使用Cloudflare for Teams的網際網路安全性

　　隨著時間的流逝，我們使用網際網路的體驗不斷提高。它變得更快，更安全，更可靠。然而，當你工作的時候，你可能不得不使用一個不同的，更糟糕的網路。雖然網際網路變得越來越好，但企業和員工卻被自己的專用網路困住了。

　　在這些網路中，團隊託管了自己的應用程式，儲存了自己的資料，並透過在該私有世界周圍建造城堡和護城河來保護所有資料。該模型將內部管理的資源隱藏在VPN裝置和內部防火牆硬體之後。對於使用者和管理員來說，這種體驗都是糟糕的。儘管網際網路的其餘部分變得更高效，更可靠，但業務使用者卻陷入了另一個困境。

　　這種遺留的方法比團隊想要的更不安全，速度也更慢，但是在企業範圍的一段時間內基本上是有效的。然而，隨著雲交付應用程式的興起，這一切開始土崩瓦解。企業遷移到了SaaS版本的軟體，這些軟體原本是在城堡裡的，就在護城河後面。使用者需要連線到公共網際網路來完成他們的工作，而攻擊者以複雜的、不可預測的方式使網際網路變得不安全——這讓每一家企業都進入了一個充滿無窮風險的新世界。

　　企業安全又是如何應對的呢？他們透過嘗試使用舊解決方案來解決新問題，並迫使網際網路進入僅為私有企業網路設計的裝置。使用者並沒有從SaaS應用程式的速度和可用性中獲益，反而不得不透過傳統裝置來回傳網際網路繫結流量，這些裝置本就使得專用網路陷入了困境。

　　然後，各團隊看到了他們頻寬費用的增加。從分辦公室到網際網路的更多流量使得透過昂貴專用連結的流量也更多。管理員現在必須使用自己的硬體管理專用網路以及使用者的整個網際網路連線。更多的流量需要更多的硬體，這樣的迴圈就變得不可持續了。

　　Cloudflare的第一批產品透過讓客戶（從免費使用者到網際網路上一些最大的財產）用Cloudflare的網路代替該硬體堆疊，從而保護並提高了這些站點的速度。我們能夠以幾乎任何公司都不可能達到的規模提供產能。我們在全球200多個城市部署了資料中心，幫助我們接觸到任何地方的使用者。

　　我們建立了一個獨特的網路，讓網站可以利用自身的發展來擴充套件保護其在網際網路上的基礎設施。但在公司內部，企業及其員工被自己的私人網路困住了。

　　就像我們透過替換盒子（硬體防護措施）來幫助組織保護他們的基礎設施一樣，我們也可以為他們的團隊和資料做同樣的事情。今天，我們宣佈了一個新的平臺，可以應用我們的網路，以及我們所學到的一切，讓網際網路對團隊來說更快更安全。

　　Cloudflare for Teams在不損害使用者效能的前提下保護每個連線，從而保護企業、裝置和資料。我們為基礎架構提供的速度、可靠性和保護已擴充套件到您的團隊在網際網路上所做的一切。

　　企業安全的傳統世界

　　每個組織都有三個需要在網路層上解決的問題：

　　保護團隊成員對內部管理的應用程式的訪問

　　保護團隊成員免受網際網路上的威脅

　　保護同時存在於兩種環境中的公司資料

　　這些挑戰中的每一個都對任何團隊構成了真正的風險。如果任何元件被破壞，整個業務就會變得脆弱。

　　內部管理的應用程式

　　解決第一個問題，即內部管理的應用程式，首先要在這些內部資源周圍建立一個邊界。管理員將應用程式部署在專用網路上，辦公室外的使用者透過駐留在內部的VPN裝置與客戶端VPN代理連線。

　　使用者討厭它，他們現在仍然討厭它，因為它讓他們更難完成工作。一位銷售團隊成員在乘坐計程車前往拜訪客戶時，不得不在手機上啟動一個VPN客戶端，只是為了檢視會議的細節。遠端工作的工程師必須耐心等待，因為他們與開發工具的所有連線都要透過一箇中央VPN裝置回傳。

　　管理員和安全團隊對這個模型也有異議。一旦使用者連線到私有網路，他們通常能夠訪問多個資源，而不需要證明他們是經過授權的。僅僅因為我能夠進入公寓樓的前門，並不意味著我應該能夠進入任何單獨的公寓。但是，在專用網路上，如果要在專用網路的範圍內實施額外的安全性，則必須進行復雜的微分段。

