Comment Cloudflare utilise Cloudflare Access pour protéger ses équipes réparties dans le monde entier

Dans l'intérêt d'innombrables personnes et d'entreprises et de l'économie en général, il n'a jamais été aussi essentiel d'aider le personnel travaillant à distance à demeurer pleinement opérationnel. C'est pour cette raison que Cloudflare propose gratuitement Cloudflare for Teams jusqu'au 1er septembre.

Voici une étude de cas qui montre comment est né Cloudflare Access, l'alternative aux VPN nouvelle génération de Cloudflare, et comment nous l'utilisons aujourd'hui.

En 2015, les méthodes d'authentification de Cloudflare étaient similaires à celles de nombreuses autres entreprises : toutes les applications hébergées en interne par Cloudflare étaient accessibles via un réseau privé virtuel (VPN) physique.

Si l'un de nos techniciens d'assistance recevait une notification (généralement sur son téléphone), il devait lancer un logiciel peu performant sur son ordinateur portable, se connecter au réseau privé virtuel (VPN) puis à Grafana. C'était un peu comme essayer d'ouvrir un cadenas à code avec une alarme incendie en train de hurler juste au-dessus de votre tête.

capture d'écran vpn

Une petite équipe d'ingénieurs de Cloudflare s'est posé la question suivante : pourquoi une entreprise spécialisée dans la sécurité des réseaux cloud utilise-t-elle du matériel physique encombrant dans ses locaux ? Elle a voulu imaginer une meilleure solution. C'est ainsi qu'est né Cloudflare Access.

Une culture des tests en interne

La plupart des produits conçus par Cloudflare sont directement inspirés des problématiques auxquelles notre propre équipe tente de trouver des solutions, et Access en est un parfait exemple. Le développement d'Access a débuté en 2015, le projet étant alors connu en interne sous le nom d'EdgeAuth.

Au départ, Access protégeait une seule application. Les techniciens qui recevaient une notification sur leur téléphone pouvaient ouvrir un lien et, après s'être authentifiés dans leur navigateur, ils pouvaient lire son contenu dans Grafana. Cela était beaucoup plus facile que d'utiliser l'ancien VPN.

Access permettait également de résoudre divers problèmes auxquels notre équipe de sécurité était confrontée. Avec notre fournisseur d'identité, nous avons pu réglementer l'accès à nos applications internes de la couche 7 à l'aide des politiques d'Access. Quelques clics dans le tableau de bord Cloudflare ont remplacé le laborieux processus de contrôle des accès via un VPN au niveau de la couche réseau.

edit access policy screenshot

Après Grafana, notre suite interne Atlassian comprenant Jira et Wiki, et des centaines d'autres applications internes, l'équipe responsable du développement d'Access a commencé à se pencher sur la prise en charge de services ne reposant pas sur le protocole HTTP. La prise en charge de Git a permis aux développeurs de Cloudflare de publier du code en toute sécurité, depuis n'importe quel endroit du globe et de manière entièrement contrôlée. Ce fut une grande satisfaction pour l'équipe chargée de la sécurité chez Cloudflare. Voici un exemple légèrement modifié d'un véritable processus d'authentification généré lors de l'envoi de code vers notre référentiel Git interne.

event screenshot

En peu de temps, de nombreuses applications internes de Cloudflare ont été protégées par Access. Dès que nos employés ont commencé à utiliser la nouvelle méthode d'authentification, ils ont voulu qu'elle soit généralisée. Notre équipe de sécurité a fini par nous demander de protéger toutes nos applications avec Access, mais c'était une évidence depuis longtemps : les équipes étaient impatientes de pouvoir l'utiliser.

Soit dit en passant, cela met en évidence un avantage d'Access : vous pouvez commencer par protéger et simplifier les processus d'authentification de vos outils internes les plus utilisés sans avoir à effectuer une opération de remplacement en bloc. C'est une solution immédiate pour les entreprises dont les VPN physiques sont peu performants, puisqu'elle peut être mise en place après un simple appel auprès d'un expert Cloudflare (vous pouvez prendre rendez-vous ici).

Ceci dit, protéger toutes vos applications avec Access présente certains avantages.

