Cloudflare One 全新終端安全合作伙伴

　　去年十月，我們釋出了 Cloudflare One，這款綜合的雲端網路即服務解決方案，不僅安全、快速、可靠，還定義了企業網路的未來。Cloudflare One 由兩個元件構成：一是 Magic WAN 和 Magic Transit 等網路服務，用來保護資料中心和分支機構並將其連線到網際網路；二是 Cloudflare for Teams，用來保護公司應用程式和裝置，並在使用者透過網際網路工作時為其保駕護航。今天，我們很高興公佈我們與 VMware Carbon Black、CrowdStrike 和SentinelOne的全新整合，配合我們現有的 Tanium 整合。CloudFlare for Teams 客戶現在可以利用這些整合，根據其裝置發出的安全訊號來限制對其應用程式的訪問。

　　使用 Cloudflare for Teams 保護應用程式

　　COVID-19 疫情爆發以來，許多人開始遠端工作。員工離開了辦公室，但他們所使用的網路和應用程式卻沒有離開。很快，VPN 因為要回傳流量而開始不堪重負，重新配置防火牆也成為 IT 的通宵夢魘。

　　這種情況加快了許多組織採用基於零信任的網路架構的步伐。零信任意味著不信任對公司資源的各個連線請求，對其進行攔截，並且僅在滿足管理員定義的條件時才授予訪問許可權。Cloudflare for Teams 正是這樣做的。用執行於全球 200 多個地點的網路取代傳統 VPN，並且透過身份提供商驗證使用者的身份並交叉檢查對所請求應用程式的許可權。只有當使用者成功透過身份驗證並具有足夠特權時，才會被授予訪問許可權。結果：應用效能因為我們的全球網路而得到提升，而且安全模型仰仗的是身份驗證而非盲目信任。

　　BYOD — Bring Your Own Destruction

　　遠端辦公給公司出了又一個難題。工作與休閒時間之間的界限越來越模糊，使用者開始將各種各樣的裝置用於工作，包括他們的個人裝置。個人裝置或不安全的裝置通常更容易面臨惡意軟體之類的威脅，原因很簡單，它們不在反惡意軟體或更精良的終端安全提供商的保護範圍內。使用不安全的裝置訪問公司電子郵件、將程式碼部署到生產系統或訪問含有敏感資訊的應用程式會帶來風險，並可能導致違反公司的合規性準則，或者更加糟糕，一旦受感染裝置傳播惡意軟體，就會危及整個系統的安全。

　　基於裝置安全的新策略

　　即日起，Cloudflare for Teams 客戶可以配置新的策略，根據終端安全供應商提供的裝置安全指令，允許或拒絕與其應用程式的連線。終端安全、裝置安全、裝置執行狀況或裝置狀態這類詞語本意相同，通常可以互換——它們是指有助於確定特定裝置（例如膝上型電腦或手機）是否安全的一組指令。其中包括各種指令和屬性，例如作業系統版本、上次修補日期、磁碟加密狀態、已安裝應用程式清單、反惡意軟體或端點安全提供商的狀態以及上次掃描惡意軟體的日期。

　　瞭解這些指令，尤其是所有公司發放裝置（也稱為裝置群）所發出的這些指令非常重要，它可以幫助安全和 IT 團隊查詢過時且需要修補的裝置，或者在發生惡意軟體感染並需要補救時進行查詢。使用 Cloudflare for Teams，這些指令也可以用於制定網路訪問決策。例如，要限制非公司發放裝置訪問敏感應用程式，可以建立一個訪問策略，將裝置序列號與公司裝置清單進行比較。只有當序列號匹配時，才授予使用者訪問許可權。

　　我們的 WARP 客戶端已經可以檢查其中某些屬性，例如序列號和裝置位置，並確保使用 WARP 對流量進行加密。利用我們的全新整合，客戶可以先要求裝置執行 CrowdStrike 或 VMware Carbon Black 代理等終端保護平臺，然後再允許該裝置訪問受 Cloudflare 保護的資源，這樣就增加了一道安全屏障。將 WARP 發出的指令與我們合作伙伴的終端安全平臺發出的指令結合在一起，我們就可以確保裝置受到公司許可並且沒有惡意軟體，進而達到安全裝置的標準。