Desde a nossa fundação em 2010, a Cloudflare priorizou o uso de nossos próprios serviços para resolver nossos desafios internos de TI e segurança. Essa abordagem nos ajuda a testar e melhorar os recursos antes de enviá-los aos clientes e tem sido fundamental na forma como a Cloudflare protege nossa própria força de trabalho.
À medida que as superfícies de ataque da Cloudflare crescem com a adição de mais funcionários, clientes e tecnologia, temos a obrigação de fortalecer ainda mais nossa postura de segurança e equipar nossas equipes de TI e segurança com forte visibilidade e controle. Em resposta, criamos e adotamos os serviços do Cloudflare One, nossa plataforma SASE e SSE, para proteger o acesso a aplicativos, nos defender contra ameaças cibernéticas e proteger dados confidenciais.
A Cloudflare abrange mais de 3.500 pessoas em dezenas de escritórios e locais remotos. Este estudo de caso explora como a Cloudflare usa nossos próprios serviços do Cloudflare One para manter os usuários seguros e produtivos em toda a organização.
“Proteger a Cloudflare com nossos próprios serviços é a maneira mais eficaz não apenas de proteger nossa empresa, mas também de inovar para nossos clientes”, afirma Grant Bourzikas, Chief Security Officer. “Nosso compromisso de proteger a Cloudflare com a Cloudflare ajuda nossa equipe e serviços de segurança a permanecerem à frente da curva à medida que nossa organização continua a crescer em ambição e complexidade.”
A Cloudflare segue as práticas recomendadas de Zero Trust para proteger o acesso a todos os aplicativos auto-hospedados para todos os usuários, estejam eles remotos ou no escritório. Especificamente, usamos nosso próprio serviço acesso à rede Zero Trust (ZTNA) (Cloudflare Access) para verificar a identidade, aplicar a autenticação multifator (MFA) com chaves de hardware e avaliar a postura do dispositivo para cada solicitação. Essa postura evoluiu ao longo de vários anos e permitiu à Cloudflare proteger melhor nossa crescente força de trabalho de forma mais eficaz e aconselhar os clientes com base em nossas próprias experiências.
O interesse da Cloudflare no Zero Trust começou com um problema prático que nossos engenheiros resolveram sozinhos: simplificar o acesso aos ambientes de desenvolvedores sem o incômodo de uma Rede Privada Virtual (VPN).
Em 2015, nas raras ocasiões em que os funcionários trabalharam remotamente, foram forçados a fazer backhaul do tráfego através de um dispositivo de VPN no local para alcançar aplicativos hospedados internamente. A latência e a falta de resposta da VPN frustraram particularmente os engenheiros de plantão, que tiveram que fazer login em horários estranhos para fazer a triagem de problemas urgentes.
Para resolver seus próprios problemas, nossos engenheiros criaram o Cloudflare Access, que começou como um serviço de proxy reverso que roteava solicitações de acesso por meio do data center da Cloudflare mais próximo, em vez de fazer backhaul por meio de hardware de VPN. Para cada solicitação, o Access verificava os usuários com base em nosso provedor de identidade em uma janela do navegador, livrando-os da inconveniência e dos riscos de lembrar as credenciais de login do cliente VPN.
A experiência de autenticação tranquila impulsionou a adoção orgânica do Access para mais aplicativos e reduziu ainda mais a dependência da VPN. Os engenheiros começaram protegendo o Grafana com esse novo fluxo de trabalho de autenticação, seguido por aplicativos web, como nosso pacote Atlassian e, finalmente, até mesmo por recursos não HTTP.
A transição repentina para o trabalho remoto durante a pandemia apenas acelerou a migração de aplicativos para trás do Access. No verão de 2020, as equipes de TI da Cloudflare alcançaram uma redução de aproximadamente 80% no tempo gasto no atendimento de tickets relacionados a VPNs e uma redução de aproximadamente 70% no volume de tickets em comparação com o ano anterior, resultando em uma economia de tempo estimada em US$ 100 mil anualmente.
No início de 2021, a equipe de segurança da Cloudflare determinou que todos os aplicativos hospedados internamente fossem transferidos para trás do Access, ajudando-nos a reduzir nossa superfície de ataque com controles de menos privilégios, negação padrão e baseados em identidade. Mais tarde naquele ano, a Cloudflare descontinuou totalmente sua VPN e traduzimos nossas experiências em orientações prescritivas para outras organizações.
