One Mount Group

One Mount Group 与 Cloudflare 合作拥抱零信任并“全面上云”。

• VinShop ，一款专注于零售的应用，通过技术实现供应链和库存管理，帮助独立店主业务增长。
• VinID ，一款超级应用程序，也是越南最大的消费者忠诚计划，集支付、住房管理、商品购买和金融服务等多种功能于一体。
• OneHousing ，住房服务一站式服务中心，支持购买，销售，投资和其他房地产相关服务。

挑战：从本地安全设备过渡到基于云的零信任解决方案

从早期开始，One Mount Group 就优先投资于云基础设施和 SaaS 工具。但该公司保留了本地 VPN，以支持对企业资源的远程访问。随着公司发展，远程工作成为常态，这种设备带来的困扰变得难以忽视。

对于 One Mount 的 IT 人员来说，VPN 配置和故障排除非常耗时，而且运行不可靠或很慢，特别是前往 SaaS 应用程序的流量。对特定应用程序或用户组施加控制可能会非常繁琐，以至于管理员有时会授予“所有权限”，导致组织面临横向移动的威胁。

从长远来看，One Mount Group 认识到，必须减少这种过度的信任，并采用默认拒绝的最佳实践，以便组织能更好地接纳远程工作和自带设备（BYOD）模式。

One Mount Group 自创立以来一直使用 Cloudflare 的性能服务来保护其外部 web 资产，该公司发现了通过实施 Cloudflare 零信任平台来将安全性扩展到内部运营的机会。具体而言，这个名为 Cloudflare for Teams 的平台包括一个零信任网络访问解决方案，以保护跨云、本地和 SaaS 环境的应用程序，还包括一个安全 Web 网关解决方案，以保护用户免受互联网上的威胁。

此外，为了方便代码定制，以进一步增强性能和安全性，One Mount 添加了 Cloudflare Workers，它为开发人员提供了一个无服务器执行环境，使他们能够在边缘使用自定义代码创建全新的应用程序，或增强现有应用程序，但不需配置或维护基础设施。

Cloudflare for Teams 确保远程连接的安全，并为 One Mount 提供了零信任的坚实基础

One Mount 通过保护内部基于 web 的应用程序来开始它的零信任之旅，随着时间的推移，它逐步将保护扩大到更多种类和数量的应用程序。最近增加的是，利用 Cloudflare 的正向代理能力来简化对传统资源的身份验证，例如文件共享，这些资源此前只能在 One Mount 的办公室内部的“网络上”访问。

今天，One Mount 为数百名员工、自由职业者和承包商保护数百个应用程序，并预计在短期内完全停止使用 VPN。展望未来，该组织的目标是，通过 Cloudflare 支持的基础设施即代码方法，使保护应用程序所需的几乎全部工作流程自动化。

网络安全总监 Phạm Anh Liêm 表示：“采用零信任是一个非常简单的选择。我们的愿景是成为一家‘全互联网公司’，一切都在云端。我们不想被企业网络边界所限制。因此，Cloudflare 的零信任平台非常适合我们。“

One Mount 特别看重 Cloudflare 同时引入多个身份提供商（IdP）的灵活性。Cloudflare 使构建基于组和身份的策略变得简单明了，与 VPN 繁琐、容易出错的配置过程相比更是如此。

Liêm 说：“Cloudflare 为我们节省了很多时间。每当我们构建一个新的应用程序，基于我们选择的 IdP 添加保护非常简单轻松。”

IdP 集成的灵活性也扩展到与端点保护（EPP）软件的集成。具体来说，One Mount 使用 Cloudflare 与其首选 EPP 提供商的集成来设置设备感知、最低权限访问策略。通过使用这种集成来扩展可见性和安全性，One Mount 能够完全接纳 BYOD。One Mount 计划在 2021 年底之前将 Cloudflare 的设备客户端推广到所有员工端点。

Liêm表示：“有这么多远程工作人员，你不可能信任每一台设备，所以我们需要确保每个进入我们系统的请求都经过正确因素的验证，然后才允许访问。”

One Mount 正通过应用过滤器和扩展对其用户出站连接的可见性，将这种零信任方法扩展到互联网浏览。在使用 Cloudflare 前，用户仅在本地办公室工作时才会受到保护，免受恶意软件和危险互联网目的地的侵害。

Liêm表示：“我们希望员工在任何时间、任何地点都能安全地上网，而不仅仅在公司网络上才如此。”

随着公司发展，One Mount 很高兴能与 Cloudflare 一起扩展其基于云的零信任方法。

“我们是越南首批提供完全公有云托管数字金融服务的公司之一，Cloudflare 是实现我们零信任愿景的关键合作伙伴。”

Cloudflare Workers 使 One Mount 能够通过在边缘运行自定义代码来轻松解决复杂问题。

One Mount 使用 Cloudflare Workers 无服务器平台用于各种用例，包括减轻后端处理负荷、处理不常见但大容量的任务，以及为动态访问控制、动态 IP 允许列表和欺诈检测构建外围安全解决方案。几乎所有这些用例对公司的内部运营都是至关重要的。

Phạm Anh Liêm指出：“Workers 提供了处理我们最困难用例所需的基本元素。这是我们无服务器解决方案的最佳选择。”

One Mount 将 Workers 与 Cloudflare WAF 和 DDoS 缓解集成在一起，以预防特别促销期间的欺诈。例如，One Mount 会举办虚拟促销活动，让数百万用户在短时间内竞争获得促销券或购买限量版产品。通过使用 Workers 来将自定义代码与 WAF 和 DDoS 保护集成起来，One Mount 确保攻击者不能使用自动脚本抢夺促销券或产品，导致合法客户一无所获。

Cloudflare Workers 使 One Mount 能够轻松地利用离最终用户最近的点的处理能力来运行逻辑，然后使用 Cloudflare WAF 来阻止滥用活动——完全不用考虑扩展底层基础设施。如果没有 Workers，One Mount 将很难在不影响用户体验的情况下在后台设计、实施和自动扩展这些保护。

Phạm Anh Liêm 指出：“Workers 让我们的开发人员编写代码并立即看到结果。这大大降低了我们的开发和运营成本，显著改变了我们构建产品的方式。”