　　網際網路上的威脅

　　第二個挑戰是保護使用者連線到公共網際網路上的SaaS工具和公共雲中的應用程式，這要求安全團隊在使用者離開城堡和護城河時防範已知的威脅和潛在的零日攻擊。

　　大多數公司如何回應？它們透過迫使所有流量離開分辦公室或遠端使用者傳回總部，並使用確保其專用網路安全的相同硬體，嘗試在網際網路（至少是使用者訪問的網際網路）周圍建立邊界。例如，所有離開亞洲分辦公室的網際網路流量，都將透過歐洲的一箇中心位置傳送回來，即使目的地與傳送者就在同一條街上。

　　組織需要這些連線保持穩定，並優先考慮語音和影片等特定功能，因此它們向運營商付費，以支援專用的多協議標籤交換（MPLS）連結。MPLS透過將標籤轉換應用於流量，從而提高了效能，下游路由器可以轉發而不需要執行IP查詢，但其成本高得令人咋舌。

　　保護資料

　　第三個挑戰是保證資料安全，這成了一個不斷變化的目標。在企業網路上的私有工具與SaaS應用程式（例如Salesforce或Office 365）之間遷移和移動資料時，組織必須以一致的方式確保資料安全。

　　解決方案？大抵與之前相同。團隊透過MPLS連結將流量拉回到一個可以檢查資料的地方，增加了更多的延遲，並引入了更多需要維護的硬體。

　　發生了什麼變化？

　　隨著SaaS應用程式成為小企業和《財富》500強企業的新預設應用程式，內部和外部流量的平衡開始發生變化。現在使用者的大部分工作都是在網際網路上完成的，像Office 365這樣的工具還在不斷被採用。隨著這些工具變得越來越流行，越來越多的資料離開了護城河，留存在公共網際網路上。

　　使用者行為也發生了變化。使用者離開辦公室，在多個裝置上工作，包括託管裝置和非託管裝置。各團隊的分佈更加分散，防線被延伸到極限。

　　這導致了傳統方法的失敗

　　企業安全的傳統方法將城堡和護城河模型推得更遠。然而，這種模式不能簡單地擴充套件到今天使用者在網際網路上的工作方式。

　　內部管理的應用程式

　　專用網路使使用者頭疼，但是它們也是需要維護的持續而複雜的工作。VPN需要昂貴的裝置，這些裝置必須升級或擴充套件，並且隨著更多使用者離開辦公室，該裝置必須嘗試擴大規模。

　　其結果是，隨著使用者在使用VPN時遇到了困難，IT諮詢臺的工單積壓，而在公司的另一側，管理員和安全團隊則試圖為此方法貼上“創可貼”。

　　網際網路上的威脅

　　組織最初透過遷移到SaaS工具來節省資金，但隨著時間的推移，隨著流量的增加和頻寬費用的增加，最終會花費更多的錢。

　　此外，威脅在演變。傳送回總部的流量透過使用硬體閘道器的靜態掃描和過濾模型進行保護。使用者仍然容易受到新型別的威脅，而這些內部盒還無法阻止這些威脅。

　　保護資料

　　在這兩個環境中保持資料安全的成本也在增加。安全團隊試圖透過內部硬體對分辦公室的流量進行備份，以檢查網路流量是否存在威脅和資料丟失，這降低了速度並增加了頻寬費用。

　　更危險的是，資料現在永久存在於該城堡和護城河模型之外。組織現在很容易受到繞過它們的邊界和直接針對SaaS應用程式的攻擊。

　　Cloudflare將如何解決這些問題？

　　Cloudflare for Teams包含兩種產品，Cloudflare Access和Cloudflare Gateway。

　　去年，我們推出了 Access，很高興將其引入Cloudflare for Teams。我們構建了Cloudflare Access，以解決企業安全團隊面臨的第一個挑戰：保護內部管理的應用程式。

　　Cloudflare Access用Cloudflare的網路取代了企業VPN。團隊無需將內部工具放置在專用網路上，而是將它們部署在任何環境中（包括混合或多雲模型），並使用Cloudflare的網路對其進行一致的保護。

