考慮多個解決方案拼湊在一起給CIO帶來的復(fù)雜性���,我們正在擴大與Microsoft的合作����,以打造最好的Zero Trust解決方案之一����。
考慮多個解決方案拼湊在一起給CIO帶來的復(fù)雜性���,我們正在擴大與Microsoft的合作���,以打造最好的Zero Trust解決方案之一。今天�����,我們推出Microsoft Azure Active Directory(Azure AD)和Cloudflare Zero Trust之間的四項新集成,旨在主動降低風(fēng)險��。這些集成提高了自動化程度���,使安全團隊能夠?qū)W⒂谕{防御��,無需顧及實施和維護�����。
Zero Trust是什么����?為什么重要�����?
Zero Trust是一個被業(yè)界過度使用的術(shù)語(也被稱為“零信任”)��,造成了不少困惑���。因此���,請讓我們細細分說���。Zero Trust架構(gòu)強調(diào)“永不信任,始終驗證”的方法����。打一個比方,在傳統(tǒng)的安全邊界或“城堡+護城河”模型中����,只需通過正門(例如,通常是VPN)��,您就可以自由進入建筑物內(nèi)的所有房間(例如�����,應(yīng)用程序)�。在Zero Trust模型中����,您需要分別獲得對每個上鎖房間(應(yīng)用)的權(quán)限,而非僅僅通過正門即可�。Zero Trust模型中的一些關(guān)鍵組成部分有:身份�����,例如Azure AD(誰)����;應(yīng)用����,例如一個SAP實例,或Azure上的自定義應(yīng)用(應(yīng)用程序)�����;策略��,例如Cloudflare Access rules(誰可訪問什么應(yīng)用程序)�����;設(shè)備�,例如由Microsoft Intune管理的一臺筆記本電腦((請求訪問的端點的安全性);以及其他上下文信號��。
Zero Trust在今天愈發(fā)重要,因為大大小小的公司都面臨著數(shù)字化轉(zhuǎn)型加速�����,以及員工隊伍日益分散的情況��。淘汰城堡+護城河模型�,并將整個互聯(lián)網(wǎng)作為企業(yè)網(wǎng)絡(luò),要求對訪問每個資源的每個用戶進行安全檢查���。因此����,所有的公司��,尤其是那些越來越多地使用Microsoft廣泛云產(chǎn)品組合者�,都在采用Zero Trust架構(gòu),將其作為云之旅的重要組成部分�。
Cloudflare的Zero Trust平臺為內(nèi)部和SaaS應(yīng)用程序提供了一種現(xiàn)代化的身份驗證方法。大多數(shù)公司可能都擁有各種企業(yè)應(yīng)用程序——一些是SaaS�����,一些托管在本地部或Azure上�。Cloudflare的Zero Trust零信任網(wǎng)絡(luò)訪問(ZTNA)產(chǎn)品是我們Zero Trust平臺的一部分,使這些應(yīng)用程序感覺像SaaS應(yīng)用程序��,允許員工通過簡單和一致的流程進行訪問�����。Cloudflare Access充當一個統(tǒng)一的反向代理�����,通過確保每個請求都經(jīng)過身份驗證�、授權(quán)和加密來實施訪問控制。
Cloudflare Zero Trust與Microsoft Azure Active Directory
我們有成千上萬的客戶使用Microsoft Azure Active Directory和Cloudflare Access作為他們Zero Trust架構(gòu)的一部分��。我們?nèi)ツ晷嫉腗icrosoft的集成可在不影響我們共同客戶性能的前提下加強安全��。Cloudflare的Zero Trust平臺與Azure AD集成��,為組織的混合辦公人員提供無縫的應(yīng)用程序訪問體驗��。
回顧一下����,我們推出的集成解決了兩個關(guān)鍵問題:
