Indeed

Indeed 以 Zero Trust 取代 VPN ，实现 IT 和安全现代化

Indeed 是全球第一大招聘网站。Indeed 成立于2004年，总部位于美国德克萨斯州奥斯丁，在北美、亚太和欧洲地区拥有超过 15000 名员工。每月超过 3.5 亿独立访问用户通过 Indeed 搜索工作、发布简历、查找企业信息等。超过 350 万雇主在寻找候选人。Indeed 以易于使用的设计和先进的技术在职位匹配和招聘领域而闻名，为来自 60 多个国家、使用 28 种语言的求职者提供服务。

挑战：实现安全现代化并减少技术债

Indeed 安全团队的首要任务是确保平台数以百万计的雇主和求职者安全访问，并保护敏感的用户数据——如简历、工作经历和个人可识别信息——免遭泄露和盗窃。

Indeed 信息安全、工程和运营团队的高级经理 Matthew Ortiz 表示：“我们有义务成为最好的数据管理者。求职者在寻找工作的脆弱时期来到我们的平台。他们将最宝贵的个人数据托付给我们，依赖我们提供一个安全、高效的环境。”

在处理日常安全问题的同时，Indeed 意识到需要对日益复杂的 IT 生态系统进行现代化改造。这种复杂性导致公司 SaaS 应用、数据中心和云资源的流量管控不一致。这也意味着需要采用向数据中心回传流量的低效做法，并过度依赖基于边界的传统工具，例如本地部署的虚拟专用网络 (VPN)。

Ortiz 说：“我们的技术债务随着公司发展而增加。我们的网络和安全技术栈日益复杂，产生风险并损害生产效率。我们需要简化——复杂性只会带来挑战和漏洞。”

为了实现这些安全和现代化目标，Indeed 选择了 Cloudflare 的全球连通云，以提供安全的任意到任意连接。通过与 Cloudflare 合作，Indeed 启动 IT 生态系统的转型，通过云降低复杂性、提升安全性并实现架构现代化。

用例： 保护 Indeed 求职网站

转型的第一步是对 Indeed 上主要面向公众的网站进行安全性现代化。为实现这一目标，Indeed 在其求职平台上部署了 Cloudflare 的 Web 应用防火墙 (WAF) 和机器人管理功能，以消除威胁并减少欺诈。

Ortiz 说：“欺诈性的职位发布和招聘申请对我们的业务构成了严重的潜在风险，危害用户并侵蚀信任。借助 Cloudflare，我们能够主动预防和缓解此类风险，确保平台上数亿求职者的安全。”

替代传统 VPN 以加速转型

在其后几个月内，Indeed 开始与 Cloudflare 合作，启动了一项长期战略项目，旨在现代化全体员工的连接与安全，并重构员工访问资源的方式。项目的首个阶段专注于替换 Indeed 的传统 VPN，以消除安全隐患并改善用户体验。

Ortiz 说：“我们的传统架构依赖于隐式信任。也就是说，只要员工身处办公室，即可访问超过权限的数据和资源。另外， VPN 可能运行缓慢或增加摩擦，令用户烦恼而关闭连接，从而造成安全盲点。”

为实现访问方式现代化，Indeed 开始启用 Cloudflare，具体而言就是 Zero Trust 网络访问（ZTNA）服务。为了评估该解决方案，Indeed 在几周内逐步向由数百名用户组成的专用测试组推出了 Cloudflare ，这些用户代表不同的设备类型和角色，包括承包商。测试帮助 Indeed 熟悉 Cloudflare 如何融入其现有架构，并保护其关键应用、开发人员环境和其 AWS 基础设施。

仅用 3 个多月，Indeed 就已经完全淘汰了 VPN。这一过程包括迁移数百项原有的访问策略，并在全球范围内为超过 13000 名员工和承包商推出 Cloudflare。如今，Indeed 使用 Terraform 基础设施即代码工具，自动化处理绝大部分日常管理工作，包括新用户接入和新策略配置。

ZTNA 的成效：改善用户体验，降低风险

对于 Cloudflare 访问方式，用户反馈普遍积极。

Ortiz 说：“与 VPN 相比，我们全球各地的用户报告称使用 Cloudflare 后获得了更好、更一致的访问体验。" 他特别指出，这体现在延迟更低、连接更稳定，尤其是在过去使用 VPN 存在问题的地区。

通过使用 Cloudflare 替换 VPN，Indeed 得以遵循Zero Trust 最佳实践，实现基于上下文的访问控制，即采用最小权限和默认拒绝原则，从而有效降低安全风险。

Ortiz 说：“Cloudflare 使我们能够在授予访问权限时更加有针对性，能够基于身份、设备状态、位置和其他变量进行验证。相比传统架构，这种 Zero Trust 方法帮助我们更好地应对风险，显著增强了我们的信心。"

尤其是，Cloudflare 为 Indeed 的安全团队恢复了可见性。在使用 VPN 时，由于服务中断、临时解决方案或其他连接问题，大多数用户无法维持持续稳定的网络连接。使用 Cloudflare 后，Indeed 的用户能够在整个工作时段内始终保持稳定连接。

Ortiz 说：“Cloudflare 帮助我们消除了安全盲点，最终使我们能够更准确地制定访问策略。”

公司高层也能感受到用 Cloudflare ZTNA 取代传统 VPN 的影响。

Indeed 高级副总裁、首席信息官兼首席安全官 Anthony Moisant 表示： “Cloudflare 简化了我们在整个组织实施 Zero Trust 的方式，帮助我们更有效地以更少的努力降低风险。”

识别和缓解生成式 AI 风险

Cloudflare 提供的可见性帮助 Indeed 有效降低了向 AI 工具泄露数据的风险。具体而言，Cloudflare 帮助 Ortiz 及其团队识别员工正在使用的未经授权 AI 应用（即“影子 AI”），并在适当时建立管控机制，防止信息泄露。目前，管控机制包括限制访问未经批准的生成式 AI工具。随着时间推移，将通过数据丢失预防（DLP）扫描对敏感数据进行更精确的检测。

Ortiz 说：“尽管拥有许多合法用户，AI 确实带来了重大安全和隐私问题。Cloudflare 帮助我们找到存在的影子 AI 风险，并阻止未经批准的 AI 应用和聊天机器人。”

未来规划：将更多安全和网络服务迁移至云端

展望未来，Indeed 计划将更多安全控制和网络连接迁移至云端，以持续简化其 IT 架构。Indeed 将持续在不同环境中推广 Zero Trust 原则，已实现其终极目标：全公司范围的 Zero Trust。

尽管该公司近期的重点一直是保护从用户到应用的流量，但计划部署的用例包括对机器到机器工作负载采用基于身份的验证。除了简化访问工作流程外，Indeed 还在探索利用 Cloudflare 通过数据丢失防护（DLP）、云访问安全代理（CASB）以及其他安全访问服务边缘（SASE）能力，以进一步保护数据、保护 SaaS 环境并防御威胁。

回顾与 Cloudflare 迄今为止的合作，Ortiz 表示肯定。

他说： “Cloudflare 为我们合作的所有供应商树立了标杆。通过降低复杂性并全面提升安全性，Cloudflare 正在保护我们最重要的利益相关方的信任 —— 即 Indeed 平台核心的雇主和求职者。”