A integração e a demissão de funcionários também ficaram mais simples. Os novos funcionários não precisam mais aprender a configurar uma VPN, economizando mais de 300 horas anuais para as centenas de novas contratações em 2020. Em vez disso, a configuração do acesso aos aplicativos agora é amplamente automatizada por meio da integração da Cloudflare com a ferramenta de infraestrutura como código Terraform.
“Ao substituir nossa VPN e adotar o Zero Trust internamente, nossos colegas agora têm uma maneira mais rápida, segura e simples de se conectar a aplicativos e permanecer produtivos”, afirma Derek Pitts, Director of Security. “Com nosso serviço ZTNA, a Cloudflare não precisa fazer nenhuma escolha entre aprimorar a segurança ou criar uma experiência do usuário incrível.”
Desde a implementação interna do ZTNA, a Cloudflare adotou o MFA. A jornada começou permitindo o MFA com chaves de software, como senhas de uso único baseadas em tempo (TOTPs), entregues por texto, e-mail e aplicativos. A partir de 2018, a equipe de segurança da Cloudflare começou a distribuir chaves de hardware e a permiti-las como uma forma opcional de autenticação em aplicativos específicos.
A maior mudança nesta abordagem de MFA começou em fevereiro de 2021, quando os ataques de engenharia social contra funcionários, incluindo chamadas que se faziam passar pela TI da Cloudflare, se tornaram mais frequentes. Em resposta, a Cloudflare começou a exigir autenticação de chaves de hardware compatíveis com FIDO2 para todos os aplicativos e usuários, uma abordagem mais resistente ao phishing. Seja em laptops corporativos ou em dispositivos móveis pessoais, todos os funcionários devem agora acessar sua chave de segurança validada pelo FIPS do YubiKey para acessar um aplicativo, e todas as outras formas de MFA foram desativadas. Este método também aproveita uma criptografia mais forte por meio do protocolo padrão WebAuthn.
Essa abordagem fundamental foi posta à prova em agosto de 2022, quando a Cloudflare frustrou um ataque de phishing direcionado que violou com sucesso outras grandes empresas. Setenta e seis funcionários da Cloudflare receberam textos aparentemente legítimos que levaram a uma página de login falsa do Okta. Os agentes da ameaça inseriam quaisquer credenciais coletadas no site de login real do provedor de identidade em tempo real para solicitar um código TOTP de volta ao usuário. Para organizações que dependiam de códigos TOTP, assim que um funcionário inserisse esse TOTP na página de login falsa, os agentes da ameaça iniciavam um conteúdo de phishing para controlar remotamente a máquina do funcionário.
Embora alguns funcionários da Cloudflare tenham inserido suas credenciais, a abordagem da Cloudflare evitou que os invasores assumissem o controle de qualquer máquina. Depois de identificar o ataque, a Cloudflare tomou várias medidas adicionais para neutralizar o risco:
Ao todo, as múltiplas camadas de segurança da Cloudflare, com uma forte MFA como primeira linha de defesa, frustraram esse ataque sofisticado.
Para saber mais sobre este capítulo da história, leia nosso post no blog e o resumo da solução sobre o incidente.
A Cloudflare tem um forte foco em ampliar as verificações de postura do dispositivo entre usuários e aplicativos, usando contexto de software próprio e de terceiros.
Hoje, o cliente de dispositivo da Cloudflare encaminha o tráfego de proxies por meio de conexões de saída criptografadas e é implementadopor meio de nosso gerenciador de dispositivos móveis para todos os notebooks corporativos. Os funcionários também podem usar dispositivos móveis pessoais que atendam a determinados critérios de segurança, incluindo a inscrição em nosso gerenciamento de endpoints. O dispositivo cliente agora é necessário para acessar alguns recursos internos críticos para notebooks corporativos e em breve será necessário para acesso a partir de dispositivos móveis pessoais.
A Cloudflare também executa o software Falcon da Crowdstrike para proteção de endpoints em todos os dispositivos corporativos e cria políticas de acesso condicional que incorporam a telemetria da Crowdstrike. Especificamente, o acesso aos recursos só é concedido se a pontuação Zero Trust Assessment (ZTA) da Crowdstrike, um número que representa a integridade de um dispositivo em tempo real, estiver acima de um limite mínimo. Esta integração ZTNA é apenas uma das várias facetas da colaboração contínua entre a Cloudflare e a Crowdstrike.