對于本地傳統(tǒng)應(yīng)用程序,Cloudflare作為Azure AD安全混合訪問合作伙伴的參與�����,使客戶能夠使用SSO身份驗證集中管理對其本地傳統(tǒng)應(yīng)用程序的訪問,而無需額外開發(fā)��。共同客戶現(xiàn)可輕松使用Cloudflare Access作為其傳統(tǒng)應(yīng)用程序前的高性能額外安全層����。
對于運行于Microsoft Azure平臺上的應(yīng)用,共同客戶可將Microsoft Azure AD與Cloudflare Zero Trust集成��,構(gòu)建基于用戶身份�����、組成員資格和Azure AD條件策略的規(guī)則����。通過Cloudflare的應(yīng)用連接器——Cloudflare Tunnel,用戶僅需單擊幾下鼠標����,就能使用其Azure AD憑據(jù)驗證身份并連接到Cloudflare Access。Cloudflare Tunnel可暴露在Microsoft Azure平臺上運行的應(yīng)用�。查看有關(guān)安裝和配置Cloudflare Tunnel的指南。
鑒于Cloudflare在Zero Trust和安全解決方案方面的創(chuàng)新方法�,Microsoft將2022年Microsoft安全卓越獎中的安全軟件創(chuàng)新者獎項頒給我們����,這是一個享有盛譽的獎項類別�。
但是我們并沒有停止創(chuàng)新�����。我們聽取了客戶的反饋���,為了解決他們的痛點�����,我們正在宣布幾項全新的集成���。
今天推出的Microsoft集成
今天宣布的四項全新集成是——
1.針對每個應(yīng)用程序的條件訪問:Azure AD客戶可在Cloudflare Zero Trust中使用其現(xiàn)有的條件訪問策略。
Azure AD允許管理員就應(yīng)用程序和用戶創(chuàng)建和執(zhí)行使用條件訪問的策略���。它提供了廣泛參數(shù)��,可用于控制用戶對應(yīng)用程序的訪問(例如�,用戶風(fēng)險等級����、登錄風(fēng)險等級�����、設(shè)備平臺���、位置、客戶端應(yīng)用等)�。Cloudflare Access現(xiàn)在支持每個應(yīng)用程序的Azure AD條件訪問策略。這允許安全團隊在Azure AD或Cloudflare Access中定義安全條件����,并在兩個產(chǎn)品中執(zhí)行,而無需更改一行代碼����。
例如,客戶可能對內(nèi)部工資單應(yīng)用程序有更嚴格的控制級別���,因此在Azure AD上有特定的條件訪問策略�。但是�,對于一般的信息類應(yīng)用程序(例如內(nèi)部wiki),客戶可能會通過Azure AD條件訪問策略執(zhí)行不那么嚴格的規(guī)則��。在這種情況下,兩個應(yīng)用程序組和相關(guān)Azure AD條件訪問策略都可以直接無縫地插入Cloudflare Zero Trust��,而無需任何代碼更改�����。
2.SCIM:在Cloudflare Zero Trust和Azure Active Directory之間自動同步Azure AD組�����,為CIO節(jié)省大量時間��。
Cloudflare Access策略可以使用Azure AD驗證用戶的身份并提供有關(guān)該用戶的信息(例如���,姓/名、電子郵件��、組成員資格等)���。這些用戶屬性并非總是不變����,可以隨著時間的推移而改變��。當用戶仍然保留對某些敏感資源的訪問權(quán)限時,可能會產(chǎn)生嚴重的后果����。
通常,當用戶屬性發(fā)生變化時����,管理員需要檢查和更新可能包含相關(guān)用戶的所有訪問策略。這是一個單調(diào)乏味的過程���,容易導(dǎo)致錯誤結(jié)果�。
SCIM(跨域身份管理系統(tǒng))規(guī)范確保使用它的實體之間的用戶身份始終是最新的�����。我們很高興地宣布�����,Azure AD和Cloudflare Access的共同客戶將很快能夠啟用SCIM用戶和組的配置和取消配置���。它將完成如下操作:
