Sécuriser Cloudflare grâce à Cloudflare One

Sécuriser des effectifs hybrides en croissance

Depuis la fondation de Cloudflare en 2010, nous avons priorisé l'utilisation de nos propres services pour résoudre nos problèmes internes d'informatique et de sécurité. Cette approche nous permet de tester et d'améliorer les fonctionnalités avant de les proposer aux clients, mais joue également un rôle fondamental dans la manière dont nous sécurisons nos propres collaborateurs.

Devant l'accroissement des surfaces d'attaque de Cloudflare suite à l'arrivée d'un plus grand nombre de collaborateurs, de clients et de technologies, nous avons l'obligation de renforcer notre stratégie de sécurité, en équipant nos équipes de sécurité informatique de mesures améliorées en termes de visibilité et de contrôle. En réponse, nous avons développé et adopté les services de Cloudflare One, notre plateforme SASE et SSE, afin de sécuriser l'accès à nos applications, de nous défendre contre les cybermenaces et de protéger nos données sensibles.

Cloudflare comprend plus de 3 500 collaborateurs travaillant dans des dizaines de bureaux et d'emplacements distants. Cette étude de cas explore la manière dont Cloudflare s'appuie sur ses propres services Cloudflare One pour préserver la sécurité et la productivité de ses utilisateurs à l'échelle de l'entreprise.

« La sécurisation de Cloudflare à l'aide de nos propres services est non seulement le moyen le plus efficace de protéger notre activité, mais également d'innover pour nos clients », déclare Grant Bourzikas, Chief Security Officer. « Notre engagement à protéger Cloudflare à l'aide des solutions Cloudflare aide notre équipe de sécurité et nos services à conserver une longueur d'avance tandis que notre entreprise continue de croître, tant en termes d'ambitions que de complexité. »

Sécuriser l'accès aux applications

Cloudflare suit les bonnes pratiques du Zero Trust pour sécuriser l'accès de l'ensemble de nos utilisateurs (qu'ils soient sur site ou en télétravail) à l'ensemble de nos applications auto-hébergées. Plus spécifiquement, nous nous appuyons sur notre service d'accès réseau Zero Trust(Cloudflare Access) pour vérifier les identités, appliquer l'authentification multifacteurs (Multi-Factor Authentication, MFA) à l'aide de clés physiques et évaluer le niveau de sécurité des appareils pour chaque requête. Cette stratégie a évolué au fil des ans afin de permettre à Cloudflare de protéger plus efficacement ses effectifs croissants et de prodiguer à ses clients des conseils basés sur sa propre expérience.

La genèse de notre ZTNA : remplacer notre VPN

L'intérêt de Cloudflare pour le Zero Trust a commencé par un problème pratique que nos techniciens ont résolu d'eux-mêmes : la rationalisation de l'accès aux environnements de développement, sans les tracas liés à l'utilisation d'un réseau privé virtuel (Virtual Private Network, VPN).

En 2015, lors des rares cas où les collaborateurs étaient en télétravail, ces derniers étaient contraints de rediriger le trafic via un VPN physique sur site pour joindre les applications hébergées en interne. La latence et le manque de réponse du VPN contrariaient tout particulièrement les techniciens d'astreinte, qui devaient se connecter à des heures inhabituelles pour traiter des problèmes sensibles au facteur temps.

Pour résoudre leur propre problématique, nos techniciens ont développé Cloudflare Access, qui a débuté sous la forme d'un service de proxy inverse orientant les requêtes d'accès vers le datacenter Cloudflare le plus proche, plutôt que de rediriger le trafic via un VPN physique. Pour chaque requête, Access vérifiait l'identité des utilisateurs en se basant sur les données de notre fournisseur d'identité au sein d'une fenêtre de navigateur. Cette opération les libérait des désagréments et des risques liés au fait d'avoir à se souvenir d'identifiants pour le client du VPN.

L'expérience d'authentification fluide proposée par la solution a entraîné l'adoption organique d'Access sur un plus grand nombre d'applications et a permis de réduire davantage la dépendance au VPN. Les techniciens ont commencé à protéger Grafana à l'aide de cette nouvelle procédure d'authentification, puis les applications web, comme notre suite Atlassian, avant de finir par protéger même les ressources non HTTP.

Le passage soudain au télétravail lors de la pandémie n'a fait qu'accélérer cette migration des applications derrière Access. Peu avant l'été 2020, les équipes informatiques de Cloudflare avaient atteint une réduction d'environ 80 % du temps passé à traiter les tickets liés au VPN et de près de 70 % du volume de tickets par rapport à l'année précédente. Les économies de temps réalisées étaient alors estimées à 100 000 USD annuels.

