使用 Cloudflare One 保護 Cloudflare

保護不斷增加的混合員工

自 2010 年成立以來，Cloudflare 一直優先使用我們自己的服務來解決內部 IT 和安全性挑戰。這種方法可幫助我們在將功能交付給客戶之前進行測試和改進，並且已經成為 Cloudflare 確保自己員工安全的基礎。

隨著更多員工、客戶和技術的加入，Cloudflare 的攻擊面越來越大，我們必須進一步增強安全狀態，並為 IT 和安全團隊提供強大的可見度和控制能力。為此，我們構建並採用了 Cloudflare One（這是我們的 SASE 和 SSE 平台）提供的服務，來保護應用程式存取、抵禦網路威脅和保護敏感性資料。

Cloudflare 擁有 3,500 多名員工，分佈於數十個辦公室與遠端地點。本案例研究將探討 Cloudflare 如何使用我們自己的 Cloudflare One 服務，來確保整個組織的使用者安全高效。

「使用我們自己的服務保護 Cloudflare 是最有效的方式，不僅可以保護我們的業務，還可以為客戶提供創新，」安全長 Grant Bourzikas 說，「我們致力於使用 Cloudflare 保護 Cloudflare，這可在我們組織的雄心和複雜性不斷增長的同時，幫助我們的安全團隊和服務保持領先。」

保護應用程式存取

Cloudflare 遵循 Zero Trust 最佳做法，為所有使用者（無論遠端還是在辦公室）提供對所有自託管應用程式的安全存取。具體而言，我們使用自己的 Zero Trust 網路存取(ZTNA) 服務 (Cloudflare Access) 來驗證身分、使用硬體金鑰強制執行多重要素驗證 (MFA)，以及針對每個要求評估裝置狀態。這種狀態經過數年的發展，讓 Cloudflare 能夠更好更有效地保護我們不斷增加的員工，並根據我們自己的經驗為客戶提供建議。

我們的 ZTNA 起源故事：取代 VPN

Cloudflare 對 Zero Trust 的關注始於我們的工程師為自己解決的一個實際問題：簡化對開發人員環境的存取，省去使用虛擬私人網路 (VPN) 的麻煩。

2015 年，員工遠端工作的情況極為罕見，他們被迫透過內部部署 VPN 設備回傳流量，以存取內部託管的應用程式。VPN 的延遲和無回應尤其讓隨時待命的工程師感到挫敗，他們不得不在非常規工作時段登入，以便分類處理時間敏感的問題。

為了解決自己的痛點，我們的工程師構建了 Cloudflare Access，它最初是一種反向代理服務，透過最近的 Cloudflare 資料中心路由存取要求，而不是透過 VPN 硬體進行回傳。對於每個要求，Access 在瀏覽器視窗中根據我們的身分識別提供者來驗證使用者，讓他們免受記住 VPN 用戶端登入認證的不便和風險。

流暢的驗證體驗推動更多的應用程式自然而然地採用 Access，並進一步減少了對 VPN 的依賴。工程師開始使用這種全新的驗證工作流程保護 Grafana，然後是 Web 應用程式（如我們的 Atlassian 套件），最後甚至是非 HTTP 資源。

在疫情期間突然轉換為遠端工作，加速了應用程式向 Access 後方的這種遷移。截至 2020 年夏季，Cloudflare 的 IT 團隊與前一年相比，在 VPN 相關工單服務上所花費的時間減少了約 80%，工單數量減少了約 70%，預計每年可節省 10 萬美元的時間成本。

2021 年初，Cloudflare 的安全團隊要求所有內部託管的應用程式全部遷移至 Access 後方，透過最低權限、預設拒絕和基於身分的控制幫助我們縮小了攻擊面。同年晚些時候，Cloudflare 完全棄用了 VPN，我們還將自己的經驗轉換為對其他組織的規範指導。

員工入職和離職也變得更簡單了。新員工不必再學習設定 VPN，2020 年，為數百名新僱員節省了 300 個小時以上的時間。相反，透過 Cloudflare 與基礎架構即程式碼工具 Terraform 的整合，現在設定應用程式存取在很大程度上實現了自動化。

