Wie Cloudflare sein globales Team mit Cloudflare Access schützt

Im Jahr 2015 sah Cloudflares Ansatz zur Authentifizierung ähnlich aus wie bei vielen anderen Unternehmen: alle intern gehosteten Cloudflare-Anwendungen wurden damals über ein hardwarebasiertes VPN erreicht.

Wenn einer unserer Bereitschaftstechniker eine Benachrichtigung erhielt (normalerweise auf dem Handy), musste er zunächst einen umständlichen Client auf dem Laptop starten, sich mit dem VPN verbinden und bei Grafana anmelden. Es fühlte sich ein bisschen so an, als wäre man gezwungen, bei dröhnendem Feueralarm ein Zahlenschloss zu knacken.

vpn screenshot

Ein kleines Team von Cloudflare-Entwicklern fragte sich: Wie konnte es sein, dass ein Sicherheitsunternehmen für Cloud-Netzwerke sich mit klobiger On-Premise-Hardware zufrieden gab? Sie waren überzeugt, dass wir es besser machen konnten. Das war der Startschuss für Cloudflare Access.

Eine Kultur des Dogfooding

Viele der von Cloudflare erstellten Produkte sind unmittelbar aus Herausforderungen entstanden, vor denen unser eigenes Team stand. Access ist ein perfektes Beispiel. Die Entwicklung von Access begann im Jahr 2015, damals noch unter dem Arbeitstitel EdgeAuth.

Zu Beginn wurde lediglich eine Anwendung hinter Access gesetzt. Unsere Entwickler erhielten eine Benachrichtigung auf ihr Handy, konnten von dieser aus einem Link folgen und nach einer Authentifizierung über den Browser sofort auf die wichtigsten Details der Meldung in Grafana zugreifen. Das war eine viel bessere Erfahrung als das alte VPN.

Auch für unser Sicherheitsteam hat Access eine Reihe von Problemen gelöst. Mithilfe unseres Identitätsanbieters gelang es uns, den Zugriff auf interne Anwendungen auf Layer 7 unter Verwendung von Access-Richtlinien einzuschränken. Der einst so mühsame Prozess der Verwaltung von Zugangskontrollen auf dem Netzwerk-Layer mit einem VPN wurde durch ein paar kurze Klicks im Cloudflare-Dashboard ersetzt.

Access-Richtlinie bearbeiten screenshot

Nach Grafana, unserer internen Atlassian-Suite mit Jira und Wiki sowie Hunderten anderer interner Anwendungen machte sich das Access-Team an die Unterstützung von nicht HTTP-basierten Diensten. Durch die git-Unterstützung konnten die Cloudflare-Entwickler auf sichere und umfassend kontrollierte Art und Weise Code committen, und das von jedem Ort der Welt aus. Sie können sich sicher vorstellen, dass das Sicherheitsteam von Cloudflare ausgesprochen glücklich darüber war. Dies ist ein leicht abgewandeltes Beispiel eines realen Authentifizierungsereignisses, das beim Übermitteln von Code in unser internes git-Repository generiert wurde.

event screenshot

Es dauerte nicht lange, bis immer mehr interne Cloudflare-Anwendungen ihren Weg hinter Access fanden. Sobald die Leute anfingen, mit dem neuen Authentifizierungsablauf zu arbeiten, wollten sie nirgendwo mehr darauf verzichten. Schließlich forderte unser Sicherheitsteam, dass wir unsere Apps hinter Access setzen. Eine Zeit lang war der Prozess jedoch völlig organisch: Unsere Teams machten nur allzu gerne davon Gebrauch.

Dies unterstreicht übrigens einen Vorteil der Nutzung von Access: Sie können zunächst für Schutz und Optimierung der Authentifizierungsabläufe Ihrer beliebtesten internen Tools sorgen, ohne sich Hals über Kopf komplett umstellen zu müssen. Unternehmen, die mit hardwarebasierten VPNs an ihre Grenzen stoßen, können sich über eine Sofortlösung freuen, die nach nur einem Setup-Gespräch mit einem Onboarding-Experten von Cloudflare implementiert werden kann. (Hier können Sie einen Termin vereinbaren.)

Es hat allerdings auch seine Vorteile, all Ihre Anwendungen mit Access zu sichern.

