Wie Cloudflare sein globales Team mit Cloudflare Access schützt

Im Jahr 2015 sah Cloudflares Ansatz zur Authentifizierung ähnlich aus wie bei vielen anderen Unternehmen: alle intern gehosteten Cloudflare-Anwendungen wurden damals über ein hardwarebasiertes VPN erreicht.

Wenn einer unserer Bereitschaftstechniker eine Benachrichtigung erhielt (normalerweise auf dem Handy), musste er zunächst einen umständlichen Client auf dem Laptop starten, sich mit dem VPN verbinden und bei Grafana anmelden. Es fühlte sich ein bisschen so an, als wäre man gezwungen, bei dröhnendem Feueralarm ein Zahlenschloss zu knacken.

Vpn-Screenshot

Ein kleines Team von Cloudflare-Entwicklern fragte sich: Wie konnte es sein, dass ein Sicherheitsunternehmen für Cloud-Netzwerke sich mit klobiger On-Premise-Hardware zufrieden gab? Sie waren überzeugt, dass wir es besser machen konnten. Das war der Startschuss für Cloudflare Access.

Eine Kultur des Dogfooding

Viele der von Cloudflare erstellten Produkte sind unmittelbar aus Herausforderungen entstanden, vor denen unser eigenes Team stand. Access ist ein perfektes Beispiel. Die Entwicklung von Access begann im Jahr 2015, damals noch unter dem Arbeitstitel EdgeAuth.

Zu Beginn wurde lediglich eine Anwendung hinter Access gesetzt. Unsere Entwickler erhielten eine Benachrichtigung auf ihr Handy, konnten von dieser aus einem Link folgen und nach einer Authentifizierung über den Browser sofort auf die wichtigsten Details der Meldung in Grafana zugreifen. Das war eine viel bessere Erfahrung als das alte VPN.

Auch für unser Sicherheitsteam hat Access eine Reihe von Problemen gelöst. Mithilfe unseres Identitätsanbieters gelang es uns, den Zugriff auf interne Anwendungen auf Layer 7 unter Verwendung von Access-Richtlinien einzuschränken. Der einst so mühsame Prozess der Verwaltung von Zugangskontrollen auf dem Netzwerk-Layer mit einem VPN wurde durch ein paar kurze Klicks im Cloudflare-Dashboard ersetzt.

Screenshot zur Bearbeitung einer Access-Richtlinie

Nach Grafana, unserer internen Atlassian-Suite mit Jira und Wiki sowie Hunderten anderer interner Anwendungen machte sich das Access-Team an die Unterstützung von nicht HTTP-basierten Diensten. Durch die git-Unterstützung konnten die Cloudflare-Entwickler auf sichere und umfassend kontrollierte Art und Weise Code committen, und das von jedem Ort der Welt aus. Sie können sich sicher vorstellen, dass das Sicherheitsteam von Cloudflare ausgesprochen glücklich darüber war. Dies ist ein leicht abgewandeltes Beispiel eines realen Authentifizierungsereignisses, das beim Übermitteln von Code in unser internes git-Repository generiert wurde.

Ereignis-Screenshot

Es dauerte nicht lange, bis immer mehr interne Cloudflare-Anwendungen ihren Weg hinter Access fanden. Sobald die Leute anfingen, mit dem neuen Authentifizierungsablauf zu arbeiten, wollten sie nirgendwo mehr darauf verzichten. Schließlich forderte unser Sicherheitsteam, dass wir unsere Apps hinter Access setzen. Eine Zeit lang war der Prozess jedoch völlig organisch: Unsere Teams machten nur allzu gerne davon Gebrauch.

Dies unterstreicht übrigens einen Vorteil der Nutzung von Access: Sie können zunächst für Schutz und Optimierung der Authentifizierungsabläufe Ihrer beliebtesten internen Tools sorgen, ohne sich Hals über Kopf komplett umstellen zu müssen. Unternehmen, die mit hardwarebasierten VPNs an ihre Grenzen stoßen, können sich über eine Sofortlösung freuen, die nach nur einem Setup-Gespräch mit einem Onboarding-Experten von Cloudflare implementiert werden kann. (Hier können Sie einen Termin vereinbaren.)

Es hat allerdings auch seine Vorteile, all Ihre Anwendungen mit Access zu sichern.

Support für globale Teams

VPNs sind dafür berüchtigt, Internetverbindungen in die Knie zu zwingen. Das von uns verwendete stellte dabei keine Ausnahme dar. Bei der Verbindung mit internen Anwendungen durchliefen alle Internetverbindungen unserer Mitarbeiter ein einziges VPN, was zu einem erheblichen Performance-Engpass führte und zu einer zentralen Schwachstelle wurde.

Cloudflare Access wartet mit einen deutlich vernünftigeren Ansatz auf. Die Authentifizierung erfolgt am Rand unseres Netzwerks, das sich auf 200 Städte in über 90 Ländern weltweit erstreckt. Anstatt dass unser gesamtes Team seinen Netzwerk-Traffic durch eine einzige Netzwerkgerät routet, stellen Mitarbeiter für den Zugriff auf interne Apps einfach eine Verbindung mit einem Rechenzentrum um die Ecke her.

Da unsere Beschäftigten auf der ganzen Welt verteilt sind, hat es sich unser Sicherheitsteam zur Aufgabe gemacht, unsere internen Anwendungen mit den sichersten und praktikabelsten Authentifizierungsmechanismen zu schützen.