　　部署訪問不需要暴露公司防火牆中的新漏洞。團隊透過一個安全的出站連線——Argo隧道——連線他們的資源，Argo隧道在您的基礎設施中執行，將應用程式和計算機連線到Cloudflare。該隧道只向Cloudflare網路發出出站呼叫，組織可以用一條規則替換複雜的防火牆規則：禁用所有入站連線。

　　然後，管理員可以建立規則來決定誰應該進行身份驗證並使用Access保護的工具。無論這些資源是支援業務運營的虛擬機器還是Jira或iManage之類的內部Web應用程式，當使用者需要連線時，它們都會首先透過Cloudflare。

　　當使用者需要連線到Access背後的工具時，系統會提示他們透過其團隊的SSO進行身份驗證，並且如果有效，則可以立即連線到應用程式而不會降低速度。內部管理的應用程式突然就會給人感覺像是SaaS產品，其登入體驗是無縫的、熟悉的。

　　在幕後，對這些內部工具的每一個請求首先到達Cloudflare，我們在其中執行基於身份的策略。與傳統的VPN相比，Access會評估對這些應用程式的身份請求並將其記錄到日誌中，從而為管理員提供更多的可見性並提供更高的安全性。

　　全球200個城市的每個Cloudflare資料中心都執行整個身份驗證檢查。無論使用者在哪裡工作，他們都可以更快地連線，而不必將流量傳回家庭辦公室。

　　Access還可以節省管理員的時間。IT團隊無需配置複雜且容易出錯的網路策略，而是構建使用其身份提供者實施身份驗證的策略。安全主管可以控制誰能在一個單一的窗格中訪問內部應用程式，並可以透過一個來源稽核全面的日誌。

　　去年，我們釋出了一些功能，這些功能擴充套件了團隊使用Access的方式，從而可以完全消除其VPN。我們增加了對RDP，SSH的支援，併發布了對替代靜態金鑰的短期證書的支援。然而，團隊也使用不在他們控制的基礎設施中執行的應用程式，比如Box和Office 365這樣的SaaS應用程式。為了解決這個挑戰，我們釋出了一個新產品，Cloudflare Gateway。

　　Cloudflare Gateway透過將首要目的地附近的Cloudflare資料中心作為所有出站流量的中心，來確保團隊的安全。該產品將Cloudflare的全球網路置於使用者和網際網路之間，而不是透過傳統的執行硬體強制聯接網際網路。

　　Cloudflare Gateway的第一個功能是透過將世界上最快的DNS解析器與Cloudflare的威脅情報相結合，防止使用者陷入網路釣魚詐騙或惡意軟體站點。閘道器解析器可以在幾分鐘內部署到辦公網路和使用者裝置。配置完成後，Gateway會主動阻止潛在的惡意軟體和網路釣魚站點，同時還會根據管理員配置的策略應用內容過濾。

　　但是，威脅可以隱藏在其他健康的主機名中。為了保護使用者免受更高階的威脅，Gateway將稽核URL，如果啟用了此功能，則可以在資料包危害裝置或辦公室網路之前檢查資料包以發現潛在的攻擊。然後可以應用相同的深度包檢查來防止意外或惡意的資料匯出。

　　組織可以在兩種模式中新增閘道器的高階威脅預防：

　　透過GRE隧道將辦公網路連線到Cloudflare安全結構；

　　透過將轉發代理客戶端分發到移動裝置。

　　第一個模型是透過Cloudflare Magic Transit交付的，它將為企業提供一種遷移到Gateway的方式，而不會打亂它們當前的工作流程。團隊將透過GRE隧道將流量指向Cloudflare，而不是將辦公室流量回傳到集中的本地硬體。一旦出站流量到達Cloudflare，Gateway就可以應用檔案型別控制，內聯檢查和資料丟失保護，而不會影響連線效能。同時，Magic Transit保護公司IP網路免受入站攻擊。

　　當使用者離開辦公室時，Gateway的客戶端應用程式將提供相同級別的網際網路安全性。來自裝置的每個連線都將首先透過Cloudflare，Gateway可以在Cloudflare中應用威脅預防策略。Cloudflare還可以在不影響使用者體驗的情況下提供這種安全性，它基於WireGuard協議等新技術，並整合了Cloudflare Warp（我們流行的個人轉發代理）的功能。