De modo geral, a segurança da Cloudflare obtém registros detalhados em todas as solicitações de acesso a todos os recursos (até mesmo registros de comandos SSH). Essa ampla visibilidade entre identidades e dispositivos nos ajuda a investigar incidentes com maior agilidade.
Também implantamos os serviços do Cloudflare One internamente para defesa contra ameaças cibernéticas. Os exemplos incluem o uso de nosso SWG e RBI para proteger a navegação na internet e o uso de nosso serviço de segurança de e-mail para proteger caixas de entrada contra ataques de phishing.
“Os serviços do Cloudflare One nos protegem durante todo o ciclo de vida do ataque, reduzindo nossa superfície de ataque, mitigando ameaças baseadas na internet, restringindo movimentos laterais e evitando roubo de dados ou financeiros”, afirma Bourzikas. “Implementar nossa segurança da web e de e-mail nos últimos anos nos ajudou a obter proteções consistentes e visibilidade em nossa crescente força de trabalho híbrida.”
A Cloudflare começou a usar nosso próprio SWG (também conhecido como Gateway) quando enfrentou um desafio semelhante ao de nossos clientes: proteger uma força de trabalho contra um aumento nas ameaças on-line após mudar para o trabalho remoto durante a pandemia.
Nossa primeira prioridade foi implementar a filtragem de DNS para impedir que os usuários acessassem domínios prejudiciais ou indesejados da internet com base em categorias de segurança e conteúdo, o que foi alcançado nas seguintes fases, um ano após a mudança para o trabalho remoto:
À medida que a Cloudflare se estabeleceu em um trabalho híbrido mais rotineiro, nossas equipes de segurança se beneficiaram de controles e visibilidade adicionais para o tráfego de internet com proxy direto, incluindo:
“Hoje, a Cloudflare tem visibilidade específica de usuários e dispositivos para todos os nossos funcionários, o que nos ajuda a avaliar nossos riscos de forma mais abrangente”, afirma Derek Pitts, Director of Security. “À medida que nosso perfil de risco evolui, nossas equipes de segurança calibram nossos controles de navegação na internet para garantir que as ameaças sejam mitigadas com impacto mínimo na produtividade do usuário.”
Para saber mais sobre este capítulo da história, leia nosso post no blog.
No início de 2020, a Cloudflare sofreu um aumento nas tentativas de phishing. Nosso provedor de e-mail (Google Workspace) era forte na filtragem de spam para seu aplicativo web nativo, mas enfrentava ameaças avançadas, como comprometimento de e-mail empresarial (BEC) e outros métodos de acesso a e-mail, como um aplicativo móvel iOS. Além disso, à medida que o volume de phishing aumentava, as nossas equipas de TI gastavam demasiado tempo em investigações manuais, cerca de 15 a 30 minutos para ataques simples, e ainda mais tempo para ataques mais sofisticados.
Para resolver esse problema, a Cloudflare implementou o Area 1 Email Security, na época um fornecedor terceirizado, junto com o Google Workspace. Em 30 dias, o Area 1 bloqueou 90.000 ataques no total, levando a uma queda significativa e prolongada nos e-mails de phishing. Além disso, a baixa taxa de falsos positivos reduziu o tempo gasto em investigações, e as equipes de segurança se beneficiaram de uma gama mais ampla de insights, incluindo os funcionários mais visados.
“Na verdade, a tecnologia do Area 1 foi tão eficaz no lançamento, que nosso CEO procurou nosso Chief Security Officer para perguntar se nossa segurança de e-mail estava quebrada”, escreveu John Graham-Cumming, CTO da Cloudflare, “Nosso CEO não tinha visto tentativas de phishing relatadas por nossos funcionários durante muitas semanas, uma ocorrência rara. Acontece que nossos funcionários não relataram nenhuma tentativa de phishing, porque o Area 1 detectou todas as tentativas de phishing antes que elas chegassem às caixas de entrada de nossos funcionários.”
Diante dessa experiência positiva, a Cloudflare adquiriu o Area 1 no início de 2022 e o integrou ao Cloudflare One, permitindo que nossos clientes e nós mesmos adotássemos uma postura de segurança mais proativa em vários canais.