Mit Cloudflare Access können wir uns auf die starken Zwei-Faktor-Authentifizierungsverfahren unseres Identitätsanbieters verlassen, was mit unserem alten VPN um einiges schwieriger war.

Zuverlässiges On- und Offboarding

Eine der heikelsten Angelegenheiten eines jeden Unternehmens ist es, sicherzustellen, dass alle Teammitglieder Zugriff auf die Tools und Daten haben, die sie benötigen – mehr aber auch nicht. Je größer das Team, desto komplizierter wird diese Aufgabe. Ebenfalls ist es wichtig, Zugriffsberechtigungen möglichst schnell widerrufen zu können, sobald Mitarbeiter oder Vertragspartner das Unternehmen verlassen.

Die Verwaltung dieser Zugriffskontrollen erweist sich für IT-Unternehmen auf der ganzen Welt oftmals als Herausforderung, die mitunter noch dadurch verschärft wird, dass jeder Mitarbeiter über mehrere Konten für verschiedene Tools in unterschiedlichen Umgebungen verfügt. Vor der Verwendung von Access musste unser Team eine Menge Zeit investieren, um sicherzugehen, dass nichts übersehen wurde.

Jetzt, da die internen Anwendungen von Cloudflare mit Access gesichert sind, verläuft das On- und Offboarding viel reibungsloser. Jedes neue Teammitglied und jeder neue Auftragnehmer erhält schnell und unkompliziert die Zugangsrechte für die benötigten Anwendungen und kann mithilfe eines Launchpads problemlos darauf zugreifen. Verlässt jemand das Team, lässt sich eine einzelne Konfigurationsänderung auf alle Anwendungen übertragen, so dass keine Ungewissheit mehr zurückbleibt.

Auch für die Netzwerktransparenz ist Access ein erheblicher Pluspunkt. Mit einem VPN erhalten Sie lediglich einen minimalen Einblick in die Aktivitäten der Benutzer im Netzwerk: Sie kennen den Usernamen und die IP-Adresse, aber das war auch schon alles. Sollte es jemandem gelingen, sich Zugriff zu verschaffen, könnte es schwierig werden, die Spur zurückzuverfolgen.

Cloudflare Access is based on a Zero Trust model, which means that every packet is authenticated. It allows us to assign granular permissions via Access Groups to employees and contractors. And it gives our security team the ability to detect unusual activity across any of our applications, with extensive logging to support analysis. Together, more granular control and enhanced visibility enable us to manage our attack surfaces more comprehensively, which is especially critical with so many users working from home today. Put simply: Access makes us more confident in the security of our internal applications.

Reaping the Benefits in Everyday Work

Today, only a few niche tools remain behind our VPN, and this migration to Access has helped our employees be more productive in quantifiable ways.

For example, our IT teams were previously fielding VPN-related support requests constantly, which inconvenienced them from more important tasks. These days, we have seen ~80% reduced time spent servicing VPN-related tickets and ~70% reduction in ticket volume. We estimate that these time savings have unlocked over $100K worth of productivity.

Moreover, employees no longer set up VPN during their onboarding. This saves upwards of 300 hours annually across all new hires and the IT staffers that have to train them.

Other benefits are less quantifiable, but no less important, such as happier employees and more confident security teams. In fact, one thing that excites us about Access is that the benefits it delivers will continue to evolve as our company grows.

"Cloudflare Access was born out of a simple desire: to escape the unnecessary pains of our VPN. Over time, Access has become a pillar of our remote work strategy and journey towards Zero Trust security, and we are so proud to share those benefits with our customers,” said Juan Rodriguez, Chief Information Officer.

“One quality I especially admire about Access is the incredibly fast and frictionless login experience that our edge network delivers. Working from home as an individual is stressful enough without having to remember old passwords or fixing broken VPN connections,” he continued. “As a CIO, I'm proud that I don't have to worry about our colleagues getting frustrated with reaching the basic tools they need to stay productive. With Access, Cloudflare does not have to make any trade-offs between improving security and creating an amazing user experience."

Aber es ist nicht nur etwas für uns

In Zeiten, in denen viele Unternehmen massiv zu mobileren Arbeitsmodellen übergehen, können Sie dank Cloudflare Access auf die Sicherheit Ihrer internen Anwendungen vertrauen und gleichzeitig die Produktivität Ihrer extern arbeitenden Mitarbeiter steigern. Egal, ob Sie auf Jira, Confluence, SAP oder individuell entwickelte Apps setzen – diese Anwendungen werden geschützt und sind in wenigen Minuten startklar.

Wie Cloudflare sein globales Team mit Cloudflare Access schützt
Verwandte Produkte
Wichtigste Ergebnisse
  • $100K+ savings in IT support staff productivity
  • 80% reduced time spent servicing VPN related tickets
  • 70% reduction in ticket volume
  • 300+ annual hours of unlocked productivity during new employee onboarding

As a CIO, I'm proud that I don't have to worry about colleagues getting frustrated with reaching the basic tools they need to stay productive. With Access, we don't have to make trade-offs between improving security and creating an amazing user experience.

Juan Rodriguez
CIO, Cloudflare

Cloudflare Access has been a huge win for our team's security and productivity. Of course I'm biased — but we built Access to solve our own challenges, and it's done all that and more.

Evan Johnson
Product Security Manager, Cloudflare