自 2010 年成立以来,Cloudflare 一直优先使用我们自己的服务来解决内部 IT 和安全挑战。这种方法帮助我们在交付给客户之前测试和改进功能,是 Cloudflare 保护公司员工的基础。
随着员工、客户和技术增加,Cloudflare 攻击面也在扩大,我们有义务进一步加强我们的安全态势,为我们的 IT 和安全团队提供强大的可见性和控制力。因此,我们构建并采用 Cloudflare One(我们的 SASE 和 SSE 平台)上的服务,来保护对应用程序的访问,防御网络威胁,保护敏感数据。
Cloudflare 拥有超过 3,500 名员工,分布在数十个办公室和远程办公位置。本案例研究探讨了 Cloudflare 如何使用自己的 Cloudflare One 服务在整个组织中保证用户安全和工作高效。
首席安全官 Grant Bourzikas 说:“用我们自己的服务保护 Cloudflare 不仅是保护公司业务的最有效方式,也是为客户创新的最有效方式。我们致力于使用 Cloudflare 保护 Cloudflare,在组织不断发展和壮大的同时,帮助我们的安全团队和服务保持领先。”
Cloudflare 遵循 Zero Trust 最佳实践,确保远程和办公室内的所有用户都可以安全访问所有自托管应用程序。具体而言,我们使用自己的 Zero Trust 网络访问(ZTNA) 服务 (Cloudflare Access) 验证身份,使用硬件密钥强制实施多因素身份验证 (MFA),以及评估每个请求的设备态势。此态势经过多年发展,使 Cloudflare 可以更好更有效地保护我们不断增加的办公人员,还能根据我们自己的经验为客户提供建议。
Cloudflare 对 Zero Trust 的兴趣来源于我们工程师为自己解决的一个实际问题:简化开发人员环境访问,避免使用虚拟专用网 (VPN)。
2015 年,员工远程工作的情况还很少见,他们必须通过内部 VPN 设备回传流量,以访问内部托管的应用程序。VPN 的延迟和无响应让随时待命的工程师尤其感到沮丧,他们不得不在非常规时间登录,将时间紧迫的问题分流。
为了解决自己的痛点,我们的工程师构建了 Cloudflare Access,这最初是一种反向代理服务,通过最近的 Cloudflare 数据中心路由访问请求,而不是通过 VPN 硬件回传。对于每个请求,在浏览器窗口中根据我们的身份提供程序