Comment Cloudflare utilise Cloudflare Access pour protéger ses équipes réparties dans le monde entier

En 2015, les méthodes d'authentification de Cloudflare étaient similaires à celles de nombreuses autres entreprises : toutes les applications hébergées en interne par Cloudflare étaient accessibles via un réseau privé virtuel (VPN) physique.

Si l'un de nos techniciens d'assistance recevait une notification (généralement sur son téléphone), il devait lancer un logiciel peu performant sur son ordinateur portable, se connecter au réseau privé virtuel (VPN) puis à Grafana. C'était un peu comme essayer d'ouvrir un cadenas à code avec une alarme incendie en train de hurler juste au-dessus de votre tête.

Une petite équipe d'ingénieurs de Cloudflare s'est posé la question suivante : pourquoi une entreprise spécialisée dans la sécurité des réseaux cloud utilise-t-elle du matériel physique encombrant dans ses locaux ? Elle a voulu imaginer une meilleure solution. C'est ainsi qu'est né Cloudflare Access.

Des solutions élaborées pour répondre à nos propres problématiques

La plupart des produits conçus par Cloudflare sont directement inspirés des problématiques auxquelles notre propre équipe tente de trouver des solutions, et Access en est un parfait exemple. Le développement d'Access a débuté en 2015, le projet étant alors connu en interne sous le nom d'EdgeAuth.

Au départ, Access protégeait une seule application. Les techniciens qui recevaient une notification sur leur téléphone pouvaient ouvrir un lien et, après s'être authentifiés dans leur navigateur, ils pouvaient lire son contenu dans Grafana. Cela était beaucoup plus facile que d'utiliser l'ancien VPN.

Access permettait également de résoudre divers problèmes auxquels notre équipe de sécurité était confrontée. Avec notre fournisseur d'identité, nous avons pu réglementer l'accès à nos applications internes de la couche 7 à l'aide des politiques d'Access. Quelques clics dans le tableau de bord Cloudflare ont remplacé le laborieux processus de contrôle des accès via un VPN au niveau de la couche réseau.

Après Grafana, notre suite interne Atlassian comprenant Jira et Wiki, et des centaines d'autres applications internes, l'équipe responsable du développement d'Access a commencé à se pencher sur la prise en charge de services ne reposant pas sur le protocole HTTP. La prise en charge de Git a permis aux développeurs de Cloudflare de publier du code en toute sécurité, depuis n'importe quel endroit du globe et de manière entièrement contrôlée. Ce fut une grande satisfaction pour l'équipe chargée de la sécurité chez Cloudflare. Voici un exemple légèrement modifié d'un véritable processus d'authentification généré lors de l'envoi de code vers notre référentiel Git interne.

En peu de temps, de nombreuses applications internes de Cloudflare ont été protégées par Access. Dès que nos employés ont commencé à utiliser la nouvelle méthode d'authentification, ils ont voulu qu'elle soit généralisée. Notre équipe de sécurité a fini par nous demander de protéger toutes nos applications avec Access, mais c'était une évidence depuis longtemps : les équipes étaient impatientes de pouvoir l'utiliser.

Soit dit en passant, cela met en évidence un avantage d'Access : vous pouvez commencer par protéger et simplifier les processus d'authentification de vos outils internes les plus utilisés sans avoir à effectuer une opération de remplacement en bloc. C'est une solution immédiate pour les entreprises dont les VPN physiques sont peu performants, puisqu'elle peut être mise en place après un simple appel auprès d'un expert Cloudflare (vous pouvez prendre rendez-vous ici).

Ceci dit, protéger toutes vos applications avec Access présente certains avantages.

Soutenir des équipes présentes dans le monde entier

Il est notoire que les VPN ralentissent les connexions Internet, et celui que nous utilisions ne faisait pas exception. Le fait que nos employés se connectent aux applications internes par le biais d'un VPN isolé posait un sérieux problème en termes de performances et de sécurité.

Cloudflare Access est une solution d'authentification beaucoup plus efficace. L'authentification a lieu à la périphérie de notre réseau, qui s'étend dans 200 villes situées dans plus de 90 pays du monde entier. Plutôt que de faire passer la connexion de tous nos employés à travers un seul terminal en se connectant à des applications internes, ceux-ci se connectent à un datacenter situé à proximité de leur emplacement.

Étant donné que nos employés sont répartis dans le monde entier, notre équipe de sécurité a pour mission de protéger nos applications internes à l'aide des dispositifs d'authentification les plus sûrs et les plus simples à utiliser possibles.

Cloudflare Access nous permet d'utiliser les puissants mécanismes d'authentification à deux facteurs de notre fournisseur d'identité, ce qui était beaucoup plus difficile avec notre ancien VPN.

