硬件密鑰可提供最強(qiáng)的身份驗(yàn)證安全性,并能防御網(wǎng)絡(luò)釣魚(yú)。但客戶向我們?cè)儐?wèn)如何實(shí)施,以及應(yīng)該購(gòu)買(mǎi)哪種安全密鑰。如今我們針對(duì)Cloudflare客戶推出一項(xiàng)獨(dú)家計(jì)劃,使硬件密鑰比以往任何時(shí)候都更容易實(shí)施且更具經(jīng)濟(jì)效益。這項(xiàng)計(jì)劃通過(guò)與業(yè)界領(lǐng)先的硬件安全密鑰供應(yīng)商Yubico開(kāi)展新的合作得以實(shí)現(xiàn),可為Cloudflare客戶提供“適合互聯(lián)網(wǎng)”的獨(dú)家價(jià)格。
如今,Yubico安全密鑰可供所有Cloudflare客戶使用,并且可與Cloudflare的Zero Trust服務(wù)輕松整合。此項(xiàng)服務(wù)向任何規(guī)模的企業(yè)開(kāi)放,從保護(hù)家庭網(wǎng)絡(luò)的家庭到地球上規(guī)模最大的雇主。如今,任何Cloudflare客戶登錄Cloudflare Dashboard,即可以每個(gè)密鑰低至10美元的價(jià)格訂購(gòu)硬件安全密鑰。
2022年7月,Cloudflare成功阻止了一起信息泄露事件(由針對(duì)130多家公司的短信網(wǎng)絡(luò)釣魚(yú)攻擊引起),這歸因于該公司配合使用了Cloudflare Zero Trust與硬件安全密鑰YubiKey。同時(shí),此次與YubiKey制造商Yubico開(kāi)展新的合作,也為任何規(guī)模的企業(yè)部署硬件密鑰消除了障礙
為什么要選擇硬件安全密鑰?
企業(yè)需要確保只有合適的用戶才能連接到其敏感資源——無(wú)論是自我托管的網(wǎng)絡(luò)應(yīng)用程序、SaaS工具,還是依賴任意TCP連接和UDP流傳輸?shù)姆?wù)。用戶傳統(tǒng)上通過(guò)用戶名和密碼來(lái)證明自己的身份,但網(wǎng)絡(luò)釣魚(yú)攻擊可以通過(guò)欺騙用戶來(lái)竊取這兩項(xiàng)信息。
為應(yīng)對(duì)網(wǎng)絡(luò)釣魚(yú)攻擊,安全團(tuán)隊(duì)已著手部署多因素身份驗(yàn)證(MFA)工具,以新增一個(gè)附加的安全層。用戶需要輸入其用戶名、密碼和部分其他值。例如,用戶可能在其設(shè)備上運(yùn)行一個(gè)生成隨機(jī)數(shù)字的應(yīng)用程序,也可能使用其電話號(hào)碼注冊(cè)以通過(guò)短信接收代碼。雖然這些MFA選項(xiàng)確實(shí)助力用戶提高了安全性,但用戶仍易受到網(wǎng)絡(luò)釣魚(yú)攻擊。網(wǎng)絡(luò)釣魚(yú)網(wǎng)站循循善誘,促使用戶輸入MFA代碼,或者攻擊者通過(guò)SIM卡交換攻擊來(lái)竊取用戶的電話號(hào)碼。
硬件安全密鑰可為企業(yè)提供一個(gè)防御網(wǎng)絡(luò)釣魚(yú)的MFA選項(xiàng)。這些密鑰采用WebAuthn標(biāo)準(zhǔn)來(lái)向身份驗(yàn)證服務(wù)提供證書(shū),從而在以加密方式保障安全性的交換中驗(yàn)證密鑰,這是網(wǎng)絡(luò)釣魚(yú)網(wǎng)站無(wú)法獲得、因此也無(wú)法騙取的信息。
用戶通過(guò)其標(biāo)識(shí)提供程序注冊(cè)一個(gè)或多個(gè)密鑰,除了讓用戶出示其用戶名和密碼外,提供程序還可能通過(guò)一個(gè)MFA選項(xiàng)提示用戶輸入硬件密鑰。安全團(tuán)隊(duì)中的每一位成員在登錄時(shí)點(diǎn)擊密鑰(而不是在應(yīng)用程序中摸索代碼),即可享受更順暢的體驗(yàn)。此外,安全團(tuán)隊(duì)的成員如知曉其服務(wù)能夠防御網(wǎng)絡(luò)釣魚(yú)攻擊,必定能夠安枕無(wú)憂。
使用Cloudflare的Zero Trust產(chǎn)品擴(kuò)展硬件安全密鑰
雖然目前大多數(shù)標(biāo)識(shí)提供程序允許用戶注冊(cè)硬件密鑰作為MFA選項(xiàng),但管理員仍然沒(méi)有控制權(quán)來(lái)要求使用硬件密鑰。個(gè)人用戶如果不能出示安全密鑰本身,則可以退回到一個(gè)不太安全的選項(xiàng),如基于應(yīng)用程序的代碼。
當(dāng)Cloudflare首次部署安全密鑰時(shí),我們就遇到了這個(gè)問(wèn)題。如果用戶可以退回到一個(gè)不太安全且更容易遭到網(wǎng)絡(luò)釣魚(yú)攻擊的選項(xiàng),如基于應(yīng)用程序的代碼,那么攻擊者也同樣可以。我們攜手10,000多個(gè)企業(yè),在內(nèi)部使用Cloudflare的Zero Trust產(chǎn)品,以部分確保用戶連接到其需要的資源和工具的安全。