Por exemplo, o isolamento de link de e-mail usa RBI e funcionalidade de segurança de e-mail para abrir links potencialmente suspeitos em um navegador isolado. Isso neutraliza o código malicioso e evita que os usuários realizem ações arriscadas na página web por meio de táticas como restringir entradas do teclado e copiar e colar. Entre outras aplicações, a Cloudflare usa essa funcionalidade para impedir ataques de phishing diferidos que evitam detecções típicas, ajudando a manter nossas equipes de segurança seguras enquanto investigam incidentes de phishing.
“A segurança de e-mail da Cloudflare detecta tentativas de phishing antes que elas cheguem às caixas de entrada de nossos funcionários”, afirma Derek Pitts, Director of Security. “O e-mail continua a ser um dos vetores de ataque mais populares e fico tranquilo sabendo que nosso serviço é tão eficaz e simples de ser gerenciado por nossa equipe.”
Limitar quem pode acessar quais aplicativos com políticas Zero Trust e defender-se contra ameaças de phishing e ransomware ajuda a Cloudflare a evitar a exfiltração de dados. Mitigamos ainda mais os riscos de vazamento de dados com serviços como nosso agente de segurança de acesso à nuvem (CASB) e prevenção contra perda de dados (DLP) para detectar dados confidenciais.
Para saber mais sobre a abordagem do Cloudflare One para proteção de dados, leia nosso post no blog.
Os serviços de segurança mencionados anteriormente são tão valiosos quanto as pessoas e os processos envolvidos na sua implementação. Em particular, os marcos que atingimos até agora são um crédito para a cultura geral de segurança em primeiro lugar da nossa organização, que está enraizada no princípio de que “a segurança faz parte do trabalho de todos”.
Por exemplo, a Cloudflare opera sua própria equipe interna de resposta a incidentes de segurança (SIRT) 24 horas por dia, 7 dias por semana e incentiva todos os funcionários a relatar atividades suspeitas com antecedência e frequência. Esta abordagem transparente de “ver algo, dizer algo” cria uma primeira linha de defesa e um ciclo de feedback positivo: estes relatórios provenientes da linha da frente melhoram a nossa abordagem. A liderança aceita e espera que mais de 90% dos relatórios dos funcionários ao SIRT se revelem benignos, porque quando ocorrem ataques cibernéticos reais, como aconteceu com o incidente de phishing direcionado de 2022, alertas oportunos são essenciais. Além disso, esta abordagem proativa “isenta de culpa” aplica-se à comunicação de erros na implementação interna dos nossos próprios serviços, ajudando a fortalecê-los no processo.
“A cultura de segurança em primeiro lugar da Cloudflare facilita meu trabalho”, diz Bourzikas. “Nossos funcionários investem para garantir experiências de segurança da mais alta qualidade, o que, por sua vez, ajuda nossas equipes a criar melhores serviços para nossos clientes. Esse compromisso é fundamental à medida que continuamos a ampliar recursos e serviços com nossa plataforma Cloudflare One.”
Controles de acesso Zero Trust, proteções de defesa contra ameaças e visibilidade baseada em identidade entre mais de 3.300 funcionários e 14 escritórios
A descontinuação da VPN economizou 300 horas anuais na integração de novas contratações e equipes de TI
No primeiro ano de adoção obrigatória do acesso à rede Zero Trust, houve uma redução de aproximadamente 80% no tempo gasto no atendimento de tickets relacionados a VPN e uma redução de aproximadamente 70% no volume de tickets, resultando em economia de tempo estimada em US$ 100 mil anuais
Bloqueou 90.000 ataques de phishing no total nos primeiros 30 dias após a implementação do serviço de segurança de e-mail em nuvem
“Proteger a Cloudflare com nossos próprios serviços é a maneira mais eficaz não apenas de proteger nossa empresa, mas também de inovar para nossos clientes Nosso compromisso de proteger a Cloudflare com a Cloudflare ajuda nossa equipe e serviços de segurança a permanecerem à frente da curva à medida que nossa organização continua a crescer em ambição e complexidade.”
Grant Bourzikas
Diretor de segurança
“Os serviços do Cloudflare One nos defendem durante todo o ciclo de vida do ataque, reduzindo nossa superfície de ataque, mitigando ameaças baseadas na internet, restringindo movimentos laterais e evitando roubo de dados ou financeiros.”
Grant Bourzikas
Diretor de segurança