Wie Cloudflare sein globales Team mit Cloudflare Access schützt

Es war noch nie so wichtig wie heute, für extern arbeitendes Personal volle Einsatzfähigkeit zu gewährleisten. Unzählige Einzelpersonen, Unternehmen und die Wirtschaft insgesamt sind darauf angewiesen. Vor diesem Hintergrund bietet Cloudflare bis zum 1. September Cloudflare for Teams kostenlos an.

Hier eine Fallstudie darüber, wie Cloudflares VPN-Alternative der nächsten Generation – Cloudflare Access – entstanden ist und wie wir sie heute nutzen.

Im Jahr 2015 sah Cloudflares Ansatz zur Authentifizierung ähnlich aus wie bei vielen anderen Unternehmen: alle intern gehosteten Cloudflare-Anwendungen wurden damals über ein hardwarebasiertes VPN erreicht.

Wenn einer unserer Bereitschaftstechniker eine Benachrichtigung erhielt (normalerweise auf dem Handy), musste er zunächst einen umständlichen Client auf dem Laptop starten, sich mit dem VPN verbinden und bei Grafana anmelden. Es fühlte sich ein bisschen so an, als wäre man gezwungen, bei dröhnendem Feueralarm ein Zahlenschloss zu knacken.

Vpn-Screenshot

Ein kleines Team von Cloudflare-Entwicklern fragte sich: Wie konnte es sein, dass ein Sicherheitsunternehmen für Cloud-Netzwerke sich mit klobiger On-Premise-Hardware zufrieden gab? Sie waren überzeugt, dass wir es besser machen konnten. Das war der Startschuss für Cloudflare Access.

Eine Kultur des Dogfooding

Viele der von Cloudflare erstellten Produkte sind unmittelbar aus Herausforderungen entstanden, vor denen unser eigenes Team stand. Access ist ein perfektes Beispiel. Die Entwicklung von Access begann im Jahr 2015, damals noch unter dem Arbeitstitel EdgeAuth.

Zu Beginn wurde lediglich eine Anwendung hinter Access gesetzt. Unsere Entwickler erhielten eine Benachrichtigung auf ihr Handy, konnten von dieser aus einem Link folgen und nach einer Authentifizierung über den Browser sofort auf die wichtigsten Details der Meldung in Grafana zugreifen. Das war eine viel bessere Erfahrung als das alte VPN.

Auch für unser Sicherheitsteam hat Access eine Reihe von Problemen gelöst. Mithilfe unseres Identitätsanbieters gelang es uns, den Zugriff auf interne Anwendungen auf Layer 7 unter Verwendung von Access-Richtlinien einzuschränken. Der einst so mühsame Prozess der Verwaltung von Zugangskontrollen auf dem Netzwerk-Layer mit einem VPN wurde durch ein paar kurze Klicks im Cloudflare-Dashboard ersetzt.

Screenshot zur Bearbeitung einer Access-Richtlinie

Nach Grafana, unserer internen Atlassian-Suite mit Jira und Wiki sowie Hunderten anderer interner Anwendungen machte sich das Access-Team an die Unterstützung von nicht HTTP-basierten Diensten. Durch die git-Unterstützung konnten die Cloudflare-Entwickler auf sichere und umfassend kontrollierte Art und Weise Code committen, und das von jedem Ort der Welt aus. Sie können sich sicher vorstellen, dass das Sicherheitsteam von Cloudflare ausgesprochen glücklich darüber war. Dies ist ein leicht abgewandeltes Beispiel eines realen Authentifizierungsereignisses, das beim Übermitteln von Code in unser internes git-Repository generiert wurde.

Ereignis-Screenshot

Es dauerte nicht lange, bis immer mehr interne Cloudflare-Anwendungen ihren Weg hinter Access fanden. Sobald die Leute anfingen, mit dem neuen Authentifizierungsablauf zu arbeiten, wollten sie nirgendwo mehr darauf verzichten. Schließlich forderte unser Sicherheitsteam, dass wir unsere Apps hinter Access setzen. Eine Zeit lang war der Prozess jedoch völlig organisch: Unsere Teams machten nur allzu gerne davon Gebrauch.

Dies unterstreicht übrigens einen Vorteil der Nutzung von Access: Sie können zunächst für Schutz und Optimierung der Authentifizierungsabläufe Ihrer beliebtesten internen Tools sorgen, ohne sich Hals über Kopf komplett umstellen zu müssen. Unternehmen, die mit hardwarebasierten VPNs an ihre Grenzen stoßen, können sich über eine Sofortlösung freuen, die nach nur einem Setup-Gespräch mit einem Onboarding-Experten von Cloudflare implementiert werden kann. (Hier können Sie einen Termin vereinbaren.)

Es hat allerdings auch seine Vorteile, all Ihre Anwendungen mit Access zu sichern.

Support für globale Teams

VPNs sind dafür berüchtigt, Internetverbindungen in die Knie zu zwingen. Das von uns verwendete stellte dabei keine Ausnahme dar. Bei der Verbindung mit internen Anwendungen durchliefen alle Internetverbindungen unserer Mitarbeiter ein einziges VPN, was zu einem erheblichen Performance-Engpass führte und zu einer zentralen Schwachstelle wurde.

