Cloudflare для команд дает вашей организации возможность создавать правила, определяющие, кто может обращаться к указанным ресурсам. Когда мы только запустили, эти правила в первую очередь полагались на личность. Это помогло нашим клиентам заменить свои частные сети на модель, которая оценивала каждый запрос на ВОЗ подключался, но это не учитывало как они соединялись.
В марте мы начали это менять. Мы объявили о новых интеграциях, которые дают вам возможность создавать правила, которые также учитывают устройство. С сегодняшнего дня мы рады сообщить, что теперь вы можете создавать дополнительные правила, учитывающие несколько разных факторов об устройстве, например, его ОС, статус исправления, присоединение к домену или статус шифрования диска. Это приобретает все большее значение за последний год, поскольку все больше и больше людей стали подключаться из дома. Благодаря агенту Cloudflare WARP ваша команда теперь может контролировать больше факторов работоспособности устройств, которые подключаются к вашим приложениям.
Zero Trust — это больше, чем просто личность
С Cloudflare for Teams администраторы могут заменить свои виртуальные частные сети (VPN), в которых пользователи сети были доверенными, альтернативой, которая не доверяет никаким соединениям по умолчанию — также известной как модель нулевого доверия.
Клиенты начинают с подключения ресурсов, которые они ранее размещали в частной сети, к сети Cloudflare с помощью Cloudflare Tunnel. Cloudflare Tunnel использует легкий коннектор, который создает только исходящее соединение с краем Cloudflare, избавляя от необходимости проделывать дыры в существующем межсетевом экране.
После подключения администраторы могут создавать правила, которые применяются к каждому ресурсу и приложению или даже к части приложения. Сеть Zero Trust Cloudflare оценивает каждый запрос и соединение на соответствие правилам, созданным администратором до того, как пользователю когда-либо будет разрешено получить доступ к этому ресурсу.
Например, администратор может создать правило, которое ограничивает доступ к инструменту внутренней отчетности для пользователей в определенной группе Okta, подключающихся из утвержденной страны, и только тогда, когда они входят в систему с аппаратным ключом в качестве второго фактора. Глобальная сеть Cloudflare обеспечивает соблюдение этих правил в непосредственной близости от пользователя в более чем 200 городах по всему миру, чтобы комплексное правило, подобное описанному выше, воспринималось конечным пользователем как единое целое.
Сегодняшний запуск добавляет новые типы сигналов, которые ваша команда может использовать для определения этих правил. По определению, модель нулевого доверия считает каждый запрос или соединение «ненадежным». Только правила, которые вы создаете, определяют, что считается доверенным и разрешенным. Теперь мы рады позволить пользователям сделать еще один шаг вперед и создать правила, которые фокусируются не только на доверии пользователю, но и на уровне безопасности устройства, с которого они подключаются.
Больше (и разные) факторы лучше
Построение правил на основе положения устройства закрывает слепое пятно для ваших приложений и данных. Если мне разрешено подключаться к определенному ресурсу, без учета используемого устройства, я могу войти в систему со своими корпоративными учетными данными с личного устройства, на котором запущена незащищенная или уязвимая версия операционной системы. Я мог бы сделать это, потому что это удобно, но я создаю гораздо большую проблему для своей команды, если затем загружу данные, которые могут быть скомпрометированы из-за этого устройства.
Эта поза также может меняться в зависимости от пункта назначения. Например, может быть, вам удобно, если член команды использует любое устройство для просмотра новой заставки для вашей маркетинговой кампании. Однако, если пользователь подключается к инструменту администрирования, который управляет учетными записями клиентов, вы хотите убедиться, что устройство соответствует вашим политикам безопасности для данных клиентов, которые включают такие факторы, как статус шифрования диска. С Cloudflare для команд вы можете применять правила, которые содержат несколько различных факторов с таким уровнем детализации для каждого ресурса.
Сегодня мы рады объявить о шести дополнительных типах поз помимо тех, которые вы уже можете установить:
- Партнеры по защите конечных точек — убедитесь, что ваши пользователи используют одного из наших поставщиков платформы защиты конечных точек (Carbon Black, CrowdStrike, SentinelOne, Tanium)
- Серийный номер — разрешить устройства только из вашего известного пула инвентаря.
- Прокси-сервер Cloudflare WARP — определите, подключены ли ваши пользователи через наш зашифрованный туннель WARP (бесплатный, платный или любой аккаунт Teams)
- Безопасный веб-шлюз Cloudflare — определите, подключаются ли ваши пользователи с устройства, управляемого политиками HTTP-фильтрации.
- (НОВОЕ) Проверка приложения — Убедитесь, что на устройстве запущена любая программа по вашему выбору.
- (НОВОЕ) Проверка файлов — Убедитесь, что на устройстве присутствует определенный файл (например, обновленная подпись, исправление ОС и т. Д.)
- (НОВОЕ) Шифрование диска — Убедитесь, что все физические диски на устройстве зашифрованы.
- (НОВОЕ) Версия ОС — Подтвердите, что пользователи обновились до определенной версии операционной системы.
- (НОВИНКА) Брандмауэр — Убедитесь, что на устройстве настроен брандмауэр.
- (НОВОЕ) Домен присоединен — Убедитесь, что ваши устройства Windows должны быть присоединены к корпоративному каталогу.
Правила устройства должны быть такими же простыми, как правила идентификации.
Правила для устройств Cloudflare для Teams можно настроить там же, где вы управляете правилами на основе удостоверений. Давайте использовать в качестве примера проверку состояния Disk Encryption. Вы можете создать правило, которое принудительно проверяет шифрование диска, когда вашим пользователям нужно загружать и хранить файлы на своих устройствах локально.
Чтобы создать это правило, сначала посетите панель управления Cloudflare для команд и перейдите в раздел «Устройства» на странице «Моя команда». Затем выберите «Шифрование диска» в качестве нового атрибута для добавления.
Вы можете ввести описательное имя для этого атрибута. Например, это правило должно требовать шифрования диска Windows, в то время как другие могут требовать шифрования на других платформах.
Чтобы сэкономить время, вы также можете создать правила многократного использования, называемые группами, чтобы включить несколько типов проверки состояния устройства для последующего использования в новых политиках.
Теперь, когда вы создали свою группу, вы можете создать правило Zero Trust Require для применения проверок шифрования диска. Для этого перейдите в «Доступ»> «Приложения» и создайте новое приложение. Если у вас уже есть приложение, просто отредактируйте его, чтобы добавить новое правило. В разделе «Назначить группу» вы увидите только что созданную группу — выберите ее и выберите «Требовать тип правила». И, наконец, сохраните правило, чтобы начать принудительную детальную проверку состояния устройства с нулевым доверием по каждому запросу в вашей среде.
Что дальше
Начните с изучения всех атрибутов положения устройства в нашей документации для разработчиков. Обратите внимание, что не все типы поз в настоящее время доступны в операционных системах, и некоторые операционные системы их не поддерживают.
Есть ли какой-то тип осанки, который нам не хватает, и который вам хотелось бы иметь? Мы будем рады услышать от вас в Сообществе.