當(dāng)任何用戶需要訪問(wèn)內(nèi)部應(yīng)用程序或服務(wù)時(shí),Cloudflare的網(wǎng)絡(luò)會(huì)評(píng)估每次請(qǐng)求或連接的多個(gè)信號(hào),例如標(biāo)識(shí)、設(shè)備狀態(tài)和國(guó)家/地區(qū)。管理員也可以構(gòu)建僅適用于某些目的地的精細(xì)規(guī)則。具有客戶數(shù)據(jù)讀取能力的內(nèi)部管理員工具可能要求健康狀況良好的公司設(shè)備連接自某個(gè)特定的國(guó)家/地區(qū),并歸特定標(biāo)識(shí)提供程序組中的某個(gè)用戶所有。此外,可能只需要標(biāo)識(shí)即可通過(guò)共享一個(gè)新的營(yíng)銷啟動(dòng)頁(yè)面來(lái)獲取反饋。如果我們可以在用戶的身份驗(yàn)證過(guò)程中出示安全密鑰,而不是其他不太安全的MFA選項(xiàng),那么我們也可以強(qiáng)制執(zhí)行該信號(hào)。
幾年前,標(biāo)識(shí)提供程序、硬件供應(yīng)商和安全公司合作開(kāi)發(fā)了一項(xiàng)新的標(biāo)準(zhǔn)—身份驗(yàn)證方法參考標(biāo)準(zhǔn)(AMR),目的正是為了分享此類數(shù)據(jù)。根據(jù)AMR,標(biāo)識(shí)提供程序可以分享關(guān)于登錄嘗試的多項(xiàng)詳情,包括正在使用的MFA選項(xiàng)的類型。該公告發(fā)布后不久,我們?cè)贑loudflare的Zero Trust套件中推出了規(guī)則構(gòu)建功能,以尋找和執(zhí)行該信號(hào)。如今,任何規(guī)模的團(tuán)隊(duì)都可以構(gòu)建基于資源的規(guī)則,從而確保團(tuán)隊(duì)成員始終使用其硬件密鑰。
部署硬件安全密鑰時(shí)面臨哪些障礙?
保證您實(shí)際控制的事物的安全性,也是導(dǎo)致部署硬件密鑰增加了一層復(fù)雜性的原因—您需要找到一種方法,將這種物理密鑰批量交由用戶保管,使您團(tuán)隊(duì)的每一位成員都可以注冊(cè)安全密鑰。
在所有情況下,必須先購(gòu)買(mǎi)硬件安全密鑰才能實(shí)施這種部署。與基于應(yīng)用程序的代碼(可能是免費(fèi)的)相比,安全密鑰會(huì)產(chǎn)生實(shí)際成本。對(duì)于一些企業(yè)而言,這種成本讓人望而卻步,繼而導(dǎo)致其安全性較低,但要注意的是,并非所有的MFA都具備同等效力。
對(duì)于其他團(tuán)隊(duì)而言,特別是目前部分或完全實(shí)施遠(yuǎn)程辦公的企業(yè),向永遠(yuǎn)不會(huì)踏入實(shí)體辦公室的終端用戶提供這些密鑰,對(duì)IT部門(mén)而言是一項(xiàng)莫大的挑戰(zhàn)。Cloudflare首次部署硬件密鑰是在公司級(jí)務(wù)虛會(huì)上完成的。許多企業(yè)不再有這種機(jī)會(huì)在單一場(chǎng)所乃至全球辦公室內(nèi)以物理方式發(fā)放密鑰。
與Yubico開(kāi)展合作
Cloudflare生日周始終是為了消除阻礙用戶和團(tuán)隊(duì)更安全或更快速地訪問(wèn)互聯(lián)網(wǎng)的壁壘和障礙而舉辦的。在實(shí)現(xiàn)該目標(biāo)的過(guò)程中,我們與Yubico開(kāi)展合作,繼續(xù)消除采用硬件密鑰安全模式的摩擦。
·這款產(chǎn)品向所有Cloudflare客戶開(kāi)放。Cloudflare客戶可直接在Cloudflare Dashboard中針對(duì)Yubico安全密鑰申領(lǐng)這款產(chǎn)品。
·Yubico將以“適合互聯(lián)網(wǎng)”的價(jià)格提供安全密鑰—每個(gè)密鑰低至10美元。Yubico將直接向客戶發(fā)放密鑰。
·Cloudflare和Yubico的開(kāi)發(fā)人員文檔和支持部門(mén)都將指導(dǎo)客戶設(shè)置密鑰并將其與他們的標(biāo)識(shí)提供程序和Cloudflare的Zero Trust服務(wù)相整合。
如何開(kāi)始
您可以先登錄您的Cloudflare賬號(hào)并導(dǎo)航到儀表板,按照橫幅通知中列出的流程申請(qǐng)您自己的硬件密鑰。屆時(shí),Yubico將以電子郵件形式將您申請(qǐng)的硬件密鑰直接發(fā)送至您在Cloudflare帳戶中提供的管理員電子郵箱。希望批量部署YubiKey的大型企業(yè),可以探索Yubico的YubiEnterprise訂閱并在三年期訂閱中的第一年享受50%的折扣。
已經(jīng)擁有硬件安全密鑰?如果您擁有物理硬件密鑰,則可以開(kāi)始在Cloudflare Access中構(gòu)建規(guī)則,從而通過(guò)將它們注冊(cè)到支持AMR的標(biāo)識(shí)提供程序(如Okta或Azure AD)中來(lái)強(qiáng)制使用它們。
最后,如果您有意自行一同部署Yubikeys與我們的Zero Trust產(chǎn)品,請(qǐng)查看我們的安全總監(jiān)Evan Johnson的這篇博文,其中回顧了Cloudflare的經(jīng)驗(yàn)以及我們根據(jù)經(jīng)驗(yàn)教訓(xùn)提出的建議。