One Mount Group

One Mount Group 与 Cloudflare 合作拥抱零信任并“全面上云”。

  • VinShop ,一款专注于零售的应用,通过技术实现供应链和库存管理,帮助独立店主业务增长。
  • VinID ,一款超级应用程序,也是越南最大的消费者忠诚计划,集支付、住房管理、商品购买和金融服务等多种功能于一体。
  • OneHousing ,住房服务一站式服务中心,支持购买,销售,投资和其他房地产相关服务。
挑战:从本地安全设备过渡到基于云的零信任解决方案

从早期开始,One Mount Group 就优先投资于云基础设施和 SaaS 工具。但该公司保留了本地 VPN,以支持对企业资源的远程访问。随着公司发展,远程工作成为常态,这种设备带来的困扰变得难以忽视。

对于 One Mount 的 IT 人员来说,VPN 配置和故障排除非常耗时,而且运行不可靠或很慢,特别是前往 SaaS 应用程序的流量。对特定应用程序或用户组施加控制可能会非常繁琐,以至于管理员有时会授予“所有权限”,导致组织面临横向移动的威胁。

从长远来看,One Mount Group 认识到,必须减少这种过度的信任,并采用默认拒绝的最佳实践,以便组织能更好地接纳远程工作和自带设备(BYOD)模式。

One Mount Group 自创立以来一直使用 Cloudflare 的性能服务来保护其外部 web 资产,该公司发现了通过实施 Cloudflare 零信任平台来将安全性扩展到内部运营的机会。具体而言,这个名为 Cloudflare for Teams 的平台包括一个零信任网络访问解决方案,以保护跨云、本地和 SaaS 环境的应用程序,还包括一个安全 Web 网关解决方案,以保护用户免受互联网上的威胁。

此外,为了方便代码定制,以进一步增强性能和安全性,One Mount 添加了 Cloudflare Workers,它为开发人员提供了一个无服务器执行环境,使他们能够在边缘使用自定义代码创建全新的应用程序,或增强现有应用程序,但不需配置或维护基础设施。

Cloudflare for Teams 确保远程连接的安全,并为 One Mount 提供了零信任的坚实基础

One Mount 通过保护内部基于 web 的应用程序来开始它的零信任之旅,随着时间的推移,它逐步将保护扩大到更多种类和数量的应用程序。最近增加的是,利用 Cloudflare 的正向代理能力来简化对传统资源的身份验证,例如文件共享,这些资源此前只能在 One Mount 的办公室内部的“网络上”访问。

今天,One Mount 为数百名员工、自由职业者和承包商保护数百个应用程序,并预计在短期内完全停止使用 VPN。展望未来,该组织的目标是,通过 Cloudflare 支持的基础设施即代码方法,使保护应用程序所需的几乎全部工作流程自动化。

网络安全总监 Phạm Anh Liêm 表示:“采用零信任是一个非常简单的选择。我们的愿景是成为一家‘全互联网公司’,一切都在云端。我们不想被企业网络边界所限制。因此,Cloudflare 的零信任平台非常适合我们。“

One Mount 特别看重 Cloudflare 同时引入多个身份提供商(IdP)的灵活性。Cloudflare 使构建基于组和身份的策略变得简单明了,与 VPN 繁琐、容易出错的配置过程相比更是如此。

Liêm 说:“Cloudflare 为我们节省了很多时间。每当我们构建一个新的应用程序,基于我们选择的 IdP 添加保护非常简单轻松。”

IdP 集成的灵活性也扩展到与端点保护(EPP)软件的集成。具体来说,One Mount 使用 Cloudflare 与其首选 EPP 提供商的集成来设置设备感知、最低权限访问策略。通过使用这种集成来扩展可见性和安全性,One Mount 能够完全接纳 BYOD。One Mount 计划在 2021 年底之前将 Cloudflare 的设备客户端推广到所有员工端点。

Liêm表示:“有这么多远程工作人员,你不可能信任每一台设备,所以我们需要确保每个进入我们系统的请求都经过正确因素的验证,然后才允许访问。”

One Mount 正通过应用过滤器和扩展对其用户出站连接的可见性,将这种零信任方法扩展到互联网浏览。在使用 Cloudflare 前,用户仅在本地办公室工作时才会受到保护,免受恶意软件和危险互联网目的地的侵害。

Liêm表示:“我们希望员工在任何时间、任何地点都能安全地上网,而不仅仅在公司网络上才如此。”

随着公司发展,One Mount 很高兴能与 Cloudflare 一起扩展其基于云的零信任方法。

“我们是越南首批提供完全公有云托管数字金融服务的公司之一,Cloudflare 是实现我们零信任愿景的关键合作伙伴。”

Cloudflare Workers 使 One Mount 能够通过在边缘运行自定义代码来轻松解决复杂问题。

One Mount 使用 Cloudflare Workers 无服务器平台用于各种用例,包括减轻后端处理负荷、处理不常见但大容量的任务,以及为动态访问控制、动态 IP 允许列表和欺诈检测构建外围安全解决方案。几乎所有这些用例对公司的内部运营都是至关重要的。

Phạm Anh Liêm指出:“Workers 提供了处理我们最困难用例所需的基本元素。这是我们无服务器解决方案的最佳选择。”

One Mount 将 Workers 与 Cloudflare WAF 和 DDoS 缓解集成在一起,以预防特别促销期间的欺诈。例如,One Mount 会举办虚拟促销活动,让数百万用户在短时间内竞争获得促销券或购买限量版产品。通过使用 Workers 来将自定义代码与 WAF 和 DDoS 保护集成起来,One Mount 确保攻击者不能使用自动脚本抢夺促销券或产品,导致合法客户一无所获。

Cloudflare Workers 使 One Mount 能够轻松地利用离最终用户最近的点的处理能力来运行逻辑,然后使用 Cloudflare WAF 来阻止滥用活动——完全不用考虑扩展底层基础设施。如果没有 Workers,One Mount 将很难在不影响用户体验的情况下在后台设计、实施和自动扩展这些保护。

Phạm Anh Liêm 指出:“Workers 让我们的开发人员编写代码并立即看到结果。这大大降低了我们的开发和运营成本,显著改变了我们构建产品的方式。”

One Mount Group
Related Case Studies
Related Products
Key Results
  • One Mount 员工现在可以安全地访问数百个内部应用程序。

  • 无论员工身在何处,他们都能免受来自互联网的威胁。

  • Cloudflare Workers 显著降低了开发和运营成本,同时让 One Mount 能够解决复杂的问题。

采用零信任是非常简单的选择。我们想成为一家“全互联网公司”,一切都在云端。我们不想被企业网络边界所限制。因此,Cloudflare 的零信任平台非常适合我们。

Phạm Anh Liêm
网络安全总监

我们是越南首批提供完全公有云托管数字金融服务的公司之一,Cloudflare 是实现我们零信任愿景的关键合作伙伴。

Phạm Anh Liêm
网络安全总监