, was uns hilft, unser Risiko umfassender zu bewerten“, sagt der Director of Security Derek Pitts. „Während sich unser Risikoprofil weiterentwickelt, kalibrieren unsere Sicherheitsteams unsere Internet-Browsing-Kontrollen, um sicherzustellen, dass Bedrohungen bei minimalen Auswirkungen auf die Produktivität der Nutzer bekämpft werden.“

Erfahren Sie mehr über dieses Kapitel unserer Geschichte in unserem Blogbeitrag.

Posteingänge mit Cloud-E-Mail-Sicherheit schützen

Anfang 2020 erlebte Cloudflare einen Anstieg von Phishing-Versuchen. Unser E-Mail-Provider (Google Workspace) verfügte zwar über einen leistungsstarken Spam-Filter für seine native Webanwendung, hatte jedoch Probleme mit fortgeschrittenen Bedrohungen wie der Kompromittierung von Geschäfts-E-Mails (BEC). und anderen Methoden des Zugriffs auf E-Mails, z. B. über eine mobile iOS-App. Als das Phishing-Volumen zunahm, verbrachten unsere IT-Teams außerdem zu viel Zeit mit manuellen Untersuchungen – etwa fünfzehn bis dreißig Minuten für einfache Angriffe und noch länger für ausgefeiltere Attacken.

Um dieses Problem zu lösen, implementierte Cloudflare neben Google Workspace auch Area 1 Email Security – damals noch ein Drittanbieter. Innerhalb von dreißig Tagen blockierte Area 1 insgesamt 90.000 Angriffe. Dies führte zu einem deutlichen und anhaltenden Rückgang der Phishing-E-Mails. Die niedrige Rate an falsch-positiven Ergebnissen reduzierte den Zeitaufwand für die Untersuchung, und die Sicherheitsteams profitierten von einem breiteren Spektrum an Erkenntnissen, einschließlich darüber, welche Mitarbeitenden am häufigsten ins Visier genommen wurden.

„Tatsächlich war die Technologie von Area 1 bei der Einführung so effektiv, dass unser CEO sich an unseren Chief Security Officer wandte, um sich zu erkundigen, ob unsere E-Mail-Sicherheit defekt sei“, schrieb John Graham-Cumming, der CTO von Cloudflare. „Und unser CEO hatte seit vielen Wochen keine Phishing-Versuche mehr von unseren Mitarbeitenden gemeldet bekommen, ein seltenes Ereignis. Es stellte sich heraus, dass unsere Mitarbeitenden keine Phishing-Versuche meldeten, weil Area 1 alle Phishing-Versuche abfing, bevor sie die Posteingänge unserer Mitarbeitenden erreichten.“

Aufgrund dieser positiven Erfahrungen hat Cloudflare Anfang 2022 Area 1 übernommen und in Cloudflare One integriert. So können wir und unsere Kunden ein proaktiveres Sicherheitsniveau über mehrere Kanäle hinweg aufbauen.

Beispielsweise nutzt die Isolierung von E-Mail-Links die Funktionen der Remote-Browserisolierung und der E-Mail-Sicherheit, um potenziell verdächtige Links in einem isolierten Browser zu öffnen. Dies neutralisiert den Schadcode und verhindert, dass Nutzer riskante Aktionen auf der Website durchführen, etwa durch Einschränkung von Tastatureingaben und Kopieren/Einfügen. Cloudflare setzt diese Funktionalität unter anderem ein, um Deferred Phishing-Angriffe zu vereiteln, die sonst den üblichen Erkennungsmethoden entgehen. Dies hilft, unsere Sicherheitsteams zu schützen und Phishing-Vorfälle zu untersuchen.

„Die E-Mail-Sicherheit von Cloudflare fängt Phishing-Versuche ab, bevor sie die Posteingänge unserer Mitarbeitenden erreichen“, sagt der Director of Security Derek Pitts. „E-Mail ist nach wie vor einer der beliebtesten Angriffsvektoren, und es ist beruhigend zu wissen, dass unser Dienst so effektiv und für unsere Belegschaft einfach zu verwalten ist.“

Sensible Daten schützen

Cloudflare verhindert die Exfiltration von Daten durch Zero-Trust-Richtlinien, die einschränken, wer auf welche Anwendungen zugreifen darf, und durch die Abwehr von Phishing- und Ransomware-Bedrohungen. Wir bekämpfen das Risiko von Datenverlusten mit Diensten wie unserem Cloud Access Security Broker (CASB) und Data Loss Prevention (DLP) zur Erkennung sensibler Daten.

• Risiken des Verlusts der Vertraulichkeit von Daten in SaaS-Apps kontrollieren. Dazu gehört das Scannen unserer SaaS-Suiten über APIs (wie Google Workspace, GitHub und Salesforce) nach sensiblen Daten und Fehlkonfigurationen, die ein Risiko für Datenlecks darstellen, und das anschließende Ergreifen von Korrekturmaßnahmen auf der Grundlage vordefinierter Anweisungen gemäß den SWG-Richtlinien.
• Die Bewegung sensibler Daten erkennen und kontrollieren. Dazu gehören proprietäre und regulierte Datenklassen wie Anmeldeinformationen und Geheimnisse, Finanzdaten und Gesundheitsinformationen.

Um mehr darüber zu erfahren, wie Cloudflare One mit dem Thema Datenschutz umgeht, lesen Sie gerne unseren Blogbeitrag.

Unsere Kultur „Sicherheit an erster Stelle“

Die genannten Sicherheitsleistungen verdanken ihren Wert vor allem den Menschen und Prozessen, die an ihrer Umsetzung beteiligt sind. Insbesondere sind die bisher erreichten Meilensteine der allgemeinen Firmenkultur „Sicherheit an erster Stelle“ zu verdanken. Diese Kultur basiert auf dem Grundsatz „Sicherheit ist Teil der Arbeit aller“.

Cloudflare betreibt beispielsweise ein eigenes internes Security Incident Response Team (SIRT), das rund um die Uhr im Einsatz ist, und fordert alle Angestellten auf, verdächtige Aktivitäten frühzeitig und häufig zu melden. Dieser transparente Ansatz, der auf dem Prinzip „Siehst du was, sagst du was“ basiert, bildet eine erste Verteidigungslinie und eine positive Feedbackschleife: Diese Berichte von vorderster Front verbessern unser Vorgehen. Die Führungskräfte akzeptieren und erwarten, dass sich mehr als 90 % der Meldungen von Mitarbeitenden an das SIRT als harmlos erweisen, denn bei echten Cyberangriffen – wie dem gezielten Phishing-Vorfall im Jahr 2022 – ist eine rechtzeitige Warnung entscheidend. Dieser Ansatz ohne Schuldzuweisungen gilt auch für die Meldung von Fehlern bei der internen Bereitstellung unserer eigenen Dienste und trägt zu deren Optimierung bei.

„Die Kultur ‚Sicherheit an erster Stelle‘ von Cloudflare macht meine Arbeit einfacher“, sagt Bourzikas. „Unsere Mitarbeitenden legen Wert darauf, die bestmögliche Sicherheitserfahrung zu erhalten, was wiederum unseren Teams hilft, bessere Dienste für unsere Kunden zu entwickeln. Dieses Engagement bei der Weiterentwicklung der Funktionen und Dienste unserer Cloudflare One-Plattform ist von entscheidender Bedeutung“.