Support für globale Teams

VPNs sind dafür berüchtigt, Internetverbindungen in die Knie zu zwingen. Das von uns verwendete stellte dabei keine Ausnahme dar. Bei der Verbindung mit internen Anwendungen durchliefen alle Internetverbindungen unserer Mitarbeiter ein einziges VPN, was zu einem erheblichen Performance-Engpass führte und zu einer zentralen Schwachstelle wurde.

Cloudflare Access wartet mit einen deutlich vernünftigeren Ansatz auf. Die Authentifizierung erfolgt am Rand unseres Netzwerks, das sich auf 200 Städte in über 90 Ländern weltweit erstreckt. Anstatt dass unser gesamtes Team seinen Netzwerk-Traffic durch eine einzige Netzwerkgerät routet, stellen Mitarbeiter für den Zugriff auf interne Apps einfach eine Verbindung mit einem Rechenzentrum um die Ecke her.

Da unsere Beschäftigten auf der ganzen Welt verteilt sind, hat es sich unser Sicherheitsteam zur Aufgabe gemacht, unsere internen Anwendungen mit den sichersten und praktikabelsten Authentifizierungsmechanismen zu schützen.

Mit Cloudflare Access können wir uns auf die starken Zwei-Faktor-Authentifizierungsverfahren unseres Identitätsanbieters verlassen, was mit unserem alten VPN um einiges schwieriger war.

Vertrauensvolles On- und Offboarding

Eine der heikelsten Angelegenheiten eines jeden Unternehmens ist es, sicherzustellen, dass alle Teammitglieder Zugriff auf die Tools und Daten haben, die sie benötigen – mehr aber auch nicht. Je größer das Team, desto komplizierter wird diese Aufgabe. Ebenfalls ist es wichtig, Zugriffsberechtigungen möglichst schnell widerrufen zu können, sobald Mitarbeiter oder Vertragspartner das Unternehmen verlassen.

Die Verwaltung dieser Zugriffskontrollen erweist sich für IT-Unternehmen auf der ganzen Welt oftmals als Herausforderung, die mitunter noch dadurch verschärft wird, dass jeder Mitarbeiter über mehrere Konten für verschiedene Tools in unterschiedlichen Umgebungen verfügt. Vor der Verwendung von Access musste unser Team eine Menge Zeit investieren, um sicherzugehen, dass nichts übersehen wurde.

Jetzt, da die internen Anwendungen von Cloudflare mit Access gesichert sind, verläuft das On- und Offboarding viel reibungsloser. Jedes neue Teammitglied und jeder neue Auftragnehmer erhält schnell und unkompliziert die Zugangsrechte für die benötigten Anwendungen und kann mithilfe eines Launchpads problemlos darauf zugreifen. Verlässt jemand das Team, lässt sich eine einzelne Konfigurationsänderung auf alle Anwendungen übertragen, so dass keine Ungewissheit mehr zurückbleibt.

Auch für die Netzwerktransparenz ist Access ein erheblicher Pluspunkt. Mit einem VPN erhalten Sie lediglich einen minimalen Einblick in die Aktivitäten der Benutzer im Netzwerk: Sie kennen den Usernamen und die IP-Adresse, aber das war auch schon alles. Sollte es jemandem gelingen, sich Zugriff zu verschaffen, könnte es schwierig werden, die Spur zurückzuverfolgen.

Cloudflare Access basiert auf einem Zero-Trust-Modell, was bedeutet, dass jedes Paket authentifiziert wird. Das erlaubt es uns, Mitarbeitern und Auftragnehmern über Access-Gruppen fein abgestufte Berechtigungen zuzuweisen. Darüber hinaus kann unser Sicherheitsteam ungewöhnliche Aktivitäten in unseren Anwendungen erkennen und profitiert bei der Analyse von umfassender Protokollierung. Dank der präziseren Kontrolle und der verbesserten Transparenz sind wir in der Lage, unsere Angriffsflächen umfassender zu verwalten, was besonders wichtig ist, da heute so viele Benutzer von zu Hause aus arbeiten. Kurz gesagt: Dank Access haben wir mehr Vertrauen in die Sicherheit unserer internen Anwendungen.

Die Vorteile im Arbeitsalltag nutzen

Heute sind nur noch wenige Nischen-Tools hinter unserem VPN. Die Umstellung auf Access hat dazu beigetragen, dass unsere Mitarbeiter in quantifizierbarer Weise produktiver sind.

