在身份驅(qū)動(dòng)的Zero Trust規(guī)則之前����,公共互聯(lián)網(wǎng)上的一些SaaS應(yīng)用程序依靠連接用戶的IP地址作為安全模型��。用戶將從已知的辦公地點(diǎn)連接�����,具有固定的IP地址范圍����,并且SaaS應(yīng)用程序除了檢查登錄憑證之外還會(huì)檢查他們的地址。
在身份驅(qū)動(dòng)的Zero Trust規(guī)則之前���,公共互聯(lián)網(wǎng)上的一些SaaS應(yīng)用程序依靠連接用戶的IP地址作為安全模型�。用戶將從已知的辦公地點(diǎn)連接��,具有固定的IP地址范圍����,并且SaaS應(yīng)用程序除了檢查登錄憑證之外還會(huì)檢查他們的地址。
許多系統(tǒng)仍然提供這種第二因素方法�。Cloudflare One客戶可以在Zero Trust模型中使用一個(gè)專用的出口IP來達(dá)到這一目的。與其他解決方案不同���,使用該方案的客戶不需要自己部署任何基礎(chǔ)設(shè)施���。然而�����,并非所有流量都需要使用這些專用的出口IP�����。
今天��,我們宣布了一些政策����,支持管理員能夠控制Cloudflare何時(shí)使用其專用出口IP�����。具體而言��,管理員可以使用Cloudflare儀表板中的規(guī)則構(gòu)建器���,根據(jù)身份、應(yīng)用程序、IP地址和地理位置等屬性�,確定何時(shí)使用哪個(gè)出口IP。任何企業(yè)合同級(jí)別客戶�����,只要在他們的Zero Trust套餐中增加專用的出口IP�,就可以使用這一功能。
我們?yōu)槭裁礃?gòu)建這一功能�?
在如今多元化的工作環(huán)境中,組織渴望獲得更一致的安全和IT體驗(yàn)�����,以管理他們的員工從辦公室�、數(shù)據(jù)中心和漫游用戶中流出的流量。為了提供更加精簡的體驗(yàn)�,許多組織正在采用由云提供的現(xiàn)代代理服務(wù),如安全Web網(wǎng)關(guān)(SWG)�����,并不再選擇復(fù)雜的內(nèi)部設(shè)備組合����。
很多傳統(tǒng)工具的一個(gè)典型便利性在于能夠根據(jù)靜態(tài)源IP創(chuàng)建允許列表策略。當(dāng)用戶主要在一個(gè)地方時(shí),根據(jù)出口位置驗(yàn)證流量將相當(dāng)簡單而可靠�����。許多組織希望或被要求保留這種流量驗(yàn)證方法�����,即使他們的用戶已經(jīng)不在一個(gè)地方了�����,也是如此�。
到目前為止,Cloudflare已經(jīng)為這些組織提供了專用的出口IP�����,作為我們的代理Zero Trust服務(wù)的附加功能����。與默認(rèn)的出口IP不同,這些專用的出口IP不在任何其他Gateway帳戶之間共享��,只用于流出指定帳戶的代理流量�����。
正如在以前的博文中所述�����,客戶已經(jīng)在使用Cloudflare的專用出口IP��,通過使用這些IP來識(shí)別其用戶的代理流量��,或?qū)⑦@些IP添加到第三方供應(yīng)商的允許列表中��,從而消除了VPN的使用需求�����。這些組織享受到了仍然使用固定已知IP的簡單便利��,同時(shí)還能避免他們的流量遇到本地設(shè)備的瓶頸和回傳�。
何時(shí)使用出口策略
Gateway出口策略構(gòu)建器使管理員能夠根據(jù)用戶的身份、設(shè)備狀況�����、源/目的IP地址等�����,增強(qiáng)出口流量的靈活性和特殊性。
從特定地理位置流出的流量為選定用戶組提供了特定于地理位置的體驗(yàn)(例如語言格式����、地區(qū)性頁面差異),這是一個(gè)常見的用例���。例如�,Cloudflare目前正在與一家全球媒體集團(tuán)的營銷部門合作�����。他們?cè)O(shè)在印度的設(shè)計(jì)師和網(wǎng)絡(luò)專家經(jīng)常需要核實(shí)在不同國家運(yùn)行的廣告和網(wǎng)站的布局��。