「透過在內部取代 VPN 和採用 Zero Trust，我們的同事現在能夠更快、更安全、更輕鬆地連線至應用程式，並保持高效，」安全總監 Derek Pitts 說，「憑藉我們的 ZTNA 服務，Cloudflare 不必在提高安全性和創造出色的使用者體驗之間做出取捨。」

硬體金鑰 MFA 和遏止一起針對性網路釣魚攻擊

自從在內部推出 ZTNA 以來，Cloudflare 採用了 MFA。這段旅程始於允許使用透過文字、電子郵件和應用程式提供的軟體金鑰（如限時一次性密碼 (TOTP)）進行 MFA。從 2018 年開始，Cloudflare 的安全團隊開始發佈硬體金鑰，並允許在特定應用程式中選擇使用它們進行驗證。

這種 MFA 方法的最大變化始於 2021 年 2 月，當時針對員工的社交工程攻擊（包括假冒 Cloudflare IT 的呼叫）變得越來越頻繁了。為此，Cloudflare 開始要求所有應用程式和使用者進行 FIDO2 相容的硬體金鑰驗證，這是一種更強的防網路釣魚攻擊的方法。無論是在企業筆記型電腦上還是個人行動裝置上，所有員工現在必須從 YubiKey 點選其經過 FIPS 驗證的安全金鑰才能存取應用程式，並且其他所有形式的 MFA 都已停用。這種方法還利用了透過 WebAuthn 標準通訊協定的更強大的加密。

這種硬體金鑰方法於 2022 年 8 月經歷了一次考驗，當時 Cloudflare 遏止了一起針對性網路釣魚攻擊，而這場攻擊成功入侵了其他大型企業。76 名 Cloudflare 員工收到了看似合法的簡訊，而這些簡訊將他們指向一個虛假的 Okta 登入頁面。威脅執行者將收集到的任何認證即時輸入到身分識別提供者的實際登入網站，以產生一個傳回給使用者的 TOTP 代碼。對於依賴 TOTP 代碼的組織，在員工將該 TOTP 輸入到虛假的登入頁面後，威脅執行者會啟動一個網路釣魚負載來遠端控制員工的機器。

儘管一些 Cloudflare 員工輸入了認證，但 Cloudflare 的方法防止了攻擊者接管任何機器。在識別該攻擊後，Cloudflare 採取了其他幾項措施來消除風險：

• 使用我們自己的安全 Web 閘道 (SWG) 封鎖了網路釣魚網域
• 使用我們的遠端瀏覽器隔離 (RBI) 服務隔離了對所有新註冊網域的存取
• 與業界合作夥伴協作，關閉了攻擊者的基礎架構
• 透過 ZTNA 強制終止了進行中的工作階段，並重設了遭洩露的認證
• 根據我們的活動記錄，掃描並搜尋未經雙重驗證的身分和裝置
• 阻止威脅執行者使用的 IP 存取任何 Cloudflare 服務

總之，Cloudflare 的多層安全性（強大的 MFA 作為第一道防線）遏止了這起複雜的攻擊。

若要深入瞭解本章故事，請閱讀我們有關該事件的部落格文章和解決方案簡介。

延伸裝置狀態檢查

Cloudflare 非常注重使用來自第一方和第三方軟體的背景資訊，在使用者和應用程式中延伸裝置狀態檢查。

如今，Cloudflare 的裝置用戶端透過加密的輸出連線正向代理流量，並透過我們的行動裝置管理器推向所有企業發放的筆記型電腦。員工也可以使用滿足特定安全準則（包括註冊我們的端點管理）的個人行動裝置。現在，企業筆記型電腦需要裝置用戶端才能存取一些關鍵內部資源，從個人行動裝置存取很快也會需要。

此外，Cloudflare 還在所有企業裝置中執行 Crowdstrike 的 Falcon 軟體來保護端點，並制定納入了 Crowdstrike 遙測的條件式存取原則。具體而言，只有 Crowdstrike 的 Zero Trust 評估 (ZTA) 分數（一個表示裝置即時健康情況的數字）高於最低閾值時，才允許存取資源。這種 ZTNA 整合只是 Cloudflare 和 Crowdstrike 之間持續協作的數個方面之一。