So mussten unsere IT-Teams beispielsweise ständig VPN-bezogene Supportanfragen bearbeiten, was sie von wichtigeren Aufgaben abhielt. In diesen Tagen konnten wir den Zeitaufwand für die Bearbeitung von VPN-bezogenen Tickets um 80 % und das Ticketvolumen um 70 % reduzieren. Wir schätzen, dass diese Zeitersparnis einen Produktivitätszuwachs von über 100.000 Dollar ermöglicht hat.

Außerdem richten die Mitarbeiter bei ihrem Onboarding kein VPN mehr ein. Dies spart jährlich mehr als 300 Stunden für alle neu eingestellten Mitarbeiter und die IT-Mitarbeiter, die sie schulen müssen.

Andere Vorteile sind nicht so leicht zu beziffern, aber nicht weniger wichtig, z. B. zufriedenere Mitarbeiter und selbstbewusstere Sicherheitsteams. Besonders spannend an Access ist für uns, dass sich die Vorteile, die es bietet, mit dem Wachstum unseres Unternehmens weiterentwickeln werden.

„Cloudflare Access wurde aus einem einfachen Wunsch heraus geboren: den unnötigen Mühen unseres VPNs zu entkommen. Im Laufe der Zeit hat sich Access zu einer tragenden Säule unserer Strategie für Remote-Arbeit und unserer Reise in Richtung Zero-Trust-Sicherheit entwickelt, und wir sind sehr stolz darauf, diese Vorteile mit unseren Kunden zu teilen“, so Juan Rodriguez, Chief Information Officer.

„Eine Eigenschaft, die ich an Access besonders schätze, ist das unglaublich schnelle und reibungslose Anmeldeverfahren, das unser Edge-Netzwerk bietet. Als Einzelperson von zu Hause aus zu arbeiten, ist schon stressig genug, ohne dass man sich alte Passwörter merken oder kaputte VPN-Verbindungen wieder in Ordnung bringen muss“, fuhr er fort. „Als CIO bin ich stolz darauf, nicht befürchten zu müssen, dass bei unseren Kollegen und Kolleginnen beim Zugriff auf grundlegende für produktives Arbeiten erforderliche Tools Frust entsteht. Mit Access muss Cloudflare keine Kompromisse machen, wenn es darum geht, einerseits die Sicherheit zu erhöhen und andererseits ein fantastisches Nutzererlebnis zu bieten.“

Nicht nur für uns ein Gewinn

In Zeiten, in denen viele Unternehmen massiv zu mobileren Arbeitsmodellen übergehen, können Sie dank Cloudflare Access auf die Sicherheit Ihrer internen Anwendungen vertrauen und gleichzeitig die Produktivität Ihrer extern arbeitenden Mitarbeiter steigern. Egal, ob Sie auf Jira, Confluence, SAP oder individuell entwickelte Apps setzen – diese Anwendungen werden geschützt und sind in wenigen Minuten startklar.

Wie Cloudflare sein globales Team mit Cloudflare Access schützt
Verwandte Produkte
Wichtigste Ergebnisse
  • Einsparungen von über 100.000 $ dank besserer Produktivität von Support-Mitarbeitern
  • Ca. 80 % Zeiteinsparung bei der Bearbeitung von Tickets im Zusammenhang mit VPN
  • Rückgang des Ticketumfangs um ca. 70 %
  • Zugewinn von über 300 Jahresstunden an Produktivität beim Onboarding neuer Mitarbeiter

Als CIO bin ich stolz darauf, nicht befürchten zu müssen, dass bei unseren Kollegen und Kolleginnen beim Zugriff auf grundlegende für produktives Arbeiten erforderliche Tools Frust entsteht. Mit Access müssen wir keine Kompromisse machen, wenn es darum geht, einerseits die Sicherheit zu erhöhen und andererseits ein fantastisches Nutzererlebnis zu bieten.

Juan Rodriguez
CIO, Cloudflare

Cloudflare Access hat die Sicherheit und Produktivität unseres Teams enorm gesteigert. Natürlich bin ich etwas voreingenommen – aber wir haben Access entwickelt, um unsere eigenen Probleme zu lösen, und es hat noch viel mehr als das geleistet.

Evan Johnson
Product Security Manager, Cloudflare