Cloudflare 如何使用 Cloudflare Access 保护全球团队

现阶段,为了保障无数的个人、企业和整体经济的利益,确保远程员工队伍正常运转变得尤为重要。为此,Cloudflare 于近期启动了一项计划,在 9 月 1 日之前免费提供 Cloudflare for Teams。

下面是一个案例研究,介绍了 Cloudflare 下一代 VPN 替代品——Cloudflare Access 的诞生过程,以及我们如今如何使用它。

在 2015 年,Cloudflare 的身份验证方法和其他许多公司一样,所有内部托管的应用程序都是通过基于硬件的 VPN 访问的。

当我们随叫随到的工程师收到通知时(他们通常是用手机接收通知的),他们会在笔记本电脑上启动一个笨重的客户端,连接到 VPN,然后登录 Grafana。这感觉有点像破解密码锁,头顶上还有一个火警报警器在嘟嘟作响。

vpn 截图

Cloudflare 的一小组工程师开始感到不解:为何一家云网络安全公司会如此依赖笨重的本地硬件?他们认为我们可以做得更好。于是 Cloudflare Access 应运而生。

“自我试用”文化

Cloudflare 打造的许多产品都直接脱胎于我们自己的团队想要克服的挑战,Access 便是一个完美例证。Access 的开发工作最初开始于 2015 年,当时该项目的内部名字是 EdgeAuth。

起初只有一个应用程序支持 Access。在手机上收到通知的工程师可以点击一个链接,通过浏览器进行身份验证后,就可以立即在 Grafana 中访问该提醒的重要详细信息。这比使用旧 VPN 获得的体验要好得多。

Access 还为我们的安全团队解决了各种问题。借助我们选择的身份提供商,我们得以使用 Access 策略在 L7 限制对内部应用程序的访问。在网络层管理访问控制的过程曾经如此繁琐,现在只需在 Cloudflare 仪表板中点击几下鼠标即可轻松实现。

编辑 Access 策略截图

在经历了 Grafana、我们的内部 Atlassian 套件(包括 Jira 和 Wiki)以及数百种其他内部应用程序之后,Access 团队开始设法支持非基于 HTTP 的服务。得益于对 git 的支持,Cloudflare 的开发人员能够以经过充分审核的方式在世界任何地方安全地提交代码。Cloudflare 的安全团队对此十分满意。下面的示例略微改编自一个真实的身份验证事件,该事件是在将代码推送到内部 git 存储库时生成的。

事件截图

不久以后,越来越多的 Cloudflare 内部应用程序支持 Access。一旦人们开始使用新的身份验证流,他们便希望它无处不在。最终,安全团队要求我们将应用迁移到 Access,但其实很久以来,这完全是自发的举动:因为团队都渴望使用 Access。

顺便提一句,这也体现了使用 Access 的好处:可以首先针对最热门的内部工具来保护并简化身份验证流——不需要大规模地推倒重来。许多组织都面临着基于硬件的 VPN 带来的限制,对于这些组织而言,Access 可谓药到病除。只需与 Cloudflare 新用户引导专家进行一次设置方面的通话,即可快速上手(可以在此预约时间)。

事实上,使用 Access 来保护所有应用程序也是有百利而无一害的。

支持全球团队

众所周知,VPN 会影响 Internet 连接,我们使用的 VPN 也不例外。连接内部应用程序时,让所有员工的 Internet 连接都经过一个独立的 VPN 既严重制约了性能,同时也是一个单一故障点。

Cloudflare Access 是一种更为明智的方法。身份验证是在网络边缘进行的,而我们的网络边缘扩展到全球 90 多个国家/地区的 200 个城市。Access 并没有让所有员工通过单台网络设备传输网络流量。与之相反,连接内部应用程序的员工都接入了附近的数据中心。

在我们为分布于全球各地的员工队伍提供支持时,我们的安全团队致力于以最安全实用的身份验证机制保护我们的内部应用程序。

利用 Cloudflare Access,我们能够充分依靠身份提供商强大的双因素身份验证机制,而传统 VPN 要实现这一点非常困难。

加入和退出不再令人忧心忡忡

对于任何公司而言,最棘手的任务之一就是确保每个人都能(并且仅能)访问所需的工具和数据。随着团队规模的扩大,这一挑战变得越发严峻。同样重要的是,在员工和承包商离职后,必须迅速撤销其权限。

对于全球各地的 IT 组织而言,如何管理这些访问控制都是一项艰巨的挑战——当每个员工在不同环境的不同工具中都设置了多个账户时,这个问题就更加令人头疼了。在使用 Access 之前,我们的团队必须投入大量时间来确保没有漏网之鱼。

现在,Cloudflare 的内部应用程序都已受到 Access 的保护,加入和退出变得更加顺畅。每个新员工和承包商很快就能获得所需应用程序的权限,并且可以通过一个启动台来轻松访问这些应用程序。当有人离开团队时,每个应用程序都会进行一次配置更改——无需人工加以判断。

Access 在网络可见性方面同样益处多多。使用 VPN 时,您对用户在网络上的活动知之甚少——您知道他们的用户名和 IP 地址,但仅此而已。如果有人设法进入,您很难追溯他们的脚步。

Cloudflare Access 基于零信任模型,这意味着每个数据包都经过身份验证。这样一来,我们就可以通过 Access 群组将细化的权限分配给员工和承包商。此外,我们的安全团队还能借此检测到我们所有应用程序中的异常活动,并有大量的日志记录为分析提供依据。简而言之,有了 Access,我们对内部应用程序的安全性更加充满信心。

我山之石,可以攻玉

随着许多组织都大规模过渡到远程工作模式,Cloudflare Access 可以让您对内部应用程序的安全性更有信心——同时还能提高远程员工的工作效率。无论您依赖 Jira、Confluence、SAP 还是定制的应用程序,它都可以全面加以保护,而且几分钟内就能上线。

Cloudflare 如何使用 Cloudflare Access 保护全球团队
相关产品
Key Results
  • $100K+ savings in IT support staff productivity
  • 80% reduced time spent servicing VPN related tickets
  • 70% reduction in ticket volume
  • 300+ annual hours of unlocked productivity during new employee onboarding

Cloudflare Access 对我们团队的安全性和生产力一向很有帮助。我当然偏心——但是我们搭建 Access 是为了解决我们自己的挑战,而它不仅全都做到了,并且还有更大能力。

Evan Johnson
Cloudflare 产品安全经理

Cloudflare Access has been a huge win for our team's security and productivity. Of course I'm biased — but we built Access to solve our own challenges, and it's done all that and more.

Evan Johnson
Product Security Manager, Cloudflare