IdP策略組選擇器現(xiàn)在已經(jīng)預(yù)先填充了Azure AD組�����,并將保持同步�。對策略組所做的任何更改都將立即反映在Access中,而不會給管理員帶來任何開銷�。
當某個用戶在Azure AD上被取消配置時,該用戶在Cloudflare Access和Gateway上的所有權(quán)限都將被撤銷�。這確保了幾乎實時的更改,從而降低了安全風(fēng)險���。
3.高風(fēng)險用戶隔離:通過將高風(fēng)險用戶(基于AD信號)隔離到瀏覽器隔離會話(使用Cloudflare的RBI產(chǎn)品)���,幫助共同客戶增加額外的完全保護層。
Azure AI根據(jù)它分析的許多數(shù)據(jù)點將用戶分為低風(fēng)險���、中風(fēng)險和高風(fēng)險用戶。用戶可能會根據(jù)其活動從一個風(fēng)險組轉(zhuǎn)移到另一個風(fēng)險組�����。用戶被確定存在風(fēng)險是基于多個因素的�����,例如雇傭性質(zhì)(即承包商)����、危險登錄行為����、憑據(jù)泄露等��。雖然這些用戶是高風(fēng)險用戶����,但在進一步評估用戶的同時,可以通過一種低風(fēng)險的方式提供對資源/應(yīng)用的訪問���。
我們現(xiàn)在支持將Azure AD群組與Cloudflare Browser Isolation集成��。當一個用戶在Azure AD上被歸類為高風(fēng)險時�,我們會使用這個信號�,通過我們的Azure AD集成自動將其流量隔離開來。這意味著高風(fēng)險用戶可以通過安全和隔離的瀏覽器訪問資源�����。如果用戶從高風(fēng)險用戶轉(zhuǎn)變?yōu)榈降惋L(fēng)險用戶���,則不再受到適用于高風(fēng)險用戶的隔離策略影響��。
4.保護共同政府云客戶:通過Azure AD的集中式身份和訪問管理�,幫助政府云(“GCC”)客戶實現(xiàn)更高的安全性,并通過將他們連接到Cloudflare全球網(wǎng)絡(luò)來增加額外的安全層���,而不必向整個互聯(lián)網(wǎng)開放�����。
通過安全混合訪問(SHA)計劃��,政府云(‘GCC’)客戶很快就能將Microsoft Azure AD與Cloudflare Zero Trust集成���,構(gòu)建基于用戶身份、組成員資格和Azure AD條件策略的規(guī)則�����。通過Cloudflare Tunnel����,用戶僅需單擊幾下鼠標�,就能使用其Azure AD憑據(jù)驗證身份并連接到Cloudflare Access。Cloudflare Tunnel可暴露在Microsoft Azure上運行的應(yīng)用程序。
“數(shù)字化轉(zhuǎn)型創(chuàng)造了一種新的安全范式�����,導(dǎo)致組織加速采用Zero Trust�����。Cloudflare Zero Trust和Azure Active Directory聯(lián)合解決方案簡化了員工Zero Trust部署�����,使我們能夠?qū)W⒂诤诵臉I(yè)務(wù)����,促進了Swiss Re的增長。該聯(lián)合解決方案使我們能夠超越SSO���,為我們的自適應(yīng)員工提供從任何地方對應(yīng)用程序的無摩擦����、安全訪問��。該聯(lián)合解決方案還為我們提供了一個全面的Zero Trust解決方案�,包括人員、設(shè)備和網(wǎng)絡(luò)?��!报CBotond Szakács��,主管��,Swiss Re
“隨著企業(yè)繼續(xù)采用云優(yōu)先戰(zhàn)略���,云原生的Zero Trust安全模型已經(jīng)成為絕對的必需品。Cloudflare和Microsoft聯(lián)合開發(fā)了強大的產(chǎn)品集成��,以幫助CIO團隊主動預(yù)防攻擊���,動態(tài)控制策略和風(fēng)險���,并增加自動化,與Zero Trust最佳實踐保持一致�����?���!报CJoy Chik,總裁����,身份與網(wǎng)絡(luò)訪問,Microsoft
閩公網(wǎng)安備 35010202001226號
