使用 Cloudflare One 保护 Cloudflare

保护不断增加的混合办公人员

自 2010 年成立以来，Cloudflare 一直优先使用我们自己的服务来解决内部 IT 和安全挑战。这种方法帮助我们在交付给客户之前测试和改进功能，是 Cloudflare 保护公司员工的基础。

As Cloudflare’s attack surfaces grow with the addition of more employees, customers, and technology, we have an obligation to further strengthen our security posture and equip our IT and security teams with strong visibility and control. In response, we’ve built and adopted services from Cloudflare One, our SASE and SSE platform, to secure access to applications, defend against cyber threats, and protect sensitive data.

Cloudflare 拥有超过 3,500 名员工，分布在数十个办公室和远程办公位置。本案例研究探讨了 Cloudflare 如何使用自己的 Cloudflare One 服务在整个组织中保证用户安全和工作高效。

首席安全官 Grant Bourzikas 说：“用我们自己的服务保护 Cloudflare 不仅是保护公司业务的最有效方式，也是为客户创新的最有效方式。我们致力于使用 Cloudflare 保护 Cloudflare，在组织不断发展和壮大的同时，帮助我们的安全团队和服务保持领先。”

安全访问应用程序

Cloudflare follows Zero Trust best practices to secure access to all self-hosted applications for all users, whether remote or in-office. Specifically, we use our own Zero Trust Network Access(ZTNA) service (Cloudflare Access) to verify identity, enforce multi-factor authentication (MFA) with hardware keys, and evaluate device posture for every request. This posture evolved over several years and has enabled Cloudflare to better protect our growing workforce more effectively and advise customers based on our own experiences.

我们的 ZTNA 起源故事：更换 VPN

Cloudflare 对 Zero Trust 的兴趣来源于我们工程师为自己解决的一个实际问题：简化开发人员环境访问，避免使用虚拟专用网 (VPN)。

2015 年，员工远程工作的情况还很少见，他们必须通过内部 VPN 设备回传流量，以访问内部托管的应用程序。VPN 的延迟和无响应让随时待命的工程师尤其感到沮丧，他们不得不在非常规时间登录，将时间紧迫的问题分流。

为了解决自己的痛点，我们的工程师构建了 Cloudflare Access，这最初是一种反向代理服务，通过最近的 Cloudflare 数据中心路由访问请求，而不是通过 VPN 硬件回传。对于每个请求，在浏览器窗口中根据我们的身份提供程序验证用户访问，消除记住 VPN 客户端登录凭据带来的不便和风险。

流畅的身份验证体验促使更多应用自然而然地采用 Access，进一步减少对 VPN 的依赖。工程师一开始使用这个新的身份验证工作流程保护 Grafana，之后用于保护 Atlassian 套件等 Web 应用，最终甚至还用于保护非 HTTP 资源。

疫情期间突然转向远程工作，进一步加速了应用程序向 Access 后方的迁移。到 2020 年夏天，与前一年相比，Cloudflare IT 团队处理 VPN 相关工单的时间减少大约 80%，工单量减少大约 70%，预计每年可节省 10 万美元的时间成本。

In early 2021, Cloudflare’s security team mandated that all internally-hosted applications move behind Access, helping us reduce our attack surface with least privilege, default-deny and identity-based controls. Later that year, Cloudflare had deprecated its VPN entirely, and we have translated our experiences into prescriptive guidance for other organizations.

员工入职和离职也变得更简单。新员工不需要再学习设置 VPN，在 2020 年，为数百名新员工节省了 300 小时以上的时间。相反，配置应用程序访问现在主要是通过 Cloudflare 与基础设施即代码工具 Terraform 的集成自动完成。

安全总监 Derek Pitts 说：“在内部更换 VPN 和采用 Zero Trust 后，我们的同事现在能够以更快、更安全和更简单的方式连接应用，保持工作效率。凭借 ZTNA 服务，Cloudflare 不必在提高安全性和创造出色的用户体验之间做出取舍。”

硬密钥 MFA，以及遏止一起针对性网络钓鱼攻击

自从在内部推出 ZTNA 以来，Cloudflare 就采用了 MFA。最初是使用软密钥 MFA，例如通过短信、电子邮件和应用发送基于时间的一次性密码 (TOTP)。从 2018 年开始，Cloudflare 安全团队开始分发硬密钥，作为特定应用程序的可选身份验证方式。

此 MFA 方式的最大变化始于 2021 年 1 月。当时，针对员工的社会工程学攻击变得越来越频繁，包括冒充 Cloudflare IT 打电话。为此，Cloudflare 开始要求所有应用和用户使用符合 FIDO2 标准的硬密钥身份验证，这是一种更有效防御网络钓鱼的方法。无论是在公司电脑还是个人移动设备上，所有员工现在必须点击他们经过 FIPS 验证的 YubiKey 安全密钥才能访问应用程序，所有其他 MFA 方式都被禁用。此方法还通过 WebAuthn 标准协议利用更强大的加密功能。

