自 2010 年成立以来,Cloudflare 一直优先使用我们自己的服务来解决内部 IT 和安全挑战。这种方法帮助我们在交付给客户之前测试和改进功能,是 Cloudflare 保护公司员工的基础。
随着员工、客户和技术增加,Cloudflare 攻击面也在扩大,我们有义务进一步加强我们的安全态势,为我们的 IT 和安全团队提供强大的可见性和控制力。因此,我们构建并采用 Cloudflare One(我们的 SASE 和 SSE 平台)上的服务,来保护对应用程序的访问,防御网络威胁,保护敏感数据。
Cloudflare 拥有超过 3,500 名员工,分布在数十个办公室和远程办公位置。本案例研究探讨了 Cloudflare 如何使用自己的 Cloudflare One 服务在整个组织中保证用户安全和工作高效。
首席安全官 Grant Bourzikas 说:“用我们自己的服务保护 Cloudflare 不仅是保护公司业务的最有效方式,也是为客户创新的最有效方式。我们致力于使用 Cloudflare 保护 Cloudflare,在组织不断发展和壮大的同时,帮助我们的安全团队和服务保持领先。”
Cloudflare 遵循 Zero Trust 最佳实践,确保远程和办公室内的所有用户都可以安全访问所有自托管应用程序。具体而言,我们使用自己的 Zero Trust 网络访问(ZTNA) 服务 (Cloudflare Access) 验证身份,使用硬件密钥强制实施多因素身份验证 (MFA),以及评估每个请求的设备态势。此态势经过多年发展,使 Cloudflare 可以更好更有效地保护我们不断增加的办公人员,还能根据我们自己的经验为客户提供建议。
Cloudflare 对 Zero Trust 的兴趣来源于我们工程师为自己解决的一个实际问题:简化开发人员环境访问,避免使用虚拟专用网 (VPN)。
2015 年,员工远程工作的情况还很少见,他们必须通过内部 VPN 设备回传流量,以访问内部托管的应用程序。VPN 的延迟和无响应让随时待命的工程师尤其感到沮丧,他们不得不在非常规时间登录,将时间紧迫的问题分流。
为了解决自己的痛点,我们的工程师构建了 Cloudflare Access,这最初是一种反向代理服务,通过最近的 Cloudflare 数据中心路由访问请求,而不是通过 VPN 硬件回传。对于每个请求,在浏览器窗口中根据我们的身份提供 程序验证用户访问,消除记住 VPN 客户端登录凭据带来的不便和风险。
流畅的身份验证体验促使更多应用自然而然地采用 Access,进一步减少对 VPN 的依赖。工程师一开始使用这个新的身份验证工作流程保护 Grafana,之后用于保护 Atlassian 套件等 Web 应用,最终甚至还用于保护非 HTTP 资源。
疫情期间突然转向远程工作,进一步加速了应用程序向 Access 后方的迁移。到 2020 年夏天,与前一年相比,Cloudflare IT 团队处理 VPN 相关工单的时间减少大约 80%,工单量减少大约 70%,预计每年可节省 10 万美元的时间成本。
2021 年初,Cloudflare 安全团队将所有内部托管应用程序强制迁移到 Access 后方,通过最小权限、默认拒绝和基于身份的控制,帮助我们减少攻击面。同年晚些时候,Cloudflare 完全弃用 VPN,并将我们的经验变成对其他组织的规范性指导。
员工入职和离职也变得更简单。新员工不需要再学习设置 VPN,在 2020 年,为数百名新员工节省了 300 小时以上的时间。相反,配置应用程序访问现在主要是通过 Cloudflare 与基础设施即代码工具 Terraform 的集成自动完成。
安全总监 Derek Pitts 说:“在内部更换 VPN 和采用 Zero Trust 后,我们的同事现在能够以更快、更安全和更简单的方式连接应用,保持工作效率。凭借 ZTNA 服务,Cloudflare 不必在提高安全性和创造出色的用户体验之间做出取舍。”
自从在内部推出 ZTNA 以来,Cloudflare 就采用了 MFA。最初是使用软密钥 MFA,例如通过短信、电子邮件和应用发送基于时间的一次性密码 (TOTP)。从 2018 年开始,Cloudflare 安全团队开始分发硬密钥,作为特定应用程序的可选身份验证方式。
