快出海  > Cloudflare  >  Cloudflare Gateway 随时随地为团队提供保护

Cloudflare Gateway 随时随地为团队提供保护

来源:Cloudflare
作者:Cloudflare
时间:2021-04-20
我们很高兴宣布,Cloudflare Gateway 如今包含能够攻克这些新挑战的两项功能。首先,Cloudflare Gateway 与 Cloudflare WARP 桌面客户端集成。我们的 WARP 围绕 WireGuard 而构建,这是一种新颖且高效的 VPN 协议,比传统 VPN 协议更加有效和灵活。

2020 年 1 月,我们发布了 Cloudflare for Teams,这是一种在不牺牲性能的前提下保护组织及其遍布全球的员工的新方式。Cloudflare for Teams 内含 Cloudflare Access 和 Cloudflare Gateway 这两大和核心产品。

2020 年 3 月,Cloudflare 发布了 Cloudflare Gateway 的首个功能 —— 由全球最快 DNS 解析器提供支持的安全 DNS 过滤解决方案。Gateway 的 DNS 过滤功能通过阻止对可能涉及恶意软件、网络钓鱼或勒索软件等威胁的有害目的地的 DNS 查询来确保用户安全。组织只需更改办公室中的路由器设置,便可确保整个团队的安全,用时只需大约五分钟。

发布后不久,许多公司开始全员撤离办公室。用户联网上线的家庭办公室原本是临时使用,在过去几个月中却变为固定办公地点了。保护用户和数据已从单一办公室级设置,变成需要对成百上千个地点的用户和设备进行管理。

互联网上的安全威胁也已发生改变。网络钓鱼活动和恶意软件攻击在过去六个月里有所抬头。而要检测这些类型的攻击,需要更加深入的探究,不仅仅是 DNS 查询。

我们很高兴宣布,Cloudflare Gateway 如今包含能够攻克这些新挑战的两项功能。首先,Cloudflare Gateway 与 Cloudflare WARP 桌面客户端集成。我们的 WARP 围绕 WireGuard 而构建,这是一种新颖且高效的 VPN 协议,比传统 VPN 协议更加有效和灵活。

其次,Cloudflare Gateway 已变成一种安全 Web 网关并可执行 L7 过滤,能够检查流量中隐匿的威胁。如同我们的 DNS 过滤和 1.1.1.1 解析器一样,奠定这两项功能的基础是我们向全球数百万用户提供 Cloudflare WARP 所得的一切收获。

保护分布式劳动力的安全

我们的客户主要采用分布式劳动力,员工分散在公司办公室和自己的家中。鉴于疫情的关系,这将成为他们在短期内的工作环境。

用户不处于固定的已知位置(例外允许远程工作),这给已经负担繁重的 IT 人员带来了挑战:

  1. VPN 采用全有或全无方法,提供对内部应用程序的远程访问。我们通过 Cloudflare Access 和零信任方法来解决这个问题,为内部应用程序以及现在的 SaaS 应用程序提供安全保护。

  2. VPN 不仅速度慢,成本又高。然而,将流量回传到集中式安全边界一直是实施企业内容与安全策略以保护漫游用户的主要方法。Cloudflare Gateway 因此诞生,为我们的客户解决这一问题。

直到今天,Cloudflare Gateway 一直通过 DNS 过滤为我们的客户提供安全性。尽管这在一定程度上提供了无关应用程序的安全与内容控制,但它依然给客户留下了几个难题:

  1. 客户需要注册将 DNS 查询发送到 Gateway 的所有位置的源 IP 地址,以便可以标识其组织的流量以执行策略。对于具有数百个地点的大型组织,即使算不上棘手,也一定乏味不堪。

  2. DNS 策略相对粗糙,针对各个域采取全有或全方法来执行。例如,组织缺乏相应的能力,无法在允许访问云存储提供商的同时,阻止从已知恶意 URL 下载有害文件。

  3. 注册了 IP 地址的组织频繁使用网络地址转换(NAT)流量,在许多用户之间共享公共 IP 地址。这会导致无法查阅个体用户层面上的 DNS 活动日志。虽然 IT 安全团队能够发现恶意的域被阻止,但他们必须要使用额外的剖析工具才能跟踪可能被入侵的设备。

从今天开始,我们通过将 Cloudflare for Teams 客户端与 L7 云防火墙相结合,使 Cloudflare Gateway 突破安全 DNS 过滤解决方案的局限。客户现在可以抛弃其集中式安全边界内的又一种硬件设备,直接从 Cloudflare 边缘为其用户提供企业级安全性。

保护用户并防止企业数据丢失

由于所有应用程序都利用 DNS 过滤进行互联网通信,因此 DNS 过滤为整个系统乃至网络奠定安全性基础。不过,细化的策略实施以及对流量是否应归类为恶意的可见性是由特定于应用程序的保护来提供的。

如今,我们能够扩展 DNS 过滤所提供的保护了,通过添加一个 L7 防火墙,让我们的客户能够将安全性和内容策略应用于 HTTP 流量。这不仅为管理员提供了一个更好的工具,借助 HTTP 会话内细粒度控件来保护用户,还赋予管理员对策略执行的可见性。同样重要的是,它也让我们的客户更有力地掌控其数据的驻留位置。客户可以通过制定策略,根据文件类型、请求是上传还是下载文件,或者目的地是否为组织的认可云存储提供商来指定是允许还是阻止请求。

