Cloudflare Gateway 随时随地为团队提供保护-ESG跨境

Cloudflare Gateway 随时随地为团队提供保护

2022-04-28

1035

Cloudflare Gateway 随时随地为团队提供保护Cloudflare Gateway随时随地保护团队。2020年1月，我们发布了Cloudflare for Teams，这是一种在不牺牲性能的情况下保护全球组织及其员工的新方法。Cloudflare for Teams包括两个主要的核心产品:Cloudfla......

Cloudflare Gateway 随时随地为团队提供保护

Cloudflare Gateway随时随地保护团队。

2020年1月，我们发布了Cloudflare for Teams，这是一种在不牺牲性能的情况下保护全球组织及其员工的新方法。Cloudflare for Teams包括两个主要的核心产品:Cloudflare Access和Cloudflare Gateway。

2020年3月，Cloudflare发布了Cloudflare Gateway的首个功能——由全球最快的DNS解析器支持的安全DNS过滤解决方案。Gateway的DNS过滤功能通过阻止对有害目的地的DNS查询来确保用户的安全，这些有害目的地可能涉及恶意软件、网络钓鱼或勒索软件等威胁。组织只需要改变办公室的路由器设置，就可以保证整个团队的安全，只需要五分钟左右。

发布后不久，许多公司开始疏散他们的办公室。用户在线的家庭办公室最初是临时使用的，但在过去的几个月里已经成为固定的办公地点。用户和数据的保护已经从单一的办公室级别的设置转变为数百个位置的用户和设备的管理。

互联网上的安全威胁也发生了变化。在过去六个月中，网络钓鱼活动和恶意软件攻击有所增加。为了检测这些类型的攻击，我们需要更深入的探索，而不仅仅是DNS查询。

我们很高兴地宣布，Cloudflare Gateway现在包含两个可以克服这些新挑战的功能。首先，Cloudflare Gateway与Cloudflare WARP桌面客户端相集成。我们的WARP是围绕WireGuard构建的，wire guard是一种新颖高效的VPN协议，比传统的VPN协议更有效、更灵活。

其次，Cloudflare Gateway已经成为一个安全的Web网关，可以执行L7过滤来检查流量中隐藏的威胁。就像我们的DNS过滤器和1.1.1.1解析器一样，提供这两个功能的基础是我们通过向全球数百万用户提供Cloudflare WARP所获得的一切。

保护分散劳动力的安全

我们的客户主要使用分布式劳动力，员工分散在公司办公室和自己家里。鉴于疫情，短期内这将成为他们的工作环境。

用户不在固定和已知的位置(例外情况允许远程工作)，这给已经不堪重负的IT人员带来了挑战:

采用VPN全有或全无方法来提供对内部应用程序的远程访问。我们通过Cloudflare访问和零信任方法解决了这个问题，为内部应用和现在的SaaS应用提供了安全保护。

VPN不仅慢，而且贵。然而，将流量返回到集中式安全边界一直是实现企业内容和安全策略以保护漫游用户的主要方法。云网关的诞生就是为了给我们的客户解决这个问题。

直到今天，Cloudflare Gateway一直通过DNS过滤为我们的客户提供安全性。尽管这在一定程度上为不相关的应用程序提供了安全性和内容控制，但它仍然给客户留下了几个问题:

客户需要注册DNS查询发国际快递网关的所有位置的源IP地址，以便他们可以识别其组织的流量来实施策略。对于一个拥有数百个地点的大型组织来说，如果不是很困难，也一定很无聊。

DNS政策比较粗糙，每个域都采用全包或全包的方法。例如，组织无法允许访问云存储提供商，同时阻止从已知恶意URL下载有害文件。

拥有注册IP地址的组织经常使用网络地址转换(NAT)流量在许多用户之间共享公共IP地址。这将导致无法在个人用户级别查询DNS活动日志。虽然IT安全团队可以发现恶意域被阻止，但他们必须使用额外的分析工具来跟踪可能被入侵的设备。

从今天开始，我们将通过将Cloudflare for Teams客户端与L7云防火墙相结合，使Cloudflare Gateway突破安全DNS过滤解决方案的限制。现在，客户可以放弃其集中式安全边界内的另一个硬件设备，直接从Cloudflare边缘为其用户提供企业级安全性。

保护用户并防止企业数据丢失。

由于所有应用程序都使用DNS过滤进行互联网通信，因此DNS过滤为整个系统甚至网络基础奠定了安全性。但是，特定于应用程序的保护提供了详细的策略实施和流量是否应归类为恶意流量的可见性。

