BlockFi

BlockFi 简化了其安全性堆栈，同时支持对内部资源的可扩展 Zero Trust 远程访问

BlockFi 的使命是为传统上服务不足的市场带来金融授权，在全球范围内架起传统金融和区块链技术的桥梁。BlockFi 的利息账户、加密货币支持贷款、BlockFi 奖励信用卡和加密交易平台由全球加密资产所有者进行杠杆操作，范围从日常零售客户到顶级对冲基金。

BlockFi 支持超过 450,000 名资金客户并管理超过 100 亿美元的资产（截至 2021 年 6 月 30 日）。该公司获得了超过 4.5 亿美元的股权融资支持，其中包括最近由贝恩资本（Bain Capital）牵头的 D 轮融资，筹集了 3.5 亿美元。

挑战：用全面的 Zero Trust 平台取代复杂的安全解决方案—但首先要停止大规模的 DDoS 和 API 攻击

2020 年，BlockFi 一直在部署来自供应商的多项服务，以保护外部 Web 资产和保护员工免受在线威胁。这些解决方案部署复杂，需要多个端点代理，并且缺乏保护应用程序访问的本地集成功能。此外，BlockFi 依靠基于 IP 的控制来实现对关键公司资源的远程访问。在全球分布的近 1000 名员工的快速增长的劳动力队伍中维护这些 IP 块和允许列表非常耗时且不可扩展。

正当 BlockFi 开始探索替代供应商和方法时，他们突然同时受到了两次严重的网络攻击：一次非常大的 DDoS 攻击和一次对其注册 API 的攻击。这些攻击发生在一次大的增长激增期间，在此期间，BlockFi 每周约有 20，000 名新的零售客户注册。

由于 BlockFi 自身缺乏足够的内部资源来缓解攻击，因此联系 Cloudflare 寻求帮助。“Cloudflare 在我们需要的时候来到了 BlockFi，”首席安全官 Adam Healy 回忆道。“我真的是在早上 6:00 叫醒了我的 Cloudflare 联系人。他们迅速调动了我们需要的所有资源，尽管 BlockFi 当时还不是 Cloudflare 的客户。”

在阻止 DDoS 和 API 攻击后，Cloudflare 与 BlockFi 合作实施可扩展的 Zero Trust 安全性解决方案

Cloudflare 帮助 BlockFi 在入职会话期间阻止 DDoS 和 API 攻击，使系统操作在 6 小时内恢复正常，从而节省了“数千甚至数百万”美元的收入损失，并帮助缓解客户和投资者的声誉损失。

在缓解攻击后，BlockFi 决定进行更全面的组织安全性转型，以使用 Cloudflare Zero Trust 平台保护其员工队伍和敏感数据。该平台包括一个 Zero Trust 网络访问（ZTNA）解决方案，保护跨云和本地环境的应用；以及一个安全 Web 网关（SWG）解决方案，以防范勒索软件、网络钓鱼和其他互联网威胁。

BlockFi 的所有高价值内部应用程序现在都在 Cloudflare ZTNA 解决方案的保护之下，其中包括两个处理敏感数据的应用程序，约占 BlockFi 关键任务操作的 70%。

“Cloudflare 为我们在整个分布式环境中对内部应用程序提供了细粒度、Zero Trust 的访问控制，这极大改善了我们的安全态势，”首席站点可靠性工程师 Dan Rue 说。“我们可以完全控制系统入口，可以更好地扩展，并且我们更有弹性。”

Healy 补充道：“Cloudflare 的 Zero Trust 服务使我们能够保护我们的远程优先、全球分布的劳动力和未暴露于公共互联网的关键内部应用程序。”

更简单的安全性堆栈有助于 BlockFi 最大限度地降低成本并提高生产力，同时使用 Cloudflare Workers 的无服务器计算和静态站点托管优化了开发流程

通过 Zero Trust 网络访问，BlockFi 能够停止使用 IP 阻止和允许列表，这在以前需要四名全职工程师的专门关注。此外，当 BlockFi 工程师添加新 IP 到允许列表时，IP 地址更改的员工经常被迫保持空闲。现在，员工只需通过 BlockFi 的单点登录 (SSO) 提供商 Okta 登录，即可从任何地方、在任何设备上安全地访问资源。

“由于我们的工程师不再需要维护 IP 阻止和允许列表，他们有更多的时间专注于推动业务发展的战略项目，例如增强应用程序，”安全性项目管理副总裁 Eric Freeman 说。

BlockFi 看到了改进开发流程的机会，还添加了 Cloudflare Workers，它为开发人员提供了无服务器执行环境，以及 Cloudflare Pages，一个供前端开发人员快速部署快速加载网站的 JAMstack 平台。

BlockFi 正在使用 Cloudflare Workers 将更多应用程序逻辑移至其网络边缘，从而提高性能并简化公司的内部架构。BlockFi 的开发人员经常使用 Workers 将代码片段插入到使用 Cloudflare Pages 构建的静态站点中，这使他们能够比重写站点代码更快地进行更改。展望未来，BlockFi 预计会更频繁地使用 Workers。

“Workers 以简明的方式解决了我们最复杂的用例，而 Cloudflare Pages 为我们提供了一流的静态站点托管，比我们的云服务提供商更容易使用，”Rue 指出。

BlockFi 在网络边缘享有纵深防御

Cloudflare 使 BlockFi 能够即时阻止恶意网站的用户流量，从而降低员工在浏览互联网时被恶意软件或网络钓鱼网站攻击的风险。对于特定的网络钓鱼电子邮件--无论是针对组织中的每个人还是针对特定目标--BlockFi 都可以运行防病毒检查并使用威胁类别过滤器来防止风险链接被解析。

BlockFi 还从 Cloudflare 自动程序管理解决方案中看到了即时效果，它与 Cloudflare 的 Zero Trust 平台同时部署。在部署的第一天，自动程序管理阻止了大约 1000 万个恶意机器人到达 BlockFi 的站点。除了确保恶意流量不会降低网站性能外，这还可以保护 BlockFi 免受凭据填充和其他试图破坏用户登录凭证的机器人程序的攻击。

“通过保护我们的员工免受网络钓鱼链接、凭据填充和对其登录凭据的其他攻击，Cloudflare 为我们提供了对深度防御至关重要的最终用户保护，”Freeman 解释说。

从 ZTNA 到 DDoS 保护再到针对恶意机器人的安全性，Cloudflare 解决方案与 BlockFi 的数据环境如此深入地交织在一起，它们有效地构成了公司的网络边缘优势。

“Cloudflare 是我们的优势。它可以保护我们的整个云环境，”Healy 说。“我们的周边是安全的，而且我们可以根据需要尽可能快地扩展。”

Rue 补充道，“Cloudflare 对我们安全扩展的能力至关重要，它非常适合我们的其他堆栈。尽管我们的 Cloudflare 集成已经非常广泛，但我们才刚刚开始。我们有很多更潜在使用案例，Cloudflare 是这项工作的最佳工具。”