Cloudflare 如何使用 Cloudflare Access 保护全球团队

在 2015 年,Cloudflare 的身份验证方法和其他许多公司一样,所有内部托管的应用程序都是通过基于硬件的 VPN 访问的。

当我们随叫随到的工程师收到通知时(他们通常是用手机接收通知的),他们会在笔记本电脑上启动一个笨重的客户端,连接到 VPN,然后登录 Grafana。这感觉有点像破解密码锁,头顶上还有一个火警报警器在嘟嘟作响。

vpn screenshot

Cloudflare 的一小组工程师开始感到不解:为何一家云网络安全公司会如此依赖笨重的本地硬件?他们认为我们可以做得更好。于是 Cloudflare Access 应运而生。

“吃自己的狗粮”文化

Cloudflare 打造的许多产品都直接脱胎于我们自己的团队想要克服的挑战,Access 便是一个完美例证。Access 的开发工作最初开始于 2015 年,当时该项目的内部名字是 EdgeAuth。

起初只有一个应用程序支持 Access。在手机上收到通知的工程师可以点击一个链接,通过浏览器进行身份验证后,就可以立即在 Grafana 中访问该提醒的重要详细信息。这比使用旧 VPN 获得的体验要好得多。

Access 还为我们的安全团队解决了各种问题。借助我们选择的身份提供商,我们得以使用 Access 策略在 L7 限制对内部应用程序的访问。在网络层管理访问控制的过程曾经如此繁琐,现在只需在 Cloudflare 仪表板中点击几下鼠标即可轻松实现。

edit access policy screenshot

在经历了 Grafana、我们的内部 Atlassian 套件(包括 Jira 和 Wiki)以及数百种其他内部应用程序之后,Access 团队开始设法支持非基于 HTTP 的服务。得益于对 git 的支持,Cloudflare 的开发人员能够以经过充分审核的方式在世界任何地方安全地提交代码。Cloudflare 的安全团队对此十分满意。下面的示例略微改编自一个真实的身份验证事件,该事件是在将代码推送到内部 git 存储库时生成的。

event screenshot

不久以后,越来越多的 Cloudflare 内部应用程序支持 Access。一旦人们开始使用新的身份验证流,他们便希望它无处不在。最终,安全团队要求我们将应用迁移到 Access,但其实很久以来,这完全是自发的举动:因为团队都渴望使用 Access。

顺便提一句,这也体现了使用 Access 的好处:可以首先针对最热门的内部工具来保护并简化身份验证流——不需要大规模地推倒重来。许多组织都面临着基于硬件的 VPN 带来的限制,对于这些组织而言,Access 可谓药到病除。只需与 Cloudflare 新用户引导专家进行一次设置方面的通话,即可快速上手(可以在此预约时间)。

事实上,使用 Access 来保护所有应用程序也是有百利而无一害的。

支持全球团队

众所周知,VPN 会影响 Internet 连接,我们使用的 VPN 也不例外。连接内部应用程序时,让所有员工的 Internet 连接都经过一个独立的 VPN 既严重制约了性能,同时也是一个单一故障点。

Cloudflare Access 是一种更为明智的方法。身份验证是在网络边缘进行的,而我们的网络边缘扩展到全球 90 多个国家/地区的 200 个城市。Access 并没有让所有员工通过单台网络设备传输网络流量。与之相反,连接内部应用程序的员工都接入了附近的数据中心。

在我们为分布于全球各地的员工队伍提供支持时,我们的安全团队致力于以最安全实用的身份验证机制保护我们的内部应用程序。

利用 Cloudflare Access,我们能够充分依靠身份提供商强大的双因素身份验证机制,而传统 VPN 要实现这一点非常困难。

加入和退出不再令人忧心忡忡

对于任何公司而言,最棘手的任务之一就是确保每个人都能(并且仅能)访问所需的工具和数据。随着团队规模的扩大,这一挑战变得越发严峻。同样重要的是,在员工和承包商离职后,必须迅速撤销其权限。

