BlockFi

BlockFi 簡化了其安全性堆疊，並實現了對內部資源的可擴展 Zero Trust 遠端存取

BlockFi 的使命是為過去服務不足的市場賦予金融理財能力，並在全球各地擔任傳統金融與區塊鏈科技之間的橋樑。從一般散戶到頂尖避險基金，在世界各地，均有加密貨幣資產擁有者在使用 BlockFi 的利息帳戶、加密貨幣抵押貸款、BlockFi 回饋信用卡和加密貨幣交易平台。

BlockFi 為超過 450,000 名已存入資金的客戶服務，並管理超過 100 億美元的資產（截至 2021 年 6 月 30 日）。其擁有超過 4.5 億美元的股權融資，包括近期在 Bain Capital 領投的 D 輪融資募得的 3.5 億美元。

面臨挑戰：以全方位 Zero Trust 平台取代複雜的網路安全解決方案，但要先阻擋大規模 DDoS 和 API 攻擊

2020 年，為了保護外部 Web 資產以及保護員工免受網路威脅，BlockFi 部署了某家廠商的多項服務。那些解決方案的部署相當複雜，需要多個端點代理程式，且缺乏原生整合的功能來保護應用程式存取。此外，BlockFi 依賴基於 IP 的控制措施，來實現對重要公司資源的遠端存取。在員工將近 1,000 人，且快速擴張、分散於全球情況下，維護這些 IP 封鎖和允許清單相當耗時，也無法擴大規模。

就在 BlockFi 開始尋找替代廠商和做法時，突然同時遭受兩起嚴重的網路攻擊：一起非常大型的 DDoS 攻擊，和一起針對註冊 API 的攻擊。這些攻擊發生在業務大量激增的時期，當時，每週都有近 20,000 名新的散戶在 BlockFi 註冊。

BlockFi 當時缺乏足夠的內部資源自行緩解這些攻擊，因此聯絡了 Cloudflare 尋求協助。資安長 Adam Healy 回憶道：「當 BlockFi 有需要時，我們想到了 Cloudflare。我真的就在早上 6:00 叫醒了我的 Cloudflare 聯絡人。儘管 BlockFi 當時不是 Cloudflare 客戶，他們依然迅速出動了我們需要的一切資源。」

阻止 DDoS 和 API 攻擊後，Cloudflare 與 BlockFi 協力實作可擴充的 Zero Trust 安全性解決方案

Cloudflare 在上線工作階段期間協助 BlockFi 阻止了 DDoS 和 API 攻擊，讓系統運作在 6 小時內恢復正常，省下了「即使沒有數百萬，也有數千美元」的營收損失，並協助緩解在客戶和投資人面前的聲譽損害。

在緩解攻擊的影響後，BlockFi 決定追求更全面的組織網路安全轉型，使用 Cloudflare Zero Trust 平台保護員工和敏感性資料。這個平台包含 Zero Trust 網路存取 (ZTNA) 解決方案，能保護雲端和內部部署環境中的應用程式；還有安全 Web 閘道 (SWG) 解決方案，可提供對勒索軟體、網路釣魚及其他網際網路威脅的防護。

BlockFi 寶貴的內部應用程式，現在全都受到 Cloudflare ZTNA 解決方案保護，其中有兩個應用程式會處理敏感性資料，在 BlockFi 的關鍵任務營運當中，估計佔比達 70%。

網站可靠性首席工程師 Dan Rue 表示：「Cloudflare 為我們提供精細的 Zero Trust 存取控制，能夠在我們的整個分散式環境中掌控內部應用程式，而這對我們的安全狀態是相當大的改善。我們得以完全控制系統輸入，從而提升擴展能力和復原能力。」

Healy 補充：「Cloudflare 的 Zero Trust 服務讓我們得以保護以遠端優先且分散全球各地的工作團隊，以及未對公用網際網路開放的關鍵內部應用程式。」

更簡單的安全性堆疊協助 BlockFi 降低成本並提高生產力，而透過 Cloudflare Workers 進行無伺服器運算和靜態網站代管，也可最佳化開發程序

採用了 Zero Trust 網路存取之後，BlockFi 就不必再使用 IP 封鎖和允許清單，這些清單原先需要四名全職工程師專門維護。而且，如果員工的 IP 位址改變，也時常被迫停下工作，等待 BlockFi 工程師將他們的新 IP 加到允許清單中。現在，員工不論身在何處、使用何種裝置，只要透過 BlockFi 的單一登入 (SSO) 提供者 Okta 登入，都能安全存取資源。

網路安全計畫管理副總裁 Eric Freeman 表示：「我們的工程師不必再維護 IP 封鎖和允許清單，因此他們多出很多時間，能夠專注於推動業務的策略專案，例如增強應用程式。」

BlockFi 發現了改善開發程序的機會，於是還加入了 Cloudflare Workers。此服務為開發人員提供無伺服器執行環境，以及稱為 Cloudflare Pages 的 JAMstack 平台，讓前端開發人員可以迅速部署快速載入的網站。

BlockFi 使用 Cloudflare Workers 將更多應用程式邏輯移到網路邊緣，以提高效能並簡化公司內部架構。BlockFi 開發人員經常使用 Workers 將程式碼片段插入使用 Cloudflare Pages 建置的靜態網站中。相較於重寫網站程式碼，這樣做能夠更快完成變更。之後，BlockFi 預計會更常使用 Workers。

Rue 指出：「Workers 以簡單俐落的方式解決了我們最複雜的使用案例，Cloudflare Pages 則提供了最優秀的靜態網站代管，在使用方面比我們原本的雲端服務提供者要簡單許多。」

BlockFi 在網路邊緣享有縱深防禦

Cloudflare 開箱即用的功能讓 BlockFi 能夠封鎖使用者流量前往惡意網站，從而降低員工在瀏覽網際網路時，受路過式惡意軟體或網路釣魚網站所侵害的風險。尤其對於網路釣魚電子郵件，無論目標是組織中的所有人還是特定目標，BlockFi 都能執行防病毒檢查，並使用威脅類別篩選器來防止解析有風險的連結。

BlockFi 在採用 Cloudflare Zero Trust 平台時，同時部署了 Cloudflare 機器人管理解決方案，並獲得了立竿見影的成果。光是在部署的第一天，機器人管理就封鎖了約 1000 萬個惡意機器人進入 BlockFi 網站。除了確保這些惡意流量沒有降低網站效能之外，這也保護 BlockFi 遠離認證填充和其他企圖盜用使用者登入認證的機器人。

Freeman 解釋道：「Cloudflare 保護我們的員工遠離網路釣魚連結、認證填充及登入認證會面臨的其他攻擊，帶來在縱深防禦當中至關重要的終端使用者保護。」

從 ZTNA、DDoS 防護到惡意機器人防護，Cloudflare 解決方案都與 BlockFi 的資料環境緊密交織，並有效建構出了該公司的網路邊緣。

Healy 表示：「Cloudflare 就是我們的邊緣，保護我們的整個雲端環境。我們的邊界很安全，而且我們擁有充足的韌性，能夠視需要足夠快速地擴展到足夠大的規模。」

Rue 補充：「Cloudflare 對我們安全擴展的能力而言十分重要，也與我們的其他堆疊相當契合。儘管我們與 Cloudflare 的整合已經很廣泛，但這只是剛開始。在我們眾多的潛在使用案例中，Cloudflare 都是首選工具。」