Gérer les ajouts et révocations d’autorisations en toute confiance

Pour une entreprise, il est très compliqué de faire en sorte que tous les employés aient accès uniquement aux outils et aux données dont ils ont besoin. Cela devient de plus en plus difficile à mesure que l'équipe s'agrandit. Lorsque l'entreprise se sépare de ses employés ou de ses fournisseurs, il est tout aussi important de révoquer rapidement leurs droits d'accès.

La gestion du contrôle des accès constitue un véritable défi pour les sociétés du secteur informatique du monde entier, et ce défi est d'autant plus redoutable que chaque employé dispose de plusieurs comptes utilisés avec différents outils dans différents environnements. Avant d'utiliser Access, notre équipe a dû passer beaucoup de temps à vérifier chaque détail.

Maintenant que les applications internes de Cloudflare sont protégées par Access, le processus d'onboarding et d'offboarding est beaucoup plus aisé. Chaque nouvel employé et chaque nouveau fournisseur obtient rapidement des droits d'accès aux applications dont il a besoin, et il peut y accéder via une plateforme qui facilite cet accès. Lorsqu'une personne quitte l'équipe, la configuration de chaque application est modifiée, ce qui ne laisse aucune place au doute.

Access présente également un bel avantage en matière de visibilité du réseau. Avec un VPN, vous avez une visibilité minimale sur les activités des utilisateurs sur le réseau : vous connaissez leur nom d'utilisateur et leur adresse IP, mais c'est tout. Si une personne parvient à s'introduire, il est difficile de retracer son parcours.

Cloudflare Access repose sur un modèle Zero Trust, ce qui signifie que chaque paquet fait l’objet d’une authentification. Ceci nous permet d’accorder des autorisations très spécifiques aux employés et aux fournisseurs via Access Groups. De plus, cela permet à notre équipe de sécurité de détecter toute activité inhabituelle dans l’une de nos applications, avec une journalisation détaillée facilitant le travail d’analyse. Ensemble, un contrôle plus granulaire et une meilleure visibilité nous permettent de gérer plus exhaustivement nos surfaces d’attaque, ce qui est particulièrement important, compte tenu du nombre élevé d’utilisateurs qui travaillent depuis leur domicile aujourd’hui. En termes simples, Access nous rassure quant à la sécurité de nos applications internes.

Profiter des avantages pour le travail quotidien

Il ne reste aujourd’hui que quelques outils de niche derrière notre VPN, et cette migration vers Access a amélioré de manière quantifiable la productivité de nos employés.

Par exemple, nos équipes informatiques recevaient auparavant continuellement des demandes d’assistance concernant le VPN, ce qui les empêchait de s’occuper de tâches plus importantes. Ces derniers temps, nous avons constaté une réduction d’environ 80 % du temps consacré au traitement des tickets relatifs au VPN, ainsi qu’une réduction d’environ 70 % du volume des tickets. Nous estimons que ces gains de temps nous ont permis de remporter plus de 100 000 dollars de productivité.

Par ailleurs, les employés ne doivent plus configurer un VPN lors de leur intégration. Cela permet d’économiser plus de 300 heures par an sur l’ensemble des nouvelles recrues et sur le personnel informatique chargé de les former.

D’autres avantages sont moins quantifiables, mais non moins importants – par exemple, des employés plus heureux et des équipes de sécurité plus confiantes. En réalité, un aspect d’Access qui nous enthousiasme particulièrement est que les avantages qu’offre la solution continueront à évoluer au fur et à mesure que notre entreprise se développera.

« Cloudflare Access est née d’un désir simple : mettre un terme aux complications inutiles liées à notre VPN. Au fil du temps, Access est devenu un pilier de notre stratégie de télétravail et de notre évolution vers la sécurité Zero Trust, et nous sommes très fiers de partager ces avantages avec nos clients, » déclare Juan Rodriguez, directeur de l’information.

« L’une des qualités d’Access que j’admire particulièrement est l’expérience de connexion incroyablement rapide et fluide qu’offre notre réseau de périphérie. Travailler à domicile, en tant que particulier, est déjà une source de stress, même sans devoir mémoriser des vieux mots de passe ou réparer des connexions VPN défaillantes, » poursuit-il. « En tant que directeur de l’information, je suis heureux de ne pas avoir à m’inquiéter de la frustration de mes collègues lorsqu’ils essaient d’accéder aux outils de base dont ils ont besoin pour rester productifs. Grâce à Access, Cloudflare n’a pas besoin d’accepter de compromis entre l’amélioration de la sécurité et la création d’une expérience utilisateur exceptionnelle. »

Mais nous n’avons pas gardé cela pour nous

Les entreprises ayant de plus en plus recours au télétravail, Cloudflare Access peut vous permettre de renforcer la sécurité de vos applications internes tout en augmentant la productivité de vos employés travaillant à distance. Que vous utilisiez Jira, Confluence, SAP ou des applications spécialement propriétaires, Cloudflare Access peut les sécuriser et être opérationnel en quelques minutes.