Comment Cloudflare utilise Cloudflare Access pour protéger ses équipes réparties dans le monde entier

En 2015, les méthodes d'authentification de Cloudflare étaient similaires à celles de nombreuses autres entreprises : toutes les applications hébergées en interne par Cloudflare étaient accessibles via un réseau privé virtuel (VPN) physique.

Si l'un de nos techniciens d'assistance recevait une notification (généralement sur son téléphone), il devait lancer un logiciel peu performant sur son ordinateur portable, se connecter au réseau privé virtuel (VPN) puis à Grafana. C'était un peu comme essayer d'ouvrir un cadenas à code avec une alarme incendie en train de hurler juste au-dessus de votre tête.

capture d'écran vpn

Une petite équipe d'ingénieurs de Cloudflare s'est posé la question suivante : pourquoi une entreprise spécialisée dans la sécurité des réseaux cloud utilise-t-elle du matériel physique encombrant dans ses locaux ? Elle a voulu imaginer une meilleure solution. C'est ainsi qu'est né Cloudflare Access.

Une culture des tests en interne

La plupart des produits conçus par Cloudflare sont directement inspirés des problématiques auxquelles notre propre équipe tente de trouver des solutions, et Access en est un parfait exemple. Le développement d'Access a débuté en 2015, le projet étant alors connu en interne sous le nom d'EdgeAuth.

Au départ, Access protégeait une seule application. Les techniciens qui recevaient une notification sur leur téléphone pouvaient ouvrir un lien et, après s'être authentifiés dans leur navigateur, ils pouvaient lire son contenu dans Grafana. Cela était beaucoup plus facile que d'utiliser l'ancien VPN.

Access permettait également de résoudre divers problèmes auxquels notre équipe de sécurité était confrontée. Avec notre fournisseur d'identité, nous avons pu réglementer l'accès à nos applications internes de la couche 7 à l'aide des politiques d'Access. Quelques clics dans le tableau de bord Cloudflare ont remplacé le laborieux processus de contrôle des accès via un VPN au niveau de la couche réseau.

edit access policy screenshot

Après Grafana, notre suite interne Atlassian comprenant Jira et Wiki, et des centaines d'autres applications internes, l'équipe responsable du développement d'Access a commencé à se pencher sur la prise en charge de services ne reposant pas sur le protocole HTTP. La prise en charge de Git a permis aux développeurs de Cloudflare de publier du code en toute sécurité, depuis n'importe quel endroit du globe et de manière entièrement contrôlée. Ce fut une grande satisfaction pour l'équipe chargée de la sécurité chez Cloudflare. Voici un exemple légèrement modifié d'un véritable processus d'authentification généré lors de l'envoi de code vers notre référentiel Git interne.

event screenshot

En peu de temps, de nombreuses applications internes de Cloudflare ont été protégées par Access. Dès que nos employés ont commencé à utiliser la nouvelle méthode d'authentification, ils ont voulu qu'elle soit généralisée. Notre équipe de sécurité a fini par nous demander de protéger toutes nos applications avec Access, mais c'était une évidence depuis longtemps : les équipes étaient impatientes de pouvoir l'utiliser.

Soit dit en passant, cela met en évidence un avantage d'Access : vous pouvez commencer par protéger et simplifier les processus d'authentification de vos outils internes les plus utilisés sans avoir à effectuer une opération de remplacement en bloc. C'est une solution immédiate pour les entreprises dont les VPN physiques sont peu performants, puisqu'elle peut être mise en place après un simple appel auprès d'un expert Cloudflare (vous pouvez prendre rendez-vous ici).

Ceci dit, protéger toutes vos applications avec Access présente certains avantages.

Prendre en charge une équipe dispersée dans le monde

Il est notoire que les VPN ralentissent les connexions Internet, et celui que nous utilisions ne faisait pas exception. Le fait que nos employés se connectent aux applications internes par le biais d'un VPN isolé posait un sérieux problème en termes de performances et de sécurité.

Cloudflare Access est une solution d'authentification beaucoup plus efficace. L'authentification a lieu à la périphérie de notre réseau, qui s'étend dans 200 villes situées dans plus de 90 pays du monde entier. Plutôt que de faire passer la connexion de tous nos employés à travers un seul terminal en se connectant à des applications internes, ceux-ci se connectent à un datacenter situé à proximité de leur emplacement.

Étant donné que nos employés sont répartis dans le monde entier, notre équipe de sécurité a pour mission de protéger nos applications internes à l'aide des dispositifs d'authentification les plus sûrs et les plus simples à utiliser possibles.

Cloudflare Access nous permet d'utiliser les puissants mécanismes d'authentification à deux facteurs de notre fournisseur d'identité, ce qui était beaucoup plus difficile avec notre ancien VPN.