这种硬密钥方法在 2022 年 8 月经历了一次考验，当时 Cloudflare 遏止了一起针对性网络钓鱼攻击，而这场攻击成功入侵了其他大型企业。七十六名 Cloudflare 员工收到了看起来合法的短信，但这些短信实际上指向虚假的 Okta 登录页面。威胁行为者将收集到的任何凭据实时输入到身份提供程序的实际登录站点，这样用户就会收到 TOTP 代码。对于依赖 TOTP 代码的组织，一旦员工在虚假登录页面中输入 TOTP，威胁行为者会发起网络钓鱼有效负载来远程控制员工的机器。

即使少数几名 Cloudflare 员工输入了他们的凭据，Cloudflare 的方法也阻止了攻击者控制任何机器。发现攻击后，Cloudflare 进一步采取了几项措施来消除风险：

• 用我们自己的安全 Web 网关 (SWG) 阻止网络钓鱼域名
• Isolated access to all newly registered domains with our remote browser isolation (RBI) service
• 与行业合作伙伴协作，关闭攻击者的基础设施
• 通过 ZTNA 关闭活动会话，重置被泄露的凭据
• 根据我们的活动日志搜索未经过双因素身份验证的身份和设备
• 阻止威胁行为者使用的 IP 访问任何 Cloudflare 服务

总而言之，Cloudflare 的多层安全性（以强力 MFA 作为第一道防线）遏止了这起复杂攻击。

要了解有关本章故事的更多信息，请阅读有关该事件的博客文章和解决方案简要。

扩展设备态势检查

Cloudflare 非常注重使用来自第一方和第三方软件的背景信息，在用户和应用之间扩展设备态势检查。

如今，Cloudflare 的设备客户端通过加密出站连接转发代理流量，并通过我们的移动设备管理器推广到所有企业发放的笔记本电脑。员工也可以使用符合特定安全标准的个人移动设备，包括加入我们的端点管理。现在，企业笔记本电脑需要设备客户端才能访问一些关键内部资源，从个人移动设备访问很快也将需要设备客户端。

Cloudflare 还在所有企业设备上运行 Crowdstrike 的 Falcon 软件以保护端点，同时构建了包含 Crowdstrike 遥测的条件访问政策。具体而言，只有当 Crowdstrike Zero Trust 评估 (ZTA) 分数（一个代表设备实时健康状况的数字）高于最低阈值时才授予访问权限。此 ZTNA 集成只是 Cloudflare 和 Crowdstrike 持续合作的几个方面之一。

总之，Cloudflare 安全团队获得了每个资源的每个访问请求的详细日志记录（甚至是SSH 命令记录）。这种跨越身份和设备的广泛可见性使我们在调查事件时更加灵活。

防御网络威胁

We also deploy Cloudflare One services internally to defend against cyber threats. Examples include using our SWG and RBI to secure Internet browsing and using our email security service to protect inboxes from phishing attacks.

Bourzikas 说：“Cloudflare One 服务通过减少我们的攻击面、减轻基于互联网的威胁、限制横向移动以及防止数据或财务失窃，在整个攻击生命周期内为我们提供保护。在过去几年里，我们构建了 Web 和电子邮件安全层，帮助我们在不断增长的混合员工队伍中实现一致的保护和可见性。”

保护远程用户和办公室的互联网浏览活动

Cloudflare 开始使用自己的 SWG（也称为网关），是因为当时面临与客户一样的挑战：在疫情期间转为远程工作时，保护办公人员免受不断增加的在线威胁。

我们的首要任务是推出 DNS 过滤，根据安全和内容类别阻止用户访问有害或不需要的互联网域名。我们在转向远程工作的一年内，经过以下几个阶段实现了这一目标：

• 针对所有办公室位置的 DNS 过滤。 设置只需几天时间，只需要将 DNS 流量从办公室路由器指向我们的网络即可。这种基于位置的过滤保护少数仍然在现场执行关键业务功能的用户，帮助我们的管理员细调政策配置，且至今仍在使用。
• 部署 Cloudflare 的设备客户端。 通过设备客户端转发代理流量，为特定于用户和设备的安全控制和可见性提供基础，包括加密连接互联网的每个出站连接。
• 针对所有远程用户的 DNS 过滤。 到 2021 年初，Cloudflare 在远程和办公室用户之间建立了一致的 DNS 过滤政策和互联网体验。

目前，Cloudflare 已适应更常规的混合工作，我们的安全团队也受益于转发代理互联网流量实现的额外控制和可见性，包括：

• 精细的 HTTP 控制 ：我们的安全团队检查 HTTPS 流量，以阻止访问安全团队识别为恶意的特定网站，执行病毒扫描，以及应用身份感知浏览政策。
• 选择性隔离互联网浏览 ：在隔离浏览会话中，所有 Web 代码在远离本地设备的 Cloudflare 网络上运行，将用户与任何不可信和恶意内容隔离开来。现在，社交媒体、新闻媒体、个人电子邮件和其他可能有风险的互联网类别均被隔离。例如，新出现的域名归入最后一类。Cloudflare 解析大量 DNS 查询（平均每天超过 20 亿个查询），非常擅长识别需要隔离的内容。
• 基于地理的日志 ：查看出站请求的来源有助于我们的安全团队了解我们工作人员的地理分布，包括高风险地区的员工。

