客戶(hù)案例丨One Mount與Cloudflare合作擁抱零信任并“全面上云”

挑戰(zhàn)：從本地安全設(shè)備過(guò)渡到基于云的零信任解決方案

從早期開(kāi)始，One Mount Group就優(yōu)先投資于云基礎(chǔ)設(shè)施和SaaS工具。但該公司保留了本地VPN，以支持對(duì)企業(yè)資源的遠(yuǎn)程訪(fǎng)問(wèn)。隨著公司發(fā)展，遠(yuǎn)程工作成為常態(tài)，這種設(shè)備帶來(lái)的困擾變得難以忽視。

對(duì)于One Mount的IT人員來(lái)說(shuō)，VPN配置和故障排除非常耗時(shí)，而且運(yùn)行不可靠或很慢，特別是前往SaaS應(yīng)用程序的流量。對(duì)特定應(yīng)用程序或用戶(hù)組施加控制可能會(huì)非常繁瑣，以至于管理員有時(shí)會(huì)授予“所有權(quán)限”，導(dǎo)致組織面臨橫向移動(dòng)的威脅。

從長(zhǎng)遠(yuǎn)來(lái)看，One Mount Group認(rèn)識(shí)到，必須減少這種過(guò)度的信任，并采用默認(rèn)拒絕的最佳實(shí)踐，以便組織能更好地接納遠(yuǎn)程工作和自帶設(shè)備（BYOD）模式。

One Mount Group自成立以來(lái)一直使用Cloudflare的性能服務(wù)來(lái)保護(hù)其外部Web資產(chǎn)，它看到了通過(guò)實(shí)施Cloudflare的零信任平臺(tái)將安全性擴(kuò)展到其內(nèi)部運(yùn)營(yíng)的機(jī)會(huì)。具體來(lái)說(shuō)，這個(gè)名為Cloudflare零信任的平臺(tái)包括一個(gè)零信任網(wǎng)絡(luò)訪(fǎng)問(wèn)解決方案，用于保護(hù)跨云、本地和SaaS環(huán)境的應(yīng)用程序，以及一個(gè)安全Web網(wǎng)關(guān)解決方案，以保護(hù)用戶(hù)免受Internet上的威脅。

此外，為了方便代碼定制，以進(jìn)一步增強(qiáng)性能和安全性，One Mount添加了Cloudflare Workers，它為開(kāi)發(fā)人員提供了一個(gè)無(wú)服務(wù)器執(zhí)行環(huán)境，使他們能夠在邊緣使用自定義代碼創(chuàng)建全新的應(yīng)用程序，或增強(qiáng)現(xiàn)有應(yīng)用程序，但不需配置或維護(hù)基礎(chǔ)設(shè)施。

Cloudflare為One Mount提供零信任的堅(jiān)實(shí)基礎(chǔ)

Cloudflare零信任保護(hù)遠(yuǎn)程連接并為One Mount提供零信任的堅(jiān)實(shí)基礎(chǔ)

One Mount通過(guò)保護(hù)內(nèi)部基于web的應(yīng)用程序來(lái)開(kāi)始它的零信任之旅，隨著時(shí)間的推移，它逐步將保護(hù)擴(kuò)大到更多種類(lèi)和數(shù)量的應(yīng)用程序。最近增加的是，利用Cloudflare的正向代理能力來(lái)簡(jiǎn)化對(duì)傳統(tǒng)資源的身份驗(yàn)證，例如文件共享，這些資源此前只能在One Mount的辦公室內(nèi)部的“網(wǎng)絡(luò)上”訪(fǎng)問(wèn)。

今天，One Mount為數(shù)百名員工、自由職業(yè)者和承包商保護(hù)數(shù)百個(gè)應(yīng)用程序，并預(yù)計(jì)在短期內(nèi)完全停止使用VPN。展望未來(lái)，該組織的目標(biāo)是，通過(guò)Cloudflare支持的基礎(chǔ)設(shè)施即代碼方法，使保護(hù)應(yīng)用程序所需的幾乎全部工作流程自動(dòng)化。

網(wǎng)絡(luò)安全總監(jiān)Ph?m Anh Liêm表示：“采用零信任是一個(gè)非常簡(jiǎn)單的選擇。我們的愿景是成為一家‘全互聯(lián)網(wǎng)公司，一切都在云端。我們不想被企業(yè)網(wǎng)絡(luò)世界所限制。因此，Cloudflare的零信任平臺(tái)非常適合我們?！?/p>