对于全球各地的 IT 组织而言,如何管理这些访问控制都是一项艰巨的挑战——当每个员工在不同环境的不同工具中都设置了多个账户时,这个问题就更加令人头疼了。在使用 Access 之前,我们的团队必须投入大量时间来确保没有漏网之鱼。

现在,Cloudflare 的内部应用程序都已受到 Access 的保护,加入和退出变得更加顺畅。每个新员工和承包商很快就能获得所需应用程序的权限,并且可以通过一个启动台来轻松访问这些应用程序。当有人离开团队时,每个应用程序都会进行一次配置更改——无需人工加以判断。

Access 在网络可见性方面同样益处多多。使用 VPN 时,您对用户在网络上的活动知之甚少——您知道他们的用户名和 IP 地址,但仅此而已。如果有人设法进入,您很难追溯他们的脚步。

Cloudflare Access 基于 Zero Trust 模型,这意味着每个数据包都经过身份验证。我们可以通过 Access Groups 向员工和承包商分配精细化的权限。我们的安全团队还能检测到所有应用中的异常活动,并通过大量的日志记录来支持分析。更精细的管控,结合增强的可见性,让我们能够更全面的管理攻击面,这对目前大量居家工作的用户而言尤其重要。简而言之,Access 让我们对内部应用的安全性更具信心。

在日常工作中享受优势

目前,我们只有少数几个小众工具还通过 VPN 访问,迁移到 Access 显著提高了员工的工作效率。

例如,我们的 IT 团队以往需要不断处理 VPN 相关的支持请求,妨碍了他们进行更重要的工作。目前,我们的 VPN 相关工单服务时间减少了 80%,工单量减少了 70% 左右。我们估计,这些节省的时间释放了价值 10 万美元的生产力。

此外,员工入职时不再需要设置 VPN。这一点每年为所有新员工和培训他们的 IT 人员节省接近 300 小时。

其他益处虽然不容易量化,但同样重要,例如员工更快乐,安全团队更有信心。事实上,Access 令人兴奋的一点是,它提供的好处将随着我们公司成长而继续发展。

首席信息官 Juan Rodriguez 表示:“Cloudflare Access 诞生于一个简单的愿望:摆脱 VPN 不必要的痛苦。随着时间过去,Access 已成为我们远程办公战略和向 Zero Trust 安全性发展的一个支柱,我们自豪地与客户分享这些裨益。

我特别欣赏的一点是,Access 为我们的边缘网络提供了难以置信的快速、无摩擦登录体验。即使不用记住旧密码或修复糟糕的 VPN 连接,个人在家工作本身已经压力不小。作为首席信息官,不用担心同事们在访问基本生产力工具时感到沮丧,这一点令我非常自豪。凭借 Access,Cloudflare 不必在提高安全性和创造出色的用户体验之间做出取舍。”

我山之石,可以攻玉

随着许多组织都大规模过渡到远程工作模式,Cloudflare Access 可以让您对内部应用程序的安全性更有信心——同时还能提高远程员工的工作效率。无论您依赖 Jira、Confluence、SAP 还是定制的应用程序,它都可以全面加以保护,而且几分钟内就能上线。

相关产品
主要成果
  • IT 支持员工的效率节省 10 万美元
  • 处理 VPN 相关工单的时间减少 80%
  • 工单量减少 70%
  • 新员工入职每年节省 300 多个工时

作为首席信息官,不用担心同事们在访问基本生产力工具时感到沮丧,这一点令我非常自豪。凭借 Access,我们不必在提高安全性和创造出色的用户体验之间做出取舍。

Juan Rodriguez
首席信息官,Cloudflare

对我们团队的安全性和生产力而言,Cloudflare Access 是一个巨大的胜利。我当然偏心——但是我们搭建 Access 是为了解决自己的挑战,它不仅做到了,还提供了更多。

Evan Johnson
Cloudflare 产品安全经理