此 MFA 方式的最大变化始于 2021 年 1 月。当时,针对员工的社会工程学攻击变得越来越频繁,包括冒充 Cloudflare IT 打电话。为此,Cloudflare 开始要求所有应用和用户使用符合 FIDO2 标准的硬密钥身份验证,这是一种更有效防御网络钓鱼的方法。无论是在公司电脑还是个人移动设备上,所有员工现在必须点击他们经过 FIPS 验证的 YubiKey 安全密钥才能访问应用程序,所有其他 MFA 方式都被禁用。此方法还通过 WebAuthn 标准协议利用更强大的加密功能。
这种硬密钥方法在 2022 年 8 月经历了一次考验,当时 Cloudflare 遏止了一起针对性网络钓鱼攻击,而这场攻击成功入侵了其他大型企业。七十六名 Cloudflare 员工收到了看起来合法的短信,但这些短信实际上指向虚假的 Okta 登录页面。威胁行为者将收集到的任何凭据实时输入到身份提供程序的实际登录站点,这样用户就会收到 TOTP 代码。对于依赖 TOTP 代码的组织,一旦员工在虚假登录页面中输入 TOTP,威胁行为者会发起网络钓鱼有效负载来远程控制员工的机器。
即使少数几名 Cloudflare 员工输入了他们的凭据,Cloudflare 的方法也阻止了攻击者控制任何机器。发现攻击后,Cloudflare 进一步采取了几项措施来消除风险:
总而言之,Cloudflare 的多层安全性(以强力 MFA 作为第一道防线)遏止了这起复杂攻击。
要了解有关本章故事的更多信息,请阅读有关该事件的博客文章和解决方案简要。
Cloudflare 非常注重使用来自第一方和第三方软件的背景信息,在用户和应用之间扩展设备态势检查。
如今,Cloudflare 的设备客户端通过加密出站连接转发代理流量,并通过我们的移动设备管理器推广到所有企业发放的笔记本电脑。员工也可以使用符合特定安全标准的个人移动设备,包括加入我们的端点管理。现在,企业笔记本电脑需要设备客户端才能访问一些关键内部资源,从个人移动设备访问很快也将需要设备客户端。
Cloudflare 还在所有企业设备上运行 Crowdstrike 的 Falcon 软件以保护端点,同时构建了包含 Crowdstrike 遥测的条件 访问政策。具体而言,只有当 Crowdstrike Zero Trust 评估 (ZTA) 分数(一个代表设备实时健康状况的数字)高于最低阈值时才授予访问权限。此 ZTNA 集成只是 Cloudflare 和 Crowdstrike 持续合作的几个方面之一。
总之,Cloudflare 安全团队获得了每个资源的每个访问请求的详细日志记录(甚至是SSH 命令记录)。这种跨越身份和设备的广泛可见性使我们在调查事件时更加灵活。
我们还在内部部署 Cloudflare One 服务来防御网络威胁。例如,使用我们的 SWG 和 RBI 保护互联网浏览,使用我们的电子邮件安全服务防止收件箱受到网络钓鱼攻击。
Bourzikas 说:“Cloudflare One 服务通过减少我们的攻击面、减轻基于互联网的威胁、限制横向移动以及防止数据或财务失窃,在整个攻击生命周期内为我们提供保护。在过去几年里,我们构建了 Web 和电子邮件安全层,帮助我们在不断增长的混合员工队伍中实现一致的保护和可见性。”
Cloudflare 开始使用自己的 SWG(也称为网关),是因为当时面临与客户一样的挑战:在疫情期间转为远程工作时,保护办公人员免受不断增加的在线威胁。
我们的首要任务是推出 DNS 过滤,根据安全和内容类别阻止用户访问有害或不需要的互联网域名。我们在转向远程工作的一年内,经过以下几个阶段实现了这一目标:
目前,Cloudflare 已适应更常规的混合工作,我们的安全团队也受益于转发代理互联网流量实现的额外控制和可见性,包括:
安全总监 Derek Pitts 说:“现在,Cloudflare 可在所有员工之间实现特定于用户和设备的可见性,这帮助我们更全 面地评估风险。随着风险状况发展,我们的安全团队会调整我们的互联网浏览控制,确保在对用户生产力影响最小的情况下缓解威胁。”
要了解有关本章故事的更多信息,请阅读我们的博客文章。
2020 年初,Cloudflare 遭受的网络钓鱼攻击急剧增加。我们的电子邮件提供商 (Google Workspace) 为其原生 Web 应用程序提供了强大的垃圾邮件过滤功能,但却难以应对高级威胁(例如商业电子邮件入侵 (BEC))和其他电子邮件访问方式(例如 iOS 移动应用)。而且,随着网络钓鱼数量增加,我们的 IT 团队在人工调查上花费了太多时间,简单攻击大约需要 15-30 分钟,复杂攻击则需要更长时间。
