作為CIO Week的一部分,我們宣布推出了DNS Filtering解決方案和Partner Tenant平臺之間的一個新集成,可支持合作伙伴生態(tài)系統(tǒng)及Cloudflare直接客戶的parent-child策略需求。我們的Tenant平臺發(fā)布于2019年,允許Cloudflare的合作伙伴與數(shù)百萬個客戶輕松集成Cloudflare解決方案。Cloudflare Gateway于2020年發(fā)布,短短幾年內(nèi),就已經(jīng)從保護(hù)個人網(wǎng)絡(luò)發(fā)展為保護(hù)財富500強(qiáng)企業(yè)。通過這兩個解決方案之間的集成,我們現(xiàn)在可以幫助托管服務(wù)提供商(MSP)通過parent-child策略配置和帳戶層級策略覆蓋來支持大型多租戶部署,無縫地保護(hù)全體員工免受在線威脅。
為什么要與托管服務(wù)提供者合作?
托管服務(wù)提供者(MSP)是許多CIO工具包中的關(guān)鍵部分。在這個顛覆性技術(shù)、混合辦公和不斷變化的商業(yè)模式同時并發(fā)的時代,IT和安全運(yùn)營外包是不同體量的企業(yè)在推動實(shí)現(xiàn)戰(zhàn)略目標(biāo)及降本增效時會采納的基本策略。MSP通常都具備深厚的技術(shù)知識儲備、威脅洞察能力及各類安全技術(shù)解決方案的專業(yè)知識背景,能夠協(xié)助防御勒索軟件、惡意軟件和其他在線威脅。通過與MSP合作可以獲得易于部署、且具有價格競爭力的IT和安全解決方案,這樣一來企業(yè)內(nèi)部團(tuán)隊(duì)可以專注于更具戰(zhàn)略性的舉措。而Cloudflare也一直在致力于讓我們的客戶可以更容易地與MSP開展合作,以便從部署和管理層面做好全面的Zero Trust轉(zhuǎn)型。
選擇一家合適的MSP的決策標(biāo)準(zhǔn)是:該提供商是否有能力維護(hù)合作伙伴的最佳技術(shù)、安全和成本利益。MSP應(yīng)該盡可能利用創(chuàng)新和低成本的安全解決方案,為您的組織帶來最佳價值。由于混合辦公帶來更廣泛的攻擊受面,相比更現(xiàn)代和專門的解決方案,過時的技術(shù)會迅速地產(chǎn)生更高的實(shí)施和維護(hù)成本。在Zero Trust這樣一個發(fā)展中的領(lǐng)域,一家有效的MSP應(yīng)該能夠支持客戶全局部署,規(guī)?;芾恚⒂行У卦跇I(yè)務(wù)部門執(zhí)行全局企業(yè)策略。
Cloudflare Gateway DNS Filtering可以與MSP的產(chǎn)品組合進(jìn)行結(jié)合互補(bǔ),作為Zero Trust訪問控制戰(zhàn)略的一部分。DNS過濾使用域名系統(tǒng)(DNS)屏蔽惡意網(wǎng)站,防止用戶接觸到互聯(lián)網(wǎng)上有害或不適當(dāng)?shù)膬?nèi)容。這確保了公司數(shù)據(jù)的安全,并允許公司控制員工可以在公司管理的網(wǎng)絡(luò)和設(shè)備上訪問的內(nèi)容。
過濾策略通常由組織與服務(wù)提供商協(xié)商確定。在某些情況下,這些策略還需要由MSP或客戶在帳戶或業(yè)務(wù)部門級別進(jìn)行獨(dú)立管理。這意味著,需要用parent-child關(guān)系來平衡企業(yè)級規(guī)則的部署與跨設(shè)備、辦公地點(diǎn)或業(yè)務(wù)部門的定制,這是非常常見的。這種結(jié)構(gòu)對于正在跨數(shù)百萬設(shè)備和帳戶部署訪問策略的MSP至關(guān)重要。
更為緊密及高效的協(xié)作:Zero Trust Tenant Platform
為了讓MSP更容易管理數(shù)百萬個帳戶,并實(shí)施適當(dāng)?shù)脑L問控制和策略管理,我們將Cloudflare Gateway與現(xiàn)有的Tenant平臺集成了一個可提供parent-child配置的新特性。這允許MSP合作伙伴創(chuàng)建和管理帳戶,設(shè)置全局企業(yè)安全策略,并允許在單個業(yè)務(wù)部門或團(tuán)隊(duì)級別進(jìn)行適當(dāng)?shù)墓芾砘蚋采w。