通过利用 Cloudflare for Teams 客户端连接到 Cloudflare,企业能够保护其用户的互联网流量,不论这些用户身处何方。此客户端能让用户快速、安全地连接距离最近的 Cloudflare 数据中心,它的基础是全球数百万用户连接互联网的同一 Cloudflare WARP 应用程序。由于客户端在本质上使用了同一 WARP 应用程序,企业可以确信它已经过规模化测试,能够在不牺牲性能的同时提供安全性。Cloudflare WARP 通过利用 WireGuard 连接到 Cloudflare 边缘,以优化网络性能。

因此,企业用户能够获得既安全又性能高的连接,无论他们身在何处,也不需要将网络流量回传到集中式安全边界。通过使用 Cloudflare for Teams 客户端连接到 Cloudflare Gateway,对所有出站互联网流量应用过滤策略来保护企业用户,从而在用户浏览互联网时保护他们并防止丢失公司数据。

Cloudflare Gateway 现在可基于包括如下在内的各种条件来支持 HTTP 流量过滤:

条件示例
URL、路径和/或查询字符串https://www.myurl.com/path?query
HTTP 方法GET、POST,等等
HTTP 响应代码500
文件类型和文件名myfilename.zip
MIME 类型application/zip
URL 安全性或内容类别恶意软件、网络钓鱼、成人内容


若要补充 DNS 过滤策略,IT 管理员现在可以创建 L7 防火墙规则来对 HTTP 流量应用细化的策略。

例如,管理员可能想要允许用户浏览 Reddit 的有用部分,但阻止不需要的部分。

或者,为了预防数据丢失,管理员可能会创建一条规则,允许用户接收来自流行云存储提供商的内容,但禁止他们从企业设备上传特定文件类型。

另一名管理员可能想要防止恶意文件通过 zip 文件下载潜入进来,因而可能会决定通过配置规则来阻止下载压缩文件类型。

使用我们的 DNS 过滤类别来保护内部用户之后,管理员可能想根据完整 URL 的分类来简单地阻止安全威胁。恶意软件有效载荷经常从云存储传播,使用 DNS 过滤,时,管理员必须选择是允许还是拒绝给定存储提供商访问整个域。URL 过滤使管理员能够过滤对恶意软件有效载荷所驻留的确切 URL 的请求,以便客户能够继续发挥所选存储提供商的用处。

而且,由于 Cloudflare for Teams 客户端可以实现所有这些功能,因此具有漫游客户端的分布式工作者不论身在何处,都可以通过与距离最近的 Cloudflare 数据中心的安全连接来获得这种保护。

通过检查 HTTP 流量,我们能够为浏览互联网的团队提供保护,但是非 HTTP 流量呢?今年晚些时候,我们将通过使用 L4 云防火墙添加对 IP、端口和协议过滤的支持来扩展 Cloudflare Gateway。这样,管理员可以将规则应用到所有流向互联网的流量,例如允许出站 SSH 的规则,或决定是否将到达非标准端口的 HTTP 流量发送到 L7 防火墙以进行 HTTP 检查的规则。

发布之后,Cloudflare Gateway 将允许管理员创建策略来过滤组织中所有用户之间的 DNS 和 HTTP 通信。这为安全性奠定了良好的基础。但是,凡事都有例外:一刀切的内容与安全策略实施方法极少能满足所有用户的具体需求。

为解决这个问题,我们正在努力将 Cloudflare Access 与客户现有的身份提供商集成,以支持基于用户和组身份的规则。这将使管理员能够创建细化的规则,利用与用户相关的上下文,例如:

  • 拒绝所有用户访问社交媒体。但是,如果 John Doe 是营销部门的成员,则被允许访问这些网站以履行其职责。

  • 仅允许 Jane Doe 通过 Cloudflare Gateway 连接到特定的 SaaS 应用程序,或者仅允许某一种设备状态。

由于用户不会固定在已知的工作场所,基于身份的策略实施和日志可见性的需求与日俱增。我们通过使用 Cloudflare for Teams 客户端集成身份识别并且随时随地保护用户来满足这种需求。

下一步

人们开办企业不是为了应对信息技术和安全性的细枝末节。他们有着远大的理想,将自己的产品或服务推向全世界,我们希望能够让他们回到正轨为实现理想而奋斗。我们可以帮助消除与实施高级安全工具的难点,这些工具通常是为更大型、更复杂的组织而保留的,我们希望所有团队不论规模大小都可以使用它们。

Cloudflare for Teams 客户端和 L7 防火墙的发布为先进的安全 Web 网关奠定了基础,它将集成防病毒扫描、CASB 和远程浏览器隔离等诸多功能,并且一切都在 Cloudflare 边缘执行。很高兴分享这些信息,揭开我们团队所建设未来的一角 —— 这条道路才刚刚起步。

立即开始使用

这些新功能全部准备就绪,马上供您享用。L7 防火墙通过独立版 Gateway、Teams Standard 和 Teams Enterprise 计划提供。只需注册 Gateway 帐户并完成入门培训,即可开始使用。

立即登录,阅读全文
版权说明

本文内容来自于Cloudflare ,本站不拥有所有权,不承担相关法律责任。文章内容系作者个人观点,不代表快出海对观点赞同或支持。如有侵权,请联系管理员(hj@kchuhai.com)删除!