安全总监 Derek Pitts 说：“现在，Cloudflare 可在所有员工之间实现特定于用户和设备的可见性，这帮助我们更全面地评估风险。随着风险状况发展，我们的安全团队会调整我们的互联网浏览控制，确保在对用户生产力影响最小的情况下缓解威胁。”

要了解有关本章故事的更多信息，请阅读我们的博客文章。

使用云电子邮件安全保护收件箱

2020 年初，Cloudflare 遭受的网络钓鱼攻击急剧增加。我们的电子邮件提供商 (Google Workspace) 为其原生 Web 应用程序提供了强大的垃圾邮件过滤功能，但却难以应对高级威胁（例如商业电子邮件入侵 (BEC)）和其他电子邮件访问方式（例如 iOS 移动应用）。而且，随着网络钓鱼数量增加，我们的 IT 团队在人工调查上花费了太多时间，简单攻击大约需要 15-30 分钟，复杂攻击则需要更长时间。

To address this issue, Cloudflare implemented cloud email security – at that time a third-party vendor – alongside Google Workspace. Within 30 days, we blocked 90,000 total attacks, leading to a significant and prolonged drop in phishing emails. Plus, the low false positive rate reduced the time spent on investigations, and security teams benefited from a wider array of insights, including the most-targeted employees.

“In fact, the technology was so effective at launch, that our CEO reached out to our Chief Security Officer to inquire if our email security was broken,” wrote John Graham-Cumming, Cloudflare’s Chief Technology Officer, “Our CEO hadn’t seen any phishing attempts reported by our employees for many weeks, a rare occurrence. It turns out our employees weren’t reporting any phishing attempts, because the technology was catching all phishing attempts before they reached our employee’s inboxes.”

鉴于这些积极体验，2022 年初，Cloudflare 收购了 Area 1，将它与 Cloudflare One 集成，使我们的客户和我们自己能够在多个渠道上采取更主动的安全态势。

例如，电子邮件链接隔离使用 RBI 和电子邮件安全功能，在隔离浏览器中打开潜在可疑的链接。这可以消除恶意代码的风险，以及通过限制键盘输入和复制粘贴等策略，防止用户在网页上采取危险操作。在其他应用程序中，Cloudflare 使用此功能阻止可以逃避典型检测的延迟网络钓鱼攻击，帮助我们的安全团队在调查网络钓鱼事件时保持安全。

安全总监 Derek Pitts 说：“Cloudflare 电子邮件安全将网络钓鱼一网打尽，防止它们到达我们员工的收件箱。电子邮件仍然是最受欢迎的攻击手段之一，它让我感到安心，因为知道我们的服务对于我们要管理的员工而言如此简单有效。”

保护敏感数据

Limiting who can access what apps with Zero Trust policies and defending against phishing and ransomware threats helps Cloudflare prevent data exfiltration. We are further mitigating the risks of data leaks with services like our cloud access security broker (CASB) and data loss prevention (DLP) to detect sensitive data.

• 管理 SaaS 应用中的数据泄露风险 。这包括通过 API（例如 Google Workspace、GitHub 和 Salesforce）在我们的 SaaS 套件中扫描有泄露风险的敏感数据和错误配置，然后根据规范性指导通过 SWG 政策进行补救。
• 检测和控制敏感数据的移动 。这包括专有和受监管数据类别，例如凭据和机密、财务和健康信息。

要了解有关 Cloudflare One 数据保护方法的更多信息，请阅读我们的博客文章。

我们的安全第一文化

上述安全服务的价值取决于实现这些服务所涉及的人员和流程。特别是，我们迄今为止所取得的里程碑都要归功于我们组织的整体安全第一文化，这种文化植根于“安全是每个人工作的一部分”这一原则之中。

例如，Cloudflare 运营着自己的内部全天候安全事件响应团队 (SIRT)，并鼓励所有员工尽早和经常报告可疑活动。这种“看到什么就说什么”的透明方法形成了第一道防线和积极的反馈循环：来自前线的这些报告可以改进我们的方法。领导层预计，超过 90% 的员工向 SIRT 部门提交的报告都是良性的，并接受这个结果，因为当真正的网络攻击发生时（就像 2022 年的针对性网络钓鱼事件一样），及时警报至关重要。此外，这种“不追责”的主动方法适用于报告公司内部部署服务的漏洞，帮助它们变得更强大。

Bourzikas 说：“Cloudflare 安全第一文化让我的工作更简单。我们的员工致力于确保自己拥有最高质量的安全体验，这反过来又帮助我们的团队为客户提供更好的服务。随着我们的 Cloudflare One 平台扩大功能和服务，这一承诺至关重要。”