Tenant平臺允許MSP自行創(chuàng)建數(shù)百萬個最終客戶帳戶,以支持其特定的啟動和配置。這也確保了客戶之間所有權(quán)的適當(dāng)分離,并允許最終客戶在需要時直接訪問Cloudflare儀表板。
所創(chuàng)建的每個帳戶都是一個單獨(dú)的容器,其中包含MSP每個最終客戶的訂閱資源(Zero Trust策略、區(qū)域、Worker等)??蛻艄芾韱T可以根據(jù)需要受邀對每個帳戶進(jìn)行自助服務(wù)管理,而MSP保留對每個帳戶所啟用的功能的控制。
MSP現(xiàn)在能夠大規(guī)模地設(shè)置和管理帳戶,我們將探索與Cloudflare Gateway的集成如何讓他們管理這些帳戶的擴(kuò)展DNS過濾策略。
分層Zero Trust帳戶
每個MSP最終客戶的獨(dú)立帳戶準(zhǔn)備就緒后,MSP可完全管理部署,也可提供受Cloudflare配置API支持的自助門戶。支持配置門戶還意味著您永遠(yuǎn)不希望您的最終用戶阻止對此域的訪問,因此MSP可以在其所有最終客戶帳戶加入時向其添加隱藏策略,這將是一個簡單的一次性API調(diào)用。盡管每當(dāng)他們需要向上述策略推送更新時就會出現(xiàn)問題,但現(xiàn)在這意味著他們必須為每個MSP最終客戶更新一次策略,對于某些MSP,這可能意味著超過100萬次API調(diào)用。
為了將其轉(zhuǎn)換為單次API調(diào)用,我們引入了頂級帳戶(即parent帳戶)的概念。此parent帳戶允許MSP設(shè)置全局策略,這些策略在后續(xù)MSP最終客戶策略(即子帳戶策略)之前應(yīng)用于所有DNS查詢。這種結(jié)構(gòu)有助于確保MSP可以為其所有子帳戶設(shè)置自己的全局策略,同時每個子帳戶可以進(jìn)一步過濾其DNS查詢以滿足他們的需求,而不會影響任何其他子帳戶。
這也并不限于策略,每個子賬戶都可以創(chuàng)建自己的自定義阻止頁面,上傳自己的證書以顯示這些阻止頁面,并通過Gateway地點(diǎn)設(shè)置自己的DNS端點(diǎn)(IPv4、IPv6、DoH和DoT)。此外,由于這些帳戶與非MSP Gateway帳戶完全相同,因此對于每個父或子帳戶的策略、位置或列表的默認(rèn)限制而言,沒有任何下限。
下一步
綜上所述,在確保當(dāng)今各種規(guī)模和發(fā)展階段的企業(yè)及組織可擁有多樣化的生態(tài)系統(tǒng)方面,MSP發(fā)揮了關(guān)鍵作用。各種規(guī)模的公司都發(fā)現(xiàn)自己面臨著同樣復(fù)雜的威脅形勢,并面臨著在有限的資源和有限的安全工具下維持適當(dāng)?shù)陌踩珣B(tài)勢和管理風(fēng)險的挑戰(zhàn)。MSP提供了額外的資源、專業(yè)知識和先進(jìn)的安全工具,可以幫助這些公司降低風(fēng)險。Cloudflare致力于讓MSP更容易有效地為客戶提供Zero Trust解決方案。
鑒于MSP對我們客戶的重要性和我們合作伙伴網(wǎng)絡(luò)的持續(xù)增長,我們計劃在2023年推出一系列新特性,并在此基礎(chǔ)上更好地支持我們的MSP合作伙伴。首先,我們路線圖上的一個關(guān)鍵項(xiàng)目是:開發(fā)一個重新設(shè)計的租戶管理儀表板,以改進(jìn)帳戶和用戶管理。其次,我們希望在整個Zero Trust解決方案集上擴(kuò)展我們的多租戶配置,以便讓MSP更容易大規(guī)模實(shí)施安全的混合辦公解決方案。
最后,為了更好地支持層級訪問,我們計劃擴(kuò)展MSP合作伙伴目前可用的用戶角色和訪問模型,以允許他們的團(tuán)隊(duì)更輕松地支持和管理他們的各種帳戶。Cloudflare一直以其易用性為榮,我們的目標(biāo)是讓Cloudflare成為全球服務(wù)和安全提供商的首選Zero Trust平臺。
在整個CIO Week期間,我們已經(jīng)談到合作伙伴如何幫助他們的客戶實(shí)現(xiàn)安全態(tài)勢的現(xiàn)代化,與經(jīng)歷了混合辦公和混合多云基礎(chǔ)設(shè)施轉(zhuǎn)型的全球趨勢保持一致。歸根結(jié)底,Cloudflare Zero Trust的力量在于它是一個可組合、統(tǒng)一的平臺,將產(chǎn)品、功能和我們的合作伙伴網(wǎng)絡(luò)結(jié)合在一起。