總之，Cloudflare 的安全性已經獲得了對每個資源的每個存取要求的詳細記錄（甚至 SSH 命令記錄）。這種廣泛的身分和裝置可見度可協助我們更靈活地調查事件。

抵禦網路威脅

我們也在內部部署了 Cloudflare One 服務來抵禦網路威脅。例如，使用我們的 SWG 和 RBI 保護網際網路瀏覽，以及使用我們的電子郵件安全服務保護收件匣免遭網路釣魚攻擊。

「Cloudflare One 的服務可透過縮小攻擊面、緩解基於網際網路的威脅、限制橫向移動以及防止資料或財務竊取，在整個攻擊生命週期中為我們提供保護，」Bourzikas 表示，「在過去幾年中，我們對 Web 和電子郵件安全進行了分層，這幫助我們在不斷增加的混合辦公模式員工中實現了一致的保護和可見度。」

保護遠端使用者和辦公室的網際網路瀏覽

Cloudflare 開始使用我們自己的 SWG（也稱為 Gateway）是因為當時面臨著與客戶類似的挑戰：在疫情期間轉向遠端工作後，保護員工免遭越來越多的線上威脅。

我們的首要任務是推出 DNS 篩選，以根據安全性和內容類別阻止使用者存取有害或無用的網際網路網域。我們在轉向遠端工作的一年內，經過以下幾個階段實現了這一目標：

• 針對所有辦公地點的 DNS 篩選。 安裝僅花了幾天時間，只需將 DNS 流量從辦公室路由器指向我們的網路即可。這種基於位置的篩選保護了一小部分仍在現場執行業務關鍵功能的使用者，幫助了我們的管理員微調原則設定，並且現在仍然有效。
• 部署 Cloudflare 的裝置用戶端。 透過裝置用戶端正向代理流量為特定於使用者和裝置的安全控制和可見度（包括加密與網際網路的每個輸出連線）奠定了基礎。
• 針對所有遠端使用者的 DNS 篩選。 到 2021 年初，Cloudflare 已經在遠端和辦公室使用者中建立了一致的 DNS 篩選原則和網際網路體驗。

隨著 Cloudflare 逐漸適應更常規的混合式工作，我們的安全團隊也受益於針對正向代理的網際網路流量增加的控制和可見度，包括：

• 精細化 HTTP 控制 — 我們的安全團隊檢查 HTTPS 流量來封鎖對特定網站（由我們的安全團隊識別為惡意）的存取，執行防病毒掃描並套用身分感知的瀏覽原則。
• 選擇性隔離網際網路瀏覽 — 在隔離的瀏覽工作階段中，所有 Web 程式碼都在遠離本機裝置的 Cloudflare 網路上執行，為使用者清除任何不受信任的惡意內容。被如今，社交媒體、新聞媒體、個人電子郵件和其他可能有風險的網際網路類別都隔離開來。例如，新出現的網域屬於最後一類。Cloudflare 解析大量 DNS 查詢（平均每天超過 20 億次查詢），因此很擅長識別此類網域。
• 基於地理的記錄 — 瞭解輸出要求的來源有助於我們的安全團隊瞭解我們員工的地理分佈，包括我們在高風險地區的服務提供點。

「如今，Cloudflare 對我們的所有員工都可擁有特定於使用者和裝置的可見度，這有助於我們更全面地評估風險，」安全長 Derek Pitts 說，「隨著我們的風險狀況的發展，我們的安全團隊對網際網路瀏覽控制進行了校正，以確保在緩解威脅的同時最大程度降低對使用者生產力的影響。」

若要深入瞭解本章故事，請閱讀我們的部落格文章。

使用雲端電子郵件安全性保護收件匣

2020 年初，Cloudflare 遭受的網路釣魚嘗試激增。我們的電子郵件提供者 (Google Workspace) 的原生 Web 應用程式擁有強大的垃圾郵件篩選功能，但很難應對進階威脅（例如，商業電子郵件入侵 (BEC)）以及其他存取電子郵件的方法（如 iOS 行動應用程式）。此外，隨著網路釣魚數量增加，我們的 IT 團隊在手動調查上花費了太多時間，簡單的攻擊大約需要 15 到 30 分鐘，而更複雜的攻擊則需要更長的時間。