Onboarding et offboarding en toute confiance

Pour une entreprise, il est très compliqué de faire en sorte que tous les employés aient accès uniquement aux outils et aux données dont ils ont besoin. Cela devient de plus en plus difficile à mesure que l'équipe s'agrandit. Lorsque l'entreprise se sépare de ses employés ou de ses fournisseurs, il est tout aussi important de révoquer rapidement leurs droits d'accès.

La gestion du contrôle des accès constitue un véritable défi pour les sociétés du secteur informatique du monde entier, et ce défi est d'autant plus redoutable que chaque employé dispose de plusieurs comptes utilisés avec différents outils dans différents environnements. Avant d'utiliser Access, notre équipe a dû passer beaucoup de temps à vérifier chaque détail.

Maintenant que les applications internes de Cloudflare sont protégées par Access, le processus d'onboarding et d'offboarding est beaucoup plus aisé. Chaque nouvel employé et chaque nouveau fournisseur obtient rapidement des droits d'accès aux applications dont il a besoin, et il peut y accéder via une plateforme qui facilite cet accès. Lorsqu'une personne quitte l'équipe, la configuration de chaque application est modifiée, ce qui ne laisse aucune place au doute.

Access présente également un bel avantage en matière de visibilité du réseau. Avec un VPN, vous avez une visibilité minimale sur les activités des utilisateurs sur le réseau : vous connaissez leur nom d'utilisateur et leur adresse IP, mais c'est tout. Si une personne parvient à s'introduire, il est difficile de retracer son parcours.

Cloudflare Access is based on a Zero Trust model, which means that every packet is authenticated. It allows us to assign granular permissions via Access Groups to employees and contractors. And it gives our security team the ability to detect unusual activity across any of our applications, with extensive logging to support analysis. Together, more granular control and enhanced visibility enable us to manage our attack surfaces more comprehensively, which is especially critical with so many users working from home today. Put simply: Access makes us more confident in the security of our internal applications.

Reaping the Benefits in Everyday Work

Today, only a few niche tools remain behind our VPN, and this migration to Access has helped our employees be more productive in quantifiable ways.

For example, our IT teams were previously fielding VPN-related support requests constantly, which inconvenienced them from more important tasks. These days, we have seen ~80% reduced time spent servicing VPN-related tickets and ~70% reduction in ticket volume. We estimate that these time savings have unlocked over $100K worth of productivity.

Moreover, employees no longer set up VPN during their onboarding. This saves upwards of 300 hours annually across all new hires and the IT staffers that have to train them.

Other benefits are less quantifiable, but no less important, such as happier employees and more confident security teams. In fact, one thing that excites us about Access is that the benefits it delivers will continue to evolve as our company grows.

"Cloudflare Access was born out of a simple desire: to escape the unnecessary pains of our VPN. Over time, Access has become a pillar of our remote work strategy and journey towards Zero Trust security, and we are so proud to share those benefits with our customers,” said Juan Rodriguez, Chief Information Officer.

“One quality I especially admire about Access is the incredibly fast and frictionless login experience that our edge network delivers. Working from home as an individual is stressful enough without having to remember old passwords or fixing broken VPN connections,” he continued. “As a CIO, I'm proud that I don't have to worry about our colleagues getting frustrated with reaching the basic tools they need to stay productive. With Access, Cloudflare does not have to make any trade-offs between improving security and creating an amazing user experience."

Nos solutions peuvent convenir à d'autres entreprises

Les entreprises ayant de plus en plus recours au télétravail, Cloudflare Access peut vous permettre de renforcer la sécurité de vos applications internes tout en augmentant la productivité de vos employés travaillant à distance. Que vous utilisiez Jira, Confluence, SAP ou des applications spécialement propriétaires, Cloudflare Access peut les sécuriser et être opérationnel en quelques minutes.

Comment Cloudflare utilise Cloudflare Access pour protéger ses équipes réparties dans le monde entier
Produits associés
Résultats essentiels
  • $100K+ savings in IT support staff productivity
  • 80% reduced time spent servicing VPN related tickets
  • 70% reduction in ticket volume
  • 300+ annual hours of unlocked productivity during new employee onboarding

« As a CIO, I'm proud that I don't have to worry about colleagues getting frustrated with reaching the basic tools they need to stay productive. With Access, we don't have to make trade-offs between improving security and creating an amazing user experience. »

Juan Rodriguez
CIO, Cloudflare

« Cloudflare Access has been a huge win for our team's security and productivity. Of course I'm biased — but we built Access to solve our own challenges, and it's done all that and more. »

Evan Johnson
Product Security Manager, Cloudflare