相关文章
Moobot vs. Gatebot:Cloudflare自动阻止654 Gbps的僵尸网络DDoS攻击
Moobot vs. Gatebot:Cloudflare自动阻止654 Gbps的僵尸网络DDoS攻击
“Moobot”这个名字听起来很可爱,但其实一点都不可爱。根据360Netlab的解释,Moobot是一个基于Mirai的自传播恶意软件的代号,该恶意软件在2019年首次被发现。它使用可远程利用的漏洞或弱默认密码感染IoT(物联网)设备。IoT是一个术语,用于描述智能设备,比如安全中心、摄像机、智能电视、智能音箱、智能灯、传感器,甚至包括了联网冰箱。
Omer Yoachimik
2021-04-26
Cloudflare发布新功能,恶意脚本能够被预警
Cloudflare发布新功能,恶意脚本能够被预警
近期,Cloudflare发布了一项新功能,旨在保护网站免受Magecart和其他基于JavaScript的恶意攻击。
Alpha_h4ck
2021-04-26
Cloudflare架构以及BPF如何占据世界
Cloudflare架构以及BPF如何占据世界
最近,在布拉格Linux网络会议Netdev 0x13上,我做了一个简短的演讲,题目是“Cloudflare上的Linux”。演讲最后主要是关于BPF(柏克莱封包过滤器)的。似乎,不管问题是什么——BPF都是答案。
Marek Majkowski
2021-04-21
终端用户安全:使用 Cloudflare防护帐户盗用
终端用户安全:使用 Cloudflare防护帐户盗用
最终用户的帐户安全始终是头等大事,但也是难以解决的问题。更糟糕的是,验证用户身份并非易事。鉴于泄漏凭据日益泛滥,更先进的自动化爬虫程序在全网发动着凭据填充攻击,保护和监测身份验证端点成为安全团队面临的一个挑战。不但如此,很多身份验证端点依然仅仅依赖于提供正确的用户名和密码,使得恶意攻击者将未被甄别的凭证填充演变为账号盗用。
Michael Tremante
2021-04-21
在Cloudflare Workers上探索WebAssembly AI服务
在Cloudflare Workers上探索WebAssembly AI服务
边缘的AI带来诸多好处。一个是可扩展性——将所有数据发送到集中式云是不切实际的。事实上,一项研究预测,到2025年,全球数十亿物联网设备产生的数据将达到90兆字节。另一个是隐私性——许多用户不愿意将个人数据转移到云上,然而在边缘处理数据会更迅捷。
Guest Author
2021-04-20
扫描关注获取更多 Cloudflare 的相关信息
服务商推荐 更多 >
北京蓝色光标数字传媒科技有限公司
蓝瀚互动
专注于为出海企业提供全套价值链服务,包括海外市场洞察、品牌营销策略、创意设计、广告优化、 账户管理、全球KOL营销、粉丝页运营等一站式整合营销服务,满足出海广告主的多元化需求。
推广
百度国际MediaGo
百度国际MediaGo
百度国际是百度极具战略意义的海外业务发展部门,拥有超过10年的出海经验。旗下出海营销平台MediaGo旨在为全球广告主提供营销整合方案。成立以来,MediaGo不断进化,在磨炼一站式海外营销服务能力的同时,连接Snapchat、Pinterest、Reddit等优质海外平台,成为连接广告主与价值洼地的桥梁。
本地化变现推广
北京易掌云峰科技有限公司
环信即时通讯云
环信,国内领先的即时通讯、在线客服、智能客服机器人提供商。
云服务
iGlobe Advisory Inc.
爱个萝卜本地化 iGlobe
爱个萝卜总部位于加拿大温哥华,为游戏出海提供所有主要语言的母语级本地化翻译,并由专业项目经理为您保驾护航。并可向全球游戏伙伴提供全方位服务,包括目标市场开拓策略,以及各国本地化运营项目监督。
本地化
厦门比朋科技股份有限公司
比朋科技股份
云服务,软件服务,定制开发
云服务外包源码
福建博士通信息有限责任公司
博士通云通讯
福建博士通信息有限责任公司专注于融合短彩信运营、互联网精准投放、语音服务、流量营销、物联网卡等多种专业的通讯能力,为金融、互联网、汽车、物流、教育、游戏、公共服务等多个领域机构提供专业的融合通讯服务和系统平台定制化开发。公司成立于1999年,总部坐落于福州,在北京、上海、深圳、成都、山东等地建立了分公司和办事处。
云服务
扫码登录
打开扫一扫, 关注公众号后即可登录/注册
加载中
二维码已失效 请重试
刷新
账号登录/注册
小程序
公众号
商务合作
投稿采访
出海管家