Cloudflare以SASE概念建構的平台-Cloudflare One

 

 

作為單一提供商SASE 平台,Cloudflare One 為企業提供全方位的網絡即服務解決方案,幫助團隊將所有流量導向其網絡,協助團隊管理網絡連接並提升表現。有多種接入方式可供企業靈活選擇,包括使用現有的硬件路由器、在筆記本電腦和移動設備上運行代理程序、物理和虛擬互聯,或者使用Cloudflare自帶的“最後一英里連接器”。

 

 我們的SSE 服務會在流量進入Cloudflare 網絡時,將安全過濾應用於我們管理和路由連接的相同位置。Cloudflare 的SSE 解決方案不包含額外的躍點;我們所提供的過濾和記錄基於為客戶加速的流量。自從十年前首次推出反向代理以來,我們始終懷有強烈的執著:不應讓客戶在性能和安全之間進行取捨。

 

Cloudflare One 和SSE 功能集

Cloudflare One 內置的安全功能可提供全面的SSE 覆蓋,適用於以任何規模運營的企業。一切交由Cloudflare Zero Trust 處理,客戶只需將流量發送到距用戶幾毫秒的Cloudflare 位置即可。

 

 

Cloudflare One SSE 的特性

  • Zero Trust 訪問控制

針對託管和管理自有資源的團隊,Cloudflare提供了一個Zero Trust VPN 替代方案。客戶可在無需代理的情況下,通過在Cloudfare 的網絡內部署私人網絡來實現更常規的連接,或將訪問權限賦予承包商。Cloudflare 網絡可使管理員在每個資源或全球範圍內建立細化的規則,以支持用戶對所需任何類型目的地的連接。團隊可結合一個或多個標識提供程序、設備態勢輸入等信號來源來決定用戶何時和如何連接。

 

通過在登錄流程中引入Cloudflare 身份代理,組織可將這些Zero Trust 訪問控制規則擴展至其未控制託管的SaaS 應用程序。在繼續使用現有的標識提供程序的同時,其可以增加設備態勢、國家和多因素等其他檢查。

 

  • DNS 過濾

全球最快的DNS 解析器為Cloudflare 的DNS 過濾解決方案提供動力,該服務可過濾並記錄從特定設備或某些全球最大網絡發出的DNS 查詢。

 

  • 網絡防火牆

通過將流量路由到Cloudflare,我們的“防火牆即服務”可過濾和記錄流量,讓維護本地硬件防火牆或其基於雲的同類產品的組織無需再依賴於其設備。具備L3-L7 過濾、入侵檢測以及與我們的威脅情報反饋及SSE 套件的其他部分直接集成等功能,是我們網絡防火牆的特點。有了它的加持,安全團隊可以製定先進的策略,而無需應對傳統硬件所帶來的挑戰,例如規劃容量或冗餘、吞吐量限制以及手動打補丁或升級等問題。

 

  • 安全Web 網關

無論用戶的工作地在何處,Cloudflare 的安全網絡網關(SWG) 服務都可以對用戶附近Cloudflare PoP 中的流量進行檢查、過濾和記錄。無需額外硬件或虛擬化服務,SWG 便可以阻止前往危險目的地的HTTP 請求,掃描流量中的病毒和惡意軟件,並對流量路由到互聯網其他部分的方式加以管理。

 

  • 內聯式雲訪問安全代理和影子IT

SaaS 應用程序的廣泛使用可幫助公司節省資金,但這也帶來了實質性的風險;因為用戶所選工具偶爾會與其IT 或安全團隊所選工具不同。借助Cloudflare 內聯式雲訪問安全代理(CASB) 提供的工具,管理員能夠確保員工按既定用途使用SaaS 應用程序。團隊可設置租戶控制規則,限制員工登錄個人帳戶,創建策略,只允許上傳特定類型文件到經批准的SaaS 應用程序,且建立過濾機制,限制員工使用未經批准的服務。

 