Au début de l'année 2021, l'équipe de sécurité de Cloudflare a imposé la migration derrière Access à l'ensemble des applications hébergées en interne, afin de nous aider à réduire notre surface d'attaque en mettant en place des mesures de contrôle basées sur le principe du moindre privilège, le refus d'accès par défaut et l'identité. Plus tôt cette même année, Cloudflare avait totalement abandonné son VPN et traduit son expérience en la matière sous la forme de conseils normatifs à l'usage des autres entreprises.

Le processus d'intégration (onboarding) et de débarquement (offboarding) des collaborateurs était également devenu plus simple. Les nouveaux collaborateurs n'ont désormais plus à apprendre à configurer un VPN et nous économisons un peu plus de 300 heures chaque année pour les centaines de nouveaux venus en 2020. La configuration de l'accès aux applications est désormais en grande partie automatisée via l'intégration à Terraform, l'outil d'infrastructure en tant que service.

« Après le remplacement de notre VPN et l'adoption du Zero Trust en interne, nos collègues disposent désormais d'un moyen plus rapide, plus sûr et plus simple de se connecter aux applications et de rester productifs », précise Derek Pitts, Director of Security. « Grâce à son service ZTNA, Cloudflare n’a pas à faire de compromis entre l’amélioration de la sécurité et la proposition d’une expérience utilisateur exceptionnelle. »

MFA par clé physique et protection contre une attaque de phishing ciblée

Depuis le déploiement du ZTNA en interne, Cloudflare a adopté la MFA. Ce parcours a débuté par le déploiement de la MFA à l'aide de clés logicielles, comme les mots de passe temporaires à usage unique (Time-Based One Time Passwords, TOTP) transmis par SMS, par e-mail et via des applications. À partir de 2018, l'équipe de sécurité de Cloudflare a commencé à distribuer des clés physiques et à les autoriser comme moyen facultatif d'authentification sur un ensemble d'applications spécifiques.

Le plus grand changement au sein de cette approche MFA est survenu en février 2021, lorsque les attaques par ingénierie sociales à l'encontre de nos collaborateurs (notamment en se faisant passer pour des membres de l'équipe informatique de Cloudflare) sont devenues plus fréquentes. En réponse, Cloudflare a commencé à exiger l'authentification par clés physiques conformes à la norme FIDO2 pour l'ensemble des applications et des utilisateurs, soit une approche plus résistante au phishing. Que ce soit sur un ordinateur portable de l'entreprise ou sur leurs appareils mobiles personnels, tous les collaborateurs doivent désormais utiliser leur clé de sécurité YubiKey validée par la FIPS pour se connecter à une application. Toutes les autres formes de MFA ont été désactivées. Cette méthode tire également parti du chiffrement plus puissant proposé via le protocole de la norme WebAuthn.

Cette approche par clé physique a été mise à l'épreuve en août 2022, lorsque Cloudflare a déjoué une attaque de phishing ciblée qui avait réussi à percer la sécurité d'autres grandes entreprises. 76 collaborateurs de Cloudflare avaient alors reçu des SMS d'apparence légitime conduisant à une fausse page de connexion Okta. Les acteurs malveillants saisissaient, en temps réel, les identifiants récoltés sur le site de connexion du fournisseur d'identité afin de provoquer l'envoi d'un code TOTP à l'utilisateur. Pour les entreprises qui s'appuyaient sur des codes TOTP, lorsqu'un collaborateur saisissait ce code sur la fausse page de connexion, les pirates se trouvaient alors en mesure de lancer un contenu de phishing qui leur permettait de contrôler à distance l'appareil de ce collaborateur.

Même si quelques rares collaborateurs ont saisi leurs identifiants, l'approche de Cloudflare a empêché les acteurs malveillants de s'emparer d'une quelconque machine. Après l'identification de l'attaque, Cloudflare a pris quelques mesures supplémentaires pour neutraliser ce risque. Nous avons ainsi :

• Bloqué le domaine de phishing à l'aide de notre propre passerelle web sécurisée (Secure Web Gateway, SWG).
• Isolé l'accès à tous les domaines nouvellement enregistrés grâce à notre service d'isolement de navigateur à distance (Remote Browser Isolation, RBI).
• Collaboré avec des partenaires du secteur pour abattre l'infrastructure des acteurs malveillants.
• Mis fin aux sessions actives via le ZTNA et réinitialisé les identifiants compromis.
• Analysé les identités et les appareils présentant une authentification à deux facteurs non vérifiée en fonction de nos journaux d'activité.
• Empêché les adresses IP utilisées par les acteurs malveillants d'accéder à un quelconque service Cloudflare.