然而��,這些網(wǎng)站會(huì)根據(jù)用戶的源IP地址的地理位置來限制或改變?cè)L問�����。為此團(tuán)隊(duì)需要使用額外的VPN服務(wù)����。通過出口策略�,管理員可以創(chuàng)建一個(gè)規(guī)則來匹配域名IP地址或目的國IP地理位置�,讓營銷員工從專用出口IP來流出流量,這些IP已從地理上定位到他們需要驗(yàn)證域名的國家��。這可以讓他們的安全團(tuán)隊(duì)十分放心����,因?yàn)樗麄儾辉傩枰獮闋I銷團(tuán)隊(duì)提供另一個(gè)專用VPN服務(wù)�,無需費(fèi)心維護(hù)這一周邊防御漏洞,并可以對(duì)這一流量實(shí)施所有其他的過濾功能�。
另一個(gè)用例是對(duì)第三方維護(hù)的應(yīng)用程序或服務(wù)設(shè)置允許訪問列表。雖然安全管理員可以控制他們的團(tuán)隊(duì)如何訪問他們的資源����,甚至對(duì)他們的流量進(jìn)行過濾,但他們往往不能改變第三方實(shí)施的安全控制�。例如,在與一家大型信貸處理商合作時(shí)��,他們使用第三方服務(wù)來驗(yàn)證通過其Zero Trust網(wǎng)絡(luò)進(jìn)行交易的風(fēng)險(xiǎn)性��。這個(gè)第三方要求他們?cè)O(shè)置其源IP的允許列表���。
為了滿足這一要求����,該客戶可以直接使用專用的出口IP,這樣也行��,但這就表示他們所有的流量現(xiàn)在都要通過數(shù)據(jù)中心的專用出口IP進(jìn)行路由�����。因此�,如果用戶想瀏覽任何其他網(wǎng)站,就會(huì)遇到不太滿意的體驗(yàn)��,因?yàn)樗麄兊牧髁靠赡軟]有采取最有效的路徑到達(dá)上游����。但現(xiàn)在有了出口策略,客戶現(xiàn)在可以只對(duì)這個(gè)第三方供應(yīng)商的流量應(yīng)用這個(gè)專用的出口IP��,而讓所有其他用戶的流量通過默認(rèn)的Gateway出口IP流出����。
構(gòu)建出口策略
為了展示管理員配置策略是多么簡單,讓我們來看看上述場景的情況����。一家組織使用第三方服務(wù)��,除了用戶名/密碼登錄外�,第三方還要求該組織使用靜態(tài)源IP或訪問他們域的網(wǎng)絡(luò)范圍��。
如要進(jìn)行此類設(shè)置����,只需在Zero Trust儀表板上導(dǎo)航到Gateway下的出口策略��。在那里�,可以點(diǎn)擊“創(chuàng)建出口策略”:
對(duì)該組織來說,大多數(shù)訪問這個(gè)第三方服務(wù)的用戶都位于葡萄牙�,所以該組織將使用分配到葡萄牙蒙蒂霍的專用出口IP。用戶將訪問托管在203.0.113.10的example.com����,所以可將使用目標(biāo)IP選擇器來匹配所有到這個(gè)網(wǎng)站的流量;策略配置如下:
在策略創(chuàng)建好了之后����,再添加一個(gè)策略針對(duì)該組織進(jìn)行全面覆蓋,確保組織內(nèi)不能使用任何與該第三方服務(wù)無關(guān)的目的地專用出口IP�。這是添加操作的關(guān)鍵,因?yàn)檫@會(huì)確保組織內(nèi)的用戶獲得最有效的網(wǎng)絡(luò)體驗(yàn)����,同時(shí)通過共享的Enterprise IP池的出口��,仍然保持他們的隱私�����,策略配置如下:
看看出口策略列表����,我們可以看到兩個(gè)策略都已啟用�����,現(xiàn)在當(dāng)用戶試圖訪問example.com時(shí)��,他們將使用首選或輔助專用IPv4或IPv6范圍作為出口IP�����。所有其他流量則使用默認(rèn)的Cloudflare出口IP�。
后續(xù)步驟
我們意識(shí)到,隨著組織脫離本地設(shè)備����,他們會(huì)希望在通過云安全堆棧代理更多流量的同時(shí)�����,能夠繼續(xù)保持簡單和有效的控制���。憑借Gateway出口策略,管理員如今可以為他們?cè)絹碓蕉喾稚㈤_來的員工控制流量����。
如果您想要對(duì)Cloudflare專用出口IP構(gòu)建策略,可以將它們添加到Cloudflare Zero Trust Enterprise計(jì)劃或聯(lián)系您的客戶經(jīng)理�����。
閩公網(wǎng)安備 35010202001226號(hào)
