2020 年 1 月,我们发布了 Cloudflare for Teams,这是一种在不牺牲性能的前提下保护组织及其遍布全球的员工的新方式。Cloudflare for Teams 内含 Cloudflare Access 和 Cloudflare Gateway 这两大和核心产品。
2020 年 3 月,Cloudflare 发布了 Cloudflare Gateway 的首个功能 —— 由全球最快 DNS 解析器提供支持的安全 DNS 过滤解决方案。Gateway 的 DNS 过滤功能通过阻止对可能涉及恶意软件、网络钓鱼或勒索软件等威胁的有害目的地的 DNS 查询来确保用户安全。组织只需更改办公室中的路由器设置,便可确保整个团队的安全,用时只需大约五分钟。
直到今天,Cloudflare Gateway 一直通过 DNS 过滤为我们的客户提供安全性。尽管这在一定程度上提供了无关应用程序的安全与内容控制,但它依然给客户留下了几个难题:
客户需要注册将 DNS 查询发送到 Gateway 的所有位置的源 IP 地址,以便可以标识其组织的流量以执行策略。对于具有数百个地点的大型组织,即使算不上棘手,也一定乏味不堪。
DNS 策略相对粗糙,针对各个域采取全有或全方法来执行。例如,组织缺乏相应的能力,无法在允许访问云存储提供商的同时,阻止从已知恶意 URL 下载有害文件。
注册了 IP 地址的组织频繁使用网络地址转换(NAT)流量,在许多用户之间共享公共 IP 地址。这会导致无法查阅个体用户层面上的 DNS 活动日志。虽然 IT 安全团队能够发现恶意的域被阻止,但他们必须要使用额外的剖析工具才能跟踪可能被入侵的设备。
从今天开始,我们通过将 Cloudflare for Teams 客户端与 L7 云防火墙相结合,使 Cloudflare Gateway 突破安全 DNS 过滤解决方案的局限。客户现在可以抛弃其集中式安全边界内的又一种硬件设备,直接从 Cloudflare 边缘为其用户提供企业级安全性。
保护用户并防止企业数据丢失
由于所有应用程序都利用 DNS 过滤进行互联网通信,因此 DNS 过滤为整个系统乃至网络奠定安全性基础。不过,细化的策略实施以及对流量是否应归类为恶意的可见性是由特定于应用程序的保护来提供的。
如今,我们能够扩展 DNS 过滤所提供的保护了,通过添加一个 L7 防火墙,让我们的客户能够将安全性和内容策略应用于 HTTP 流量。这不仅为管理员提供了一个更好的工具,借助 HTTP 会话内细粒度控件来保护用户,还赋予管理员对策略执行的可见性。同样重要的是,它也让我们的客户更有力地掌控其数据的驻留位置。客户可以通过制定策略,根据文件类型、请求是上传还是下载文件,或者目的地是否为组织的认可云存储提供商来指定是允许还是阻止请求。
通过利用 Cloudflare for Teams 客户端连接到 Cloudflare,企业能够保护其用户的互联网流量,不论这些用户身处何方。此客户端能让用户快速、安全地连接距离最近的 Cloudflare 数据中心,它的基础是全球数百万用户连接互联网的同一 Cloudflare WARP 应用程序。由于客户端在本质上使用了同一 WARP 应用程序,企业可以确信它已经过规模化测试,能够在不牺牲性能的同时提供安全性。Cloudflare WARP 通过利用 WireGuard 连接到 Cloudflare 边缘,以优化网络性能。
因此,企业用户能够获得既安全又性能高的连接,无论他们身在何处,也不需要将网络流量回传到集中式安全边界。通过使用 Cloudflare for Teams 客户端连接到 Cloudflare Gateway,对所有出站互联网流量应用过滤策略来保护企业用户,从而在用户浏览互联网时保护他们并防止丢失公司数据。
另一名管理员可能想要防止恶意文件通过 zip 文件下载潜入进来,因而可能会决定通过配置规则来阻止下载压缩文件类型。
使用我们的 DNS 过滤类别来保护内部用户之后,管理员可能想根据完整 URL 的分类来简单地阻止安全威胁。恶意软件有效载荷经常从云存储传播,使用 DNS 过滤,时,管理员必须选择是允许还是拒绝给定存储提供商访问整个域。URL 过滤使管理员能够过滤对恶意软件有效载荷所驻留的确切 URL 的请求,以便客户能够继续发挥所选存储提供商的用处。
而且,由于 Cloudflare for Teams 客户端可以实现所有这些功能,因此具有漫游客户端的分布式工作者不论身在何处,都可以通过与距离最近的 Cloudflare 数据中心的安全连接来获得这种保护。
发表于 2021-1-22 20:59:51