Dans l'ensemble, les multiples couches de sécurité de Cloudflare (avec notre robuste MFA en tant que première ligne de défense) ont permis de déjouer cette attaque sophistiquée.

Pour en savoir plus sur cet épisode, consultez notre article de blog et notre présentation de solution traitant de l'incident.

Étendre les mesures de contrôle du niveau de sécurité des appareils

Cloudflare se concentre fortement sur l'extension des mesures de contrôle du niveau de sécurité des appareils à l'ensemble des utilisateurs et des applications, en s'appuyant sur le contexte issu de logiciels propriétaires et tiers.

Aujourd'hui, le client sur appareil de Cloudflare transfère le trafic en proxy via des connexions sortantes chiffrées. Ce client est déployé par l'intermédiaire de notre gestionnaire d'appareils mobile à l'ensemble des ordinateurs portables fournis par l'entreprise. Les collaborateurs peuvent également utiliser les appareils mobiles personnels qui répondent à certains critères de sécurité, comme l'inscription à notre service de gestion des points de terminaison. Le client sur appareil est désormais requis pour accéder à certaines ressources internes essentielles sur les ordinateurs portables de l'entreprise et sera bientôt exigé pour l'accès sur les appareils mobiles personnels.

Cloudflare utilise également le logiciel Falcon de Crowdstrike pour assurer la protection des points de terminaison sur l'ensemble des appareils de l'entreprise et élabore des politiques d'accès conditionnel incorporant les données télémétriques de Crowdstrike. De manière plus spécifique, l'accès n'est accordé aux ressources que si le score d'évaluation Zero Trust de Crowdstrike (Zero Trust Assessment, ZTA), un chiffre représentant l'intégrité d'un appareil en temps réel, se situe au-dessus d'un seuil minimum. Cette intégration du ZTNA ne constitue qu'une des nombreuses facettes de la collaboration en cours entre Cloudflare et Crowdstrike.

Dans l'ensemble, la sécurité de Cloudflare a bénéficié d'une journalisation détaillée de chaque requête d'accès à chaque ressource (même la journalisation des commandes SSH). Cette visibilité étendue sur l'ensemble des identités et des appareils nous aide à enquêter sur les incidents avec une agilité supérieure.

Se défendre contre les cybermenaces

Nous déployons également les services de Cloudflare One en interne pour nous protéger contre les cybermenaces. L'utilisation de nos solutions SWG et RBI pour sécuriser la navigation Internet en constitue un bon exemple, de même que l'utilisation de notre service de sécurité du courrier électronique pour protéger nos adresses e-mail des attaques de phishing.

« Les services de Cloudflare One nous protègent sur l’ensemble du cycle de vie d'une menace en réduisant notre surface d'attaque, en atténuant les menaces véhiculées via Internet, en limitant les mouvements latéraux et en empêchant le vol de données ou de données financières », précise Bourzikas. « La superposition de nos solutions de sécurité du web et du courrier électronique ces dernières années nous a aidés à atteindre une grande cohérence en termes de protection et de visibilité pour l'ensemble de nos collaborateurs, de plus en plus ancrés dans le travail hybride. »

Protéger la navigation Internet pour les utilisateurs et les bureaux distants

Cloudflare a commencé à utiliser sa propre solution SWG (également connue sous le nom de Gateway) lorsque l'entreprise a été confrontée à un défi similaire à celui de ses clients : la sécurisation des collaborateurs contre la hausse des menaces en lignes après le passage au télétravail lors de la pandémie.

Notre priorité première consistait à déployer le filtrage DNS afin d'empêcher les utilisateurs de joindre les domaines Internet dangereux ou indésirables en fonction de catégories de sécurité et de contenu. Nous avons atteint cet objectif au cours des phases suivantes, dans l'année qui a suivi le passage au télétravail :

• Filtrage DNS dans tous les bureaux. Effectuée en seulement quelques jours, la configuration ne nous demandait que de faire pointer le trafic DNS issu des routeurs sur site vers notre réseau. Ce filtrage à l'échelon local protégeait la poignée d'utilisateurs qui exerçaient toujours des fonctions stratégiques sur site, tout en aidant également nos administrateurs à affiner la configuration des politiques. Il est toujours en place à l'heure actuelle.
• Déploiement de notre client sur appareil. Le transfert du trafic en proxy via le client sur appareil pose les fondations de mesures de sécurité et de visibilité spécifiques aux utilisateurs et aux appareils, notamment le chiffrage de chaque connexion sortante vers Internet.
• Filtrage DNS pour l'ensemble des collaborateurs en télétravail. Au début de l'année 2021, Cloudflare avait configuré des politiques de filtrage DNS et une expérience Internet cohérentes pour l'ensemble des utilisateurs, sur site et en télétravail.