现在，我们可以扩展DNS过滤提供的保护。通过添加L7防火墙，我们的客户可以对HTTP流量应用安全和内容策略。这不仅为管理员提供了一个更好的工具，可以借助HTTP会话中的细粒度控制来保护用户，还可以让管理员了解策略的实现。同样重要的是，它还让我们的客户能够更好地控制数据的存放位置。客户可以通过制定策略来指定是根据文件类型允许还是阻止请求，请求是上传还是下载文件，或者目的地是否是组织批准的云存储提供商。

通过Cloudflare for Teams客户端连接到Cloudflare，企业可以保护其用户的互联网流量，无论他们身在何处。该客户端使用户能够快速安全地连接到最近的Cloudflare数据中心，其基础与全球数百万用户连接到互联网的Cloudflare WARP应用程序相同。由于客户端本质上使用相同的WARP应用程序，企业可以确信它已经过大规模测试，可以在不牺牲性能的情况下提供安全性。Cloudflare使用WireGuard连接到cloudflare的边缘，以优化网络性能。

因此，企业用户无论在哪里，都可以获得安全、高性能的连接，并且不需要将网络流量发快递回集中式安全边界。通过Cloudflare for Teams客户端连接到Cloudflare Gateway，对所有出站互联网流量应用过滤策略保护企业用户，从而保护用户，防止用户浏览互联网时丢失公司数据。

云网关现在可以支持基于各种条件的HTTP流量过滤，这些条件包括:

条件示例URL、路径和/或查询字符串https://www.myurl.com/path queryHTTP 方法GET、POST，等等HTTP 响应代码500文件类型和文件名myfilename.zipMIME 类型application/zipURL 安全性或内容类别恶意软件、网络钓鱼、成人内容

为了补充DNS过滤策略，IT管理员现在可以创建L7防火墙规则，以便对HTTP流量应用优化的策略。

例如，管理员可能希望允许用户浏览Reddit的有用部分，但阻止不必要的部分。

或者，为了防止数据丢失，管理员可以创建一个规则，允许用户从流行的云存储提供商接收内容，但禁止他们从企业设备上传特定类型的文件。

另一个管理员可能希望防止恶意文件通过zip文件下载潜入，因此他可能决定通过配置规则来防止下载压缩文件类型。

在使用我们的DNS过滤类别来保护内部用户后，管理员可能希望根据完整URL的分类来简单地阻止安全威胁。恶意软件负载通常从云存储中传播，当使用DNS过滤时，管理员必须选择是允许还是拒绝给定的存储提供商访问整个域。URL过滤使管理员能够过滤恶意软件有效负载所在的确切URL的请求，以便客户可以继续利用选定的存储提供商。

此外，由于Cloudflare for Teams客户端可以实现所有这些功能，因此拥有漫游客户端的分散工作人员可以通过与最近的Cloudflare数据中心的安全连接获得这种保护，无论他们身在何处。

通过检查HTTP流量，我们可以为浏览互联网的团队提供保护，但非HTTP流量呢？今年晚些时候，我们将通过使用L4云防火墙添加对IP、端口和协议过滤的支持来扩展Cloudflare Gateway。这样，管理员可以将规则应用于流向Internet的所有流量，例如允许出站SSH的规则，或者决定是否将到达非标准端口的HTTP流量发国际快递L7防火墙进行HTTP检查的规则。

发布后，Cloudflare Gateway将允许管理员创建策略来过滤组织中所有用户之间的DNS和HTTP流量。这为安全基础打下了良好的基础。然而，凡事都有例外:一刀切的内容和安全策略实施方法很少能满足所有用户的特定需求。

为了解决这个问题，我们正在尝试将Cloudflare Access与客户的现有身份提供者相集成，以支持基于用户和组身份的规则。这将使管理员能够创建利用用户相关上下文的优化规则，例如:

拒绝所有用户访问社交媒体。但是，如果John Doe是营销部门的成员，则允许他访问这些网站以履行职责。

仅允许Jane Doe通过Cloudflare Gateway连接到特定的SaaS应用程序，或者仅允许特定的设备状态。

由于用户不会固定在已知的工作场所，因此对基于身份的策略实施和日志可见性的需求正在增加。我们通过使用Cloudflare for Teams客户端来集成身份识别并随时随地保护用户，从而满足了这一需求。

下一步

人们创业不是为了处理信息技术和安全的细节。他们有崇高的理想，向全世界推销他们的产品或服务。我们希望让他们重回正轨，为实现理想而奋斗。我们可以帮助消除实施高级安全工具的困难，这些工具通常是为更大、更复杂的组织保留的。我们希望所有的团队，无论大小，都可以使用它们。

Cloudflare for Teams client和L7 firewall的发布为一个先进的安全Web gateway 基础奠定了基础，它将集成防病毒扫描、CASB和远程浏览器隔离等诸多功能，一切都将在Cloudflare的边缘执行。很高兴分享这些信息，揭开我们团队构建的未来的一角——这条路才刚刚开始。