IT 和安全團隊可通過Cloudflare 的“影子IT”服務對用戶的互聯網流量進行掃描和分類,以檢測和監控對SaaS 應用程序的未經授權使用。例如,團隊可對經批准的雲存儲是否為用戶上傳材料的唯一地點進行驗證。

 

  • 基於API 的雲訪問安全代理

Cloudflare 的強項在於我們的網絡,然而最為嚴峻的攻擊往往是從數據的靜態狀態開始的。團隊可利用SaaS 應用程序將工作分享到任何地方並進行協作,但這種便利也使得惡意主體或錯誤極易造成重大數據洩露。

 

有時,帶有敏感信息的文件可能會因某些員工錯誤地選擇了“分享”菜單中的按鈕而被過度分享。只需輕輕一點,便可在互聯網上公開載有客戶聯絡資料的電子表格。或者,用戶可能會在沒有意識到的情況下,通過其個人帳戶共享某份報告,進而違反內部合規規則。

 

Cloudflare基於API 的CASB會持續掃描團隊使用的SaaS 應用程序,以防止錯誤配置和數據丟失,無論數據洩露的起因是什麼。若發現問題,Cloudflare 的CASB 會通知管理員,並為事件的解決提供全面的指導方針。

 

  • 數據丟失防護

為發現和預防潛在的數據丟失,Cloudflare 的數據丟失預防服務會對流量進行掃描。管理員可以選擇社會安全號或信用卡號等常見的預創建配置文件,也可以使用規則表達式創建自定義條件或集成到現有的微軟信息保護標籤中。

 

  • 遠程瀏覽器隔離

通過在我們的網絡內運行瀏覽器,在距離用戶幾毫秒的數據中心,Cloudflare 的瀏覽器隔離服務可將網頁的矢量渲染髮送到本地設備。不同於其他方法,團隊成員可採用任何現代瀏覽器,讓互聯網的體驗保持不變。管理員可隨時對站點進行隔離,選擇僅對未知目的地進行隔離或為承包商提供無代理工作站。安全團隊可增加包括阻止複制粘貼或打印在內的其他保護措施。

 

SSE 之外的安全性

很多客戶提到SSE 目標時,並未準備好從一開始就使用類別中的所有安全服務。反之,其通常會面臨戰略上的SSE 目標和需要立即解決的戰術問題。這一點可以理解。無論客戶處於何種階段,我們可以與之建立聯繫並提供支持,有時,痛點就在現有的SSE 定義之外,而我們也能夠為其提供幫助。

 

電子郵件不屬於通常的SSE 定義範圍,儘管SSE 模型試圖阻止的許多攻擊都始於電子郵件。攻擊者會利用當今電子郵件提供商提供的標準過濾功能所遺漏掉的網絡釣魚鏈接或惡意軟件,來攻擊特定員工或整個員工隊伍。

 

與其等待DNS 或SWG 過濾等SSE 功能生效,我們更希望協助客戶將這些攻擊阻止在收件箱外。Cloudflare One 會針對所有電子郵件提供商在我們的Area 1 產品中提供業界領先的郵件安全功能,為團隊保駕護航。Area 1 不單單只作為一種與我們的SSE 捆綁的獨立解決方案;與Area 1 搭配,Cloudflare Zero Trust 的功能可發揮最佳協同效應。例如,針對在一個單獨的瀏覽器中打開URL 的可疑電子郵件,賦予客戶深度防禦的安全模型,進而避免增加IT 服務台工單量。

 

Cloudflare One 的客戶還可以受益於Cloudflare 另一個已獲得Gartner 認可的平台,即我們的應用安全套件。Cloudflare 業界領先的應用安全功能可與我們的Zero Trust 安全功能一起部署,這些功能包括我們的DDoS 緩解服務和Web 應用程序防火牆。只需輕輕一點,團隊就能將自動程序管理警報、API 保護以及更快的緩存添加至自身的內部工具。

 

閱讀原文:https://blog.cloudflare.com/zh-cn/cloudflare-sse-gartner-magic-quadrant-zh-cn/