　　在這兩種環境中，最常見的攻擊媒介之一仍然是瀏覽器。零時差威脅可以透過使用瀏覽器作為執行程式碼的工具來破壞裝置。

　　現有的瀏覽器隔離解決方案試圖透過以下兩種方法之一解決這一挑戰：1）畫素推送和2）DOM重建。這兩種方法都會導致效能和安全性的折衷。畫素推送降低了速度，同時也增加了向使用者傳輸會話的成本。DOM重構嘗試在傳送給使用者之前剝離潛在的有害內容。這種策略依賴於已知的漏洞，並且仍然暴露在隔離工具所要解決的零日威脅之下。

　　Cloudflare Gateway將提供始終線上的瀏覽器隔離，不僅可以保護使用者免受零日威脅，還可以使瀏覽網際網路更快。該解決方案將應用一種專利方法來傳送向量命令，瀏覽器可以在不需要裝置上的代理的情況下呈現這些命令。使用者的瀏覽器會話將在Cloudflare資料中心中執行，閘道器在每個會話結束時銷燬該例項，使惡意軟體遠離使用者裝置，而不會影響效能。

　　在部署後，遠端瀏覽器會話將在Cloudflare的200個資料中心之一執行，將使用者連線到一個更快、更安全的網際網路瀏覽模式，而不會受到傳統方式的影響。如果您想了解更多關於瀏覽器隔離的方法，我建議您閱讀Darren Remington 的關於該主題的部落格文章。

　　為什麼選擇Cloudflare？

　　為了使基礎架構更安全，Web屬性更快，Cloudflare建立了世界上最大，最複雜的網路之一。Cloudflare for Teams建立在相同的平臺上，並具有所有獨特的優勢。

　　快速

　　安全性應該始終與效能捆綁在一起。Cloudflare的基礎設施產品提供了更好的保護，同時也提高了速度。這是可行的，因為我們已經建立了網路，它的分佈和我們擁有的關於網路的資料允許Cloudflare最佳化請求和連線。

　　Cloudflare for Teams透過使用相同的網路和路由最佳化，為終端使用者帶來了同樣的速度。此外，Cloudflare還構建了行業領先的元件，這些元件將成為這個新平臺的功能。所有這些元件都利用Cloudflare的網路和規模來提高使用者效能。

　　Gateway的DNS過濾功能基於Cloudflare的1.1.1.1公共DNS解析器，根據DNSPerf，它是世界上最快的解析器。為了保護整個連線，Cloudflare for Teams將部署與支援Warp相同的技術，Warp是一種新型VPN，具有比競爭對手更好的評價。

　　強大的可擴充套件性

　　Cloudflare的30 TBps網路容量可以擴充套件到滿足幾乎任何企業的需求。客戶可以不再費心購買足夠的硬體來滿足他們組織的需求，而可以用Cloudflare替換它。

　　靠近使用者，無論他們在哪裡——毫不誇張

　　Cloudflare的網路遍佈全球200多個城市和90多個國家，無論使用者在哪裡工作，Cloudflare的安全性和效能都與使用者貼近。

　　該網路覆蓋有全球總部的業務的倫敦和紐約等地，也包括在世界各地傳統上服務不足的地區。

　　Cloudflare的資料中心執行在能夠百毫秒內連線已開發國家99%的網際網路人口的地方，也能夠在百毫秒內連線全球94%的網際網路人口。您的所有終端使用者都應該感到，他們在Cloudflare網路上體驗到的效能就與傳統上只能從公司總部感受到的一樣。

　　管理員更輕鬆

　　當安全產品令人困惑時，團隊會犯一些錯誤，這些錯誤會成為事故。Cloudflare的解決方案簡單明瞭，易於部署。這個市場中的大多數安全提供商都是先構建特性，而從不考慮可用性或實現。

　　Cloudflare Access可以在不到一個小時的時間內完成部署；Gateway功能將構建在控制皮膚和工作流之上。Cloudflare for Teams為新安全使用者、裝置和資料的產品帶來了保護基礎設施的工具的易用性。

　　更好的威脅情報

　　Cloudflare的網路已經保護了2000多萬個網際網路財產，每天攔截720億次網路威脅。我們使用從平均每秒保護1100萬個HTTP請求中收集的威脅資料構建產品。

　　下一步是什麼？

　　Cloudflare Access現在可用。您可以立即開始用 Cloudflare的網路替換您團隊的VPN。Cloudflare Gateway的某些功能現已在Beta版中提供，隨著時間的推移，其他功能將陸續新增進去。您可以註冊以立即收到有關Gateway的通知。（）。