Alors que Cloudflare s'installait dans une nouvelle routine autour du travail hybride, nos équipes de sécurité bénéficiaient de la visibilité et des mesures de contrôle déployées sur le trafic Internet transféré en proxy, notamment les suivantes :

• Mesures de contrôle HTTP détaillées  : nos équipes de sécurité inspectent le trafic HTTPS afin de bloquer l'accès aux sites web spécifiquement identifiés comme malveillants par ces dernières, procèdent à des analyses antivirus et appliquent des politiques de navigation sensibles à l'identité.
• Isolement sélectif de la navigation Internet  : au sein des sessions de navigation isolées, l'ensemble du code web s'exécute sur le réseau Cloudflare, à bonne distance des appareils locaux. Les utilisateurs sont ainsi isolés du contenu non approuvé et malveillant. De nos jours, les éléments isolés sont les réseaux sociaux, les sites d'actualités, les comptes e-mail personnels et les autres catégories Internet potentiellement à risque. Les domaines nouvellement observés, par exemple, tombent dans cette dernière catégorie et Cloudflare excelle dans l'identification de ces derniers grâce au gigantesque volume de requêtes DNS que nous résolvons (plus de 2 milliards chaque jour en moyenne).
• Journalisation en fonction de la géolocalisation  : le fait de savoir d'où les requêtes sortantes proviennent aide nos équipes de sécurité à comprendre la répartition géographique de nos collaborateurs, ainsi que notre présence dans les régions à haut risque.

« Aujourd'hui, Cloudflare dispose d'une visibilité spécifique aux utilisateurs et aux appareils sur l'ensemble de ses collaborateurs. Celle-ci nous aide a évaluer nos risques de manière plus globale », explique Derek Pitts, Director of Security. « Lorsque notre profil de risque évolue, nos équipes de sécurité calibrent nos mesures de contrôle de la navigation Internet afin de s'assurer que les menaces soient atténuées avec le moins d'impact possible sur la productivité des utilisateurs. »

Pour en savoir plus sur ce sujet, consultez notre article de blog.

Protéger vos boîtes e-mail grâce à une solution de sécurité du courrier électronique dans le cloud

Au début 2020, Cloudflare a observé une hausse subite des tentatives de phishing. Notre fournisseur de messagerie (Google Workspace) disposait d'une puissante fonction de filtrage anti-spam sur son application web native, mais éprouvait des difficultés avec les menaces avancées, comme la compromission du courrier électronique professionnel (Business Email Compromise, BEC), et les autres méthodes d'accès aux e-mails, comme une application mobile iOS. En outre, face à l'augmentation du volume des attaques de phishing, nos équipes informatiques consacraient trop de temps aux investigations manuelles (entre 15 et 30 minutes pour les attaques simples et bien plus longtemps pour les attaques plus sophistiquées).

Pour répondre à ce problème, Cloudflare a mis en œuvre la solution Area 1 Email Security (qui était à cette époque un fournisseur tiers), en plus de Google Workspace. En l'espace de 30 jours, Area 1 a bloqué un total de 90 000 attaques, en entraînant ainsi une baisse remarquable et prolongée des e-mails de phishing. Le faible taux de faux positifs a également permis de réduire le temps consacré aux investigations et nos équipes de sécurité ont bénéficié d'un éventail d'informations plus large, notamment l'identité des collaborateurs les plus attaqués.

« En définitive, la technologie d'Area 1 s'est révélée tellement efficace lors de son lancement que notre CEO a contacté notre Chief Security Officer pour lui demander si notre solution de sécurité des e-mails était en panne », précise John Graham-Cumming, Chief Technology Officer de Cloudflare. « Pendant plusieurs semaines, notre CEO n'a eu sous les yeux aucun signalement de tentative de phishing rapportée par nos collaborateurs, occurrence rare s'il en est. Il s'avère finalement que ces derniers ne signalaient aucune tentative de phishing, car Area 1 les bloquait toutes avant qu'elles n'atteignent la boîte e-mail des employés. »

À la lumière de cette expérience positive, Cloudflare a acquis Area 1 début 2022 et a intégré sa solution à Cloudflare One, afin de permettre à nos clients et à nous-mêmes d'adopter une stratégie de sécurité plus proactive sur plusieurs canaux.