Prendre en charge une équipe dispersée dans le monde

Il est notoire que les VPN ralentissent les connexions Internet, et celui que nous utilisions ne faisait pas exception. Le fait que nos employés se connectent aux applications internes par le biais d'un VPN isolé posait un sérieux problème en termes de performances et de sécurité.

Cloudflare Access est une solution d'authentification beaucoup plus efficace. L'authentification a lieu à la périphérie de notre réseau, qui s'étend dans 200 villes situées dans plus de 90 pays du monde entier. Plutôt que de faire passer la connexion de tous nos employés à travers un seul terminal en se connectant à des applications internes, ceux-ci se connectent à un datacenter situé à proximité de leur emplacement.

Étant donné que nos employés sont répartis dans le monde entier, notre équipe de sécurité a pour mission de protéger nos applications internes à l'aide des dispositifs d'authentification les plus sûrs et les plus simples à utiliser possibles.

Cloudflare Access nous permet d'utiliser les puissants mécanismes d'authentification à deux facteurs de notre fournisseur d'identité, ce qui était beaucoup plus difficile avec notre ancien VPN.

Onboarding et offboarding en toute confiance

Pour une entreprise, il est très compliqué de faire en sorte que tous les employés aient accès uniquement aux outils et aux données dont ils ont besoin. Cela devient de plus en plus difficile à mesure que l'équipe s'agrandit. Lorsque l'entreprise se sépare de ses employés ou de ses fournisseurs, il est tout aussi important de révoquer rapidement leurs droits d'accès.

La gestion du contrôle des accès constitue un véritable défi pour les sociétés du secteur informatique du monde entier, et ce défi est d'autant plus redoutable que chaque employé dispose de plusieurs comptes utilisés avec différents outils dans différents environnements. Avant d'utiliser Access, notre équipe a dû passer beaucoup de temps à vérifier chaque détail.

Maintenant que les applications internes de Cloudflare sont protégées par Access, le processus d'onboarding et d'offboarding est beaucoup plus aisé. Chaque nouvel employé et chaque nouveau fournisseur obtient rapidement des droits d'accès aux applications dont il a besoin, et il peut y accéder via une plateforme qui facilite cet accès. Lorsqu'une personne quitte l'équipe, la configuration de chaque application est modifiée, ce qui ne laisse aucune place au doute.

Access présente également un bel avantage en matière de visibilité du réseau. Avec un VPN, vous avez une visibilité minimale sur les activités des utilisateurs sur le réseau : vous connaissez leur nom d'utilisateur et leur adresse IP, mais c'est tout. Si une personne parvient à s'introduire, il est difficile de retracer son parcours.

Cloudflare Access repose sur un modèle Zero Trust, par conséquent chaque paquet est authentifié. Nous pouvons ainsi donner des autorisations granulaires aux employés et aux fournisseurs via Access Groups. De plus, notre équipe de sécurité peut détecter toute activité inhabituelle dans l'une de nos applications, avec une journalisation détaillée qui facilite le travail d'analyse. Pour faire simple : cela nous rassure quant à la sécurité de nos applications internes.

Nos solutions peuvent convenir à d'autres entreprises

Les entreprises ayant de plus en plus recours au télétravail, Cloudflare Access peut vous permettre de renforcer la sécurité de vos applications internes tout en augmentant la productivité de vos employés travaillant à distance. Que vous utilisiez Jira, Confluence, SAP ou des applications spécialement propriétaires, Cloudflare Access peut les sécuriser et être opérationnel en quelques minutes.

Comment Cloudflare utilise Cloudflare Access pour protéger ses équipes réparties dans le monde entier
Produits associés
Résultats essentiels
  • $100K+ savings in IT support staff productivity
  • 80% reduced time spent servicing VPN related tickets
  • 70% reduction in ticket volume
  • 300+ annual hours of unlocked productivity during new employee onboarding

Cloudflare Access a permis à notre équipe de réaliser des progrès considérables en matière de sécurité et de productivité. Bien sûr, il m'est difficile d'être impartial, mais nous avons développé Access pour résoudre nos propres problèmes. Nous avons réussi et le résultat a dépassé nos espérances.

Evan Johnson
Responsable de la sécurité des produits chez Cloudflare

Cloudflare Access has been a huge win for our team's security and productivity. Of course I'm biased — but we built Access to solve our own challenges, and it's done all that and more.

Evan Johnson
Product Security Manager, Cloudflare