為了解決這個問題，Cloudflare 實施了 Area 1 Email Security（當時是一家第三方廠商）以及 Google Workspace。在 30 天內，Area 1 封鎖了共 90,000 起攻擊，導致網路釣魚電子郵件數量顯著而持續地下降。此外，低誤判率也減少了調查所花費的時間，而安全團隊則受益於更廣泛的深入解析，包括受到攻擊最多的員工。

「實際上，Area 1 的技術在發佈之時相當有效，以至於我們的 CEO 聯繫我們的安全長，詢問我們的電子郵件安全性是否遭到了破壞，」Cloudflare 的技術長 John Graham-Cumming 寫到，「我們的 CEO 已經好幾週沒看到員工報告任何網路釣魚行為了，這種情況十分罕見。事實證明，我們的員工沒有報告任何網路釣魚行為，是因為 Area 1 攔截了所有網路釣魚行為，使其無法到達員工的收件匣。」

鑒於這種積極的體驗，Cloudflare 在 2022 年初收購了 Area 1，並將其與 Cloudflare One 整合，讓我們的客戶和我們自己能夠在多個通道中實現更主動的安全狀態。

例如，電子郵件連結隔離使用 RBI 和電子郵件安全性功能，在隔離的瀏覽器中開啟潛在的可疑連結。這可消除惡意程式碼的風險，並透過限制鍵盤輸入和複製貼上等策略，防止使用者在網頁上採取危險動作。在其他應用程式中，Cloudflare 使用此功能阻止能夠規避一般偵測的延遲網路釣魚攻擊，幫助我們的安全團隊安全在調查網路釣魚事件的同時保持安全。

「Cloudflare 的電子郵件安全服務在網路釣魚行為到達員工的收件匣之前將其攔截，」安全總監 Derek Pitts 說，「電子郵件仍然是最熱門的攻擊手段之一，這讓我感到安心，因為知道我們的服務對於我們要管理的員工而言如此簡單有效。」

保護敏感性資料

使用 Zero Trust 原則限制哪些人員可以存取哪些應用程式，並抵禦網路釣魚和勒索軟體威脅，可幫助 Cloudflare 防止資料外流。我們正在透過雲端存取安全性代理程式 (CASB) 和資料外洩防護 (DLP) 等服務來偵測敏感性資料，進一步降低資料外洩風險。

• 管理 SaaS 應用程式中的資料暴露風險 。這包括透過 API（如 Google Workspace、GitHub 和 Salesforce）掃描 SaaS 套件，來尋找存在外洩風險的敏感性資料和設定錯誤，然後根據規範指導來透過 SWG 原則進行補救
• 偵測並控制敏感性資料的移動 。這包括專屬和受監管的資料類別，如認證和密碼、財務以及健康資訊。

若要深入瞭解 Cloudflare One 的資料保護方法，請閱讀我們的部落格文章。

我們的安全優先文化

前文提及的安全服務具有多大的價值，取決於實施它們的人員和流程。尤其是，我們迄今為止達到的里程碑都要歸功於我們組織安全優先的總體文化，這種文化根植於「安全性是全體員工的責任」這一原則之中。

例如，Cloudflare 營運自有的內部全年無休安全性事件回應團隊 (SIRT)，並鼓勵全體員工盡早並時常報告可疑活動。這種透明的「看見什麼就說什麼」的方法建立了第一道防線和一個正向的意見回饋迴圈：這些來自前線的報告會改進我們的方法。領導層預計，員工向 SIRT 提交的 90% 以上的報告都是良性的，並接受這個結果，因為當真正的網路攻擊發生時（就像 2022 年那起針對性網路釣魚事件一樣），及時的警示至關重要。此外，這種「不究責」的主動方法適用於針對我們自有服務的內部部署來報告錯誤，有助於在這個過程中使其變得更強大。

「Cloudflare 的安全優先文化讓我的工作變得很輕鬆，」Bourzikas 說，「我們的員工致力於確保他們擁有最高品質的安全體驗，而這又有助於我們的團隊為我們的客戶打造更好的服務。隨著我們繼續使用 Cloudflare One 平台擴展功能和服務，這一承諾至關重要。」