为解决此问题,除了 Google Workspace 以外,Cloudflare 还实施了 Area 1 Email Security(当时是第三方供应商)。在 30 天内,Area 1 总共拦截 90,000 次攻击,网络钓鱼电子邮件的数量出现显著和持续下降。此外,低误报率减少了花在调查上的时间,安全团队可以获得更广泛的洞察,包括遭受攻击最多的员工。
Cloudflare 首席技术官写道:“事实上,Area 1 的技术在启用后非常有效,以至于我们的 CEO 联系我们的首席安全官,询问我们的电子邮件安全是不是受到破坏了。我们的 CEO 已经好几个星期没有看到员工报告网络钓鱼行为,这是一种罕见的情况。我们的员工之所以没有报告任何网络钓鱼行为,原因在于, Area 1 将所有网络钓鱼尝试都拦截了,无一能够到达员工收件箱。”
鉴于 这些积极体验,2022 年初,Cloudflare 收购了 Area 1,将它与 Cloudflare One 集成,使我们的客户和我们自己能够在多个渠道上采取更主动的安全态势。
例如,电子邮件链接隔离使用 RBI 和电子邮件安全功能,在隔离浏览器中打开潜在可疑的链接。这可以消除恶意代码的风险,以及通过限制键盘输入和复制粘贴等策略,防止用户在网页上采取危险操作。在其他应用程序中,Cloudflare 使用此功能阻止可以逃避典型检测的延迟网络钓鱼攻击,帮助我们的安全团队在调查网络钓鱼事件时保持安全。
安全总监 Derek Pitts 说:“Cloudflare 电子邮件安全将网络钓鱼一网打尽,防止它们到达我们员工的收件箱。电子邮件仍然是最受欢迎的攻击手段之一,它让我感到安心,因为知道我们的服务对于我们要管理的员工而言如此简单有效。”
使用 Zero Trust 政策限制谁可以访问什么应用,防御网络钓鱼和勒索软件威胁,这有助于 Cloudflare 防止数据泄露。我们使用我们的云访问安全代理 (CASB) 和数据丢失防护 (DLP) 等服务检测敏感数据,进一步减轻数据泄露风险。
要了解有关 Cloudflare One 数据保护方法的更多信息,请阅读我们的博客文章。
上述安全服务的价值取决于实现这些服务所涉及的人员和流程。特别是,我们迄今为止所取得的里程碑都要归功于我们组织的整体安全第一文化,这种文化植根于“安全是每个人工作的一部分”这一原则之中。
例如,Cloudflare 运营着自己的内部全天候安全事件响应团队 (SIRT),并鼓励所有员工尽早和经常报告可疑活动。这种“看到什么就说什么”的透明方法形成了第一道防线和积极的反馈循环:来自前线的这些报告可以改进我们的方法。领导层预计,超过 90% 的员工向 SIRT 部门提交的报告都是良性的,并接受这个结果,因为当真正的网络攻击发生时(就像 2022 年的针对性网络钓鱼事件一样),及时警报至关重要。此外,这种“不追责”的主动方法适用于报告公司内部部署服务的漏洞,帮助它们变得更强大。
Bourzikas 说:“Cloudflare 安全第一文化让我的工作更简单。我们的员工致力于确保自己拥有最高质量的安全体验,这反过来又帮助我们的团队为客户提供更好的服务。随着我们的 Cloudflare One 平台扩大功能和服务,这一承诺至关重要。”
在超过 3,300 名员工和 14 个办公室位置之间实现 Zero Trust 访问控制、威胁防御和基于身份的可见性
弃用 VPN 每年为新员工和 IT 人员节省 300 个小时的上线时间
在强制采用 Zero Trust 网络访问的第一年,处理 VPN 相关工单的时间减少大约 80%,工单量减少大约 70%,预计每年可节省 10 万美元的时间成本
在实施云电子邮件安全服务的前 30 天内,总共拦截 90,000 次网络钓鱼攻击
“用我们自己的服务保护 Cloudflare 不仅是保护我们业务的最有效方式,也是为客户创新的最有效方式。我们致力于使用 Cloudflare 保护 Cloudflare,在组织不断发展和壮大的同时,帮助我们的安全团队和服务保持领先。”
Grant Bourzikas
首席安全官
“Cloudflare One 服务通过减少我们的攻击面、减轻基于互联网的威胁、限制横向移动以及防止数据或财务失窃,在整个攻击生命周期内为我们提供保护。”
Grant Bourzikas
首席安全官