Pour prendre un exemple, l'isolement des liens contenus dans les e-mails s'appuie sur le service RBI et notre fonctionnalité de sécurité du courrier électronique pour ouvrir les liens potentiellement suspects au sein d'un navigateur isolé. Cette approche permet de neutraliser le code malveillant et d'empêcher les utilisateurs d'accomplir des actions risquées sur une page web grâce à diverses techniques, comme la limitation des entrées au clavier et du copier/coller. Parmi d'autres applications, Cloudflare emploie cette fonctionnalité pour faire obstacle aux attaques de phishing différées qui échappent aux mesures de détection habituelles, afin d'aider nos équipes de sécurité à rester protégées pendant qu'elles enquêtent sur les incidents de phishing.

« La solution de sécurité du courrier électronique de Cloudflare intercepte les tentatives de phishing avant qu'elles ne puissent atteindre la boîte e-mail de nos collaborateurs », déclare Derek Pitts, Director of Security. « Le courrier électronique continue d'être l'un des vecteurs d'attaque les plus populaires. De même, le fait de savoir que notre service est aussi efficace et facile à gérer pour nos collaborateurs me procure une certaine tranquillité d'esprit. »

Protéger les données sensibles

La possibilité de limiter qui peut accéder à quelles applications à l'aide de politiques Zero Trust, ainsi que de se défendre contre le phishing et les rançongiciels, aide Cloudflare à prévenir l'exfiltration de données. Nous atténuons encore davantage les risques de fuites de données en détectant les données sensibles à l'aide de services comme notre Cloud Access Security Broker (CASB) et notre solution de prévention des pertes de données (Data Loss Prevention, DLP).

• Gérer les risques d'exposition des données dans les applications SaaS . Cette approche implique d'analyser nos suites SaaS à l'aide d'une API (comme Google Workspace, GitHub et Salesforce) à la recherche de données sensibles et d'erreurs de configuration présentant un risque de fuites et d'agir en fonction de conseils normatifs afin de corriger ces problèmes par l'intermédiaire de politiques SWG.
• Détecter et contrôler les mouvements des données sensibles . Les données concernées comprennent les catégories de données propriétaires et régulées, comme les identifiants, les secrets, les données financières et les informations médicales.

Pour en savoir plus sur l'approche de Cloudflare One envers la protection des données, consultez notre article de blog.

Notre culture axée sur la sécurité

Les services de sécurité mentionnés plus haut sont aussi précieux que les collaborateurs et les processus impliqués dans leur mise en œuvre. Dans un registre plus particulier, les étapes que nous avons franchies jusqu'ici sont à mettre au crédit de la culture de notre entreprise, globalement axée sur la sécurité et fondée sur le précepte qui veut que « la sécurité fait partie du travail de chacun ».

Pour prendre un exemple, Cloudflare emploie sa propre équipe interne d’intervention en cas d’incident de sécurité (Security Incident Response Team, SIRT), disponible 24 h/24, 7 j/7, et encourage l'ensemble de ses collaborateurs à signaler les activités suspectes, le plus tôt et le plus souvent possible. Cette approche articulée autour du concept de « problème remarqué, problème signalé » crée une première ligne de défense et une boucle de rétroaction positive. En effet, ces rapports de première ligne nous permettent d'améliorer nos procédures. La direction accepte et s'attend à ce que plus de 90 % des signalements de collaborateurs à l'équipe SIRT s'avèrent anodins, car les alertes en temps opportun sont essentielles lorsque de réelles cyberattaques surviennent (comme lors de l'incident dû à l'attaque de phishing ciblée en 2022). Cette approche proactive et « exempte de toute recherche de responsabilité » s'applique également au signalement de bugs dans le cadre du développement en interne de nos services, afin de renforcer ces derniers dans le processus.

« La culture axée sur la sécurité de Cloudflare facilite mon travail », affirme Bourzikas. « En s'investissant afin de s'assurer qu'ils disposent de l'expérience de sécurité la plus qualitative possible, nos collaborateurs aident à leur tour nos équipes à développer de meilleurs services pour nos clients. Cet engagement restera essentiel tant que nous continuerons à étendre les fonctionnalités et les services de notre plateforme Cloudflare One. »