One Mount特別看重Cloudflare同時(shí)引入多個(gè)身份提供商（IdP）的靈活性。Cloudflare使構(gòu)建基于組和身份的策略變得簡(jiǎn)單明了，與VPN繁瑣、容易出錯(cuò)的配置過(guò)程相比更是如此。

Liêm說(shuō)：“Cloudflare為我們節(jié)省了很多時(shí)間。每當(dāng)我們構(gòu)建一個(gè)新的應(yīng)用程序，基于我們選擇的IdP添加保護(hù)非常簡(jiǎn)單輕松。”

IdP集成的靈活性也擴(kuò)展到與端點(diǎn)保護(hù)（EPP）軟件的集成。具體來(lái)說(shuō)，One Mount使用Cloudflare與其首選EPP提供商的集成來(lái)設(shè)置設(shè)備感知、最低權(quán)限訪(fǎng)問(wèn)策略。通過(guò)使用這種集成來(lái)擴(kuò)展可見(jiàn)性和安全性，One Mount能夠完全接納BYOD。

Liêm表示：“有這么多遠(yuǎn)程工作人員，你不可能信任每一臺(tái)設(shè)備，所以我們需要確保每個(gè)進(jìn)入我們系統(tǒng)的請(qǐng)求都經(jīng)過(guò)正確因素的驗(yàn)證，然后才允許訪(fǎng)問(wèn)?！?/p>

One Mount正通過(guò)應(yīng)用過(guò)濾器和擴(kuò)展對(duì)其用戶(hù)出站連接的可見(jiàn)性，將這種零信任方法擴(kuò)展到互聯(lián)網(wǎng)瀏覽。在使用Cloudflare前，用戶(hù)僅在本地辦公室工作時(shí)才會(huì)受到保護(hù)，免受惡意軟件和危險(xiǎn)互聯(lián)網(wǎng)目的地的侵害。

Liêm表示：“我們希望員工在任何時(shí)間、任何地點(diǎn)都能安全地上網(wǎng)，而不僅僅在公司網(wǎng)絡(luò)上才如此?！彪S著公司發(fā)展，One Mount很高興能與Cloudflare一起擴(kuò)展其基于云的零信任方法。

Cloudflare Workers助力One Mount輕松解難

Cloudflare Workers使One Mount能夠通過(guò)在邊緣運(yùn)行自定義代碼來(lái)輕松解決復(fù)雜問(wèn)題。

One Mount使用Cloudflare Workers無(wú)服務(wù)器平臺(tái)用于各種用例，包括減輕后端處理負(fù)荷、處理不常見(jiàn)但大容量的任務(wù)，以及為動(dòng)態(tài)訪(fǎng)問(wèn)控制、動(dòng)態(tài)IP允許列表和欺詐檢測(cè)構(gòu)建外圍安全解決方案。幾乎所有這些用例對(duì)公司的內(nèi)部運(yùn)營(yíng)都是至關(guān)重要的。

Ph?m Anh Liêm指出：“Workers提供了處理我們最困難用例所需的基本元素。這是我們無(wú)服務(wù)器解決方案的最佳選擇?！監(jiān)ne Mount將Workers與Cloudflare WAF和DDoS緩解集成在一起，以預(yù)防特別促銷(xiāo)期間的欺詐。

Cloudflare Workers使One Mount能夠輕松地利用離最終用戶(hù)最近的點(diǎn)的處理能力來(lái)運(yùn)行邏輯，然后使用Cloudflare WAF來(lái)阻止濫用活動(dòng)——完全不用考慮擴(kuò)展底層基礎(chǔ)設(shè)施。如果沒(méi)有Workers，One Mount將很難在不影響用戶(hù)體驗(yàn)的情況下在后臺(tái)設(shè)計(jì)、實(shí)施和自動(dòng)擴(kuò)展這些保護(hù)。

Ph?m Anh Liêm指出：“Workers讓我們的開(kāi)發(fā)人員編寫(xiě)代碼并立即看到結(jié)果。這大大降低了我們的開(kāi)發(fā)和運(yùn)營(yíng)成本，顯著改變了我們構(gòu)建產(chǎn)品的方式。”

客戶(hù)感言

“我們是越南首批提供完全公有云托管數(shù)字金融服務(wù)的公司之一，Cloudflare是實(shí)現(xiàn)我們零信任愿景的關(guān)鍵合作伙伴?！?/p>

Ph?m Anh Liêm

網(wǎng)絡(luò)安全總監(jiān)