Cloudflare Access wartet mit einen deutlich vernünftigeren Ansatz auf. Die Authentifizierung erfolgt am Rand unseres Netzwerks, das sich auf 200 Städte in über 90 Ländern weltweit erstreckt. Anstatt dass unser gesamtes Team seinen Netzwerk-Traffic durch eine einzige Netzwerkgerät routet, stellen Mitarbeiter für den Zugriff auf interne Apps einfach eine Verbindung mit einem Rechenzentrum um die Ecke her.

Da unsere Beschäftigten auf der ganzen Welt verteilt sind, hat es sich unser Sicherheitsteam zur Aufgabe gemacht, unsere internen Anwendungen mit den sichersten und praktikabelsten Authentifizierungsmechanismen zu schützen.

Mit Cloudflare Access können wir uns auf die starken Zwei-Faktor-Authentifizierungsverfahren unseres Identitätsanbieters verlassen, was mit unserem alten VPN um einiges schwieriger war.

Zuverlässiges On- und Offboarding

Eine der heikelsten Angelegenheiten eines jeden Unternehmens ist es, sicherzustellen, dass alle Teammitglieder Zugriff auf die Tools und Daten haben, die sie benötigen – mehr aber auch nicht. Je größer das Team, desto komplizierter wird diese Aufgabe. Ebenfalls ist es wichtig, Zugriffsberechtigungen möglichst schnell widerrufen zu können, sobald Mitarbeiter oder Vertragspartner das Unternehmen verlassen.

Die Verwaltung dieser Zugriffskontrollen erweist sich für IT-Unternehmen auf der ganzen Welt oftmals als Herausforderung, die mitunter noch dadurch verschärft wird, dass jeder Mitarbeiter über mehrere Konten für verschiedene Tools in unterschiedlichen Umgebungen verfügt. Vor der Verwendung von Access musste unser Team eine Menge Zeit investieren, um sicherzugehen, dass nichts übersehen wurde.

Jetzt, da die internen Anwendungen von Cloudflare mit Access gesichert sind, verläuft das On- und Offboarding viel reibungsloser. Jedes neue Teammitglied und jeder neue Auftragnehmer erhält schnell und unkompliziert die Zugangsrechte für die benötigten Anwendungen und kann mithilfe eines Launchpads problemlos darauf zugreifen. Verlässt jemand das Team, lässt sich eine einzelne Konfigurationsänderung auf alle Anwendungen übertragen, so dass keine Ungewissheit mehr zurückbleibt.

Auch für die Netzwerktransparenz ist Access ein erheblicher Pluspunkt. Mit einem VPN erhalten Sie lediglich einen minimalen Einblick in die Aktivitäten der Benutzer im Netzwerk: Sie kennen den Usernamen und die IP-Adresse, aber das war auch schon alles. Sollte es jemandem gelingen, sich Zugriff zu verschaffen, könnte es schwierig werden, die Spur zurückzuverfolgen.

Cloudflare Access basiert auf einem Zero-Trust-Modell, was bedeutet, dass jedes Paket authentifiziert wird. Das erlaubt es uns, Mitarbeitern und Auftragnehmern über Access-Gruppen fein abgestufte Berechtigungen zuzuweisen. Darüber hinaus kann unser Sicherheitsteam ungewöhnliche Aktivitäten in unseren Anwendungen erkennen und profitiert bei der Analyse von umfassender Protokollierung. Kurz gesagt: Wir haben mehr Vertrauen in die Sicherheit unserer internen Anwendungen.

Aber es ist nicht nur etwas für uns

In Zeiten, in denen viele Unternehmen massiv zu mobileren Arbeitsmodellen übergehen, können Sie dank Cloudflare Access auf die Sicherheit Ihrer internen Anwendungen vertrauen und gleichzeitig die Produktivität Ihrer extern arbeitenden Mitarbeiter steigern. Egal, ob Sie auf Jira, Confluence, SAP oder individuell entwickelte Apps setzen – diese Anwendungen werden geschützt und sind in wenigen Minuten startklar.

Wie Cloudflare sein globales Team mit Cloudflare Access schützt
Verwandte Produkte
Wichtigste Ergebnisse
  • $100K+ savings in IT support staff productivity
  • 80% reduced time spent servicing VPN related tickets
  • 70% reduction in ticket volume
  • 300+ annual hours of unlocked productivity during new employee onboarding

Cloudflare Access hat die Sicherheit und Produktivität unseres Teams enorm gesteigert. Natürlich bin ich etwas voreingenommen – aber wir haben Access entwickelt, um unsere eigenen Probleme zu lösen, und es hat noch viel mehr als das geleistet.

Evan Johnson
Product Security Manager, Cloudflare

Cloudflare Access has been a huge win for our team's security and productivity. Of course I'm biased — but we built Access to solve our own challenges, and it's done all that and more.

Evan Johnson
Product Security Manager, Cloudflare