借助Cloudflare Zero Trust和Yubico實現(xiàn)對網(wǎng)絡(luò)釣魚的無縫防御的關(guān)鍵（硬件密鑰）

硬件密鑰可提供最強(qiáng)的身份驗證安全性，并能防御網(wǎng)絡(luò)釣魚。但客戶向我們詢問如何實施，以及應(yīng)該購買哪種安全密鑰。如今我們針對Cloudflare客戶推出一項獨家計劃，使硬件密鑰比以往任何時候都更容易實施且更具經(jīng)濟(jì)效益。這項計劃通過與業(yè)界領(lǐng)先的硬件安全密鑰供應(yīng)商Yubico開展新的合作得以實現(xiàn)，可為Cloudflare客戶提供“適合互聯(lián)網(wǎng)”的獨家價格。

如今，Yubico安全密鑰可供所有Cloudflare客戶使用，并且可與Cloudflare的Zero Trust服務(wù)輕松整合。此項服務(wù)向任何規(guī)模的企業(yè)開放，從保護(hù)家庭網(wǎng)絡(luò)的家庭到地球上規(guī)模最大的雇主。如今，任何Cloudflare客戶登錄Cloudflare Dashboard，即可以每個密鑰低至10美元的價格訂購硬件安全密鑰。

2022年7月，Cloudflare成功阻止了一起信息泄露事件（由針對130多家公司的短信網(wǎng)絡(luò)釣魚攻擊引起），這歸因于該公司配合使用了Cloudflare Zero Trust與硬件安全密鑰YubiKey。同時，此次與YubiKey制造商Yubico開展新的合作，也為任何規(guī)模的企業(yè)部署硬件密鑰消除了障礙

為什么要選擇硬件安全密鑰？

企業(yè)需要確保只有合適的用戶才能連接到其敏感資源——無論是自我托管的網(wǎng)絡(luò)應(yīng)用程序、SaaS工具，還是依賴任意TCP連接和UDP流傳輸?shù)姆?wù)。用戶傳統(tǒng)上通過用戶名和密碼來證明自己的身份，但網(wǎng)絡(luò)釣魚攻擊可以通過欺騙用戶來竊取這兩項信息。

為應(yīng)對網(wǎng)絡(luò)釣魚攻擊，安全團(tuán)隊已著手部署多因素身份驗證（MFA）工具，以新增一個附加的安全層。用戶需要輸入其用戶名、密碼和部分其他值。例如，用戶可能在其設(shè)備上運(yùn)行一個生成隨機(jī)數(shù)字的應(yīng)用程序，也可能使用其電話號碼注冊以通過短信接收代碼。雖然這些MFA選項確實助力用戶提高了安全性，但用戶仍易受到網(wǎng)絡(luò)釣魚攻擊。網(wǎng)絡(luò)釣魚網(wǎng)站循循善誘，促使用戶輸入MFA代碼，或者攻擊者通過SIM卡交換攻擊來竊取用戶的電話號碼。

硬件安全密鑰可為企業(yè)提供一個防御網(wǎng)絡(luò)釣魚的MFA選項。這些密鑰采用WebAuthn標(biāo)準(zhǔn)來向身份驗證服務(wù)提供證書，從而在以加密方式保障安全性的交換中驗證密鑰，這是網(wǎng)絡(luò)釣魚網(wǎng)站無法獲得、因此也無法騙取的信息。

用戶通過其標(biāo)識提供程序注冊一個或多個密鑰，除了讓用戶出示其用戶名和密碼外，提供程序還可能通過一個MFA選項提示用戶輸入硬件密鑰。安全團(tuán)隊中的每一位成員在登錄時點擊密鑰（而不是在應(yīng)用程序中摸索代碼），即可享受更順暢的體驗。此外，安全團(tuán)隊的成員如知曉其服務(wù)能夠防御網(wǎng)絡(luò)釣魚攻擊，必定能夠安枕無憂。

使用Cloudflare的Zero Trust產(chǎn)品擴(kuò)展硬件安全密鑰

雖然目前大多數(shù)標(biāo)識提供程序允許用戶注冊硬件密鑰作為MFA選項，但管理員仍然沒有控制權(quán)來要求使用硬件密鑰。個人用戶如果不能出示安全密鑰本身，則可以退回到一個不太安全的選項，如基于應(yīng)用程序的代碼。

當(dāng)Cloudflare首次部署安全密鑰時，我們就遇到了這個問題。如果用戶可以退回到一個不太安全且更容易遭到網(wǎng)絡(luò)釣魚攻擊的選項，如基于應(yīng)用程序的代碼，那么攻擊者也同樣可以。我們攜手10,000多個企業(yè)，在內(nèi)部使用Cloudflare的Zero Trust產(chǎn)品，以部分確保用戶連接到其需要的資源和工具的安全。

當(dāng)任何用戶需要訪問內(nèi)部應(yīng)用程序或服務(wù)時，Cloudflare的網(wǎng)絡(luò)會評估每次請求或連接的多個信號，例如標(biāo)識、設(shè)備狀態(tài)和國家/地區(qū)。管理員也可以構(gòu)建僅適用于某些目的地的精細(xì)規(guī)則。具有客戶數(shù)據(jù)讀取能力的內(nèi)部管理員工具可能要求健康狀況良好的公司設(shè)備連接自某個特定的國家/地區(qū)，并歸特定標(biāo)識提供程序組中的某個用戶所有。此外，可能只需要標(biāo)識即可通過共享一個新的營銷啟動頁面來獲取反饋。如果我們可以在用戶的身份驗證過程中出示安全密鑰，而不是其他不太安全的MFA選項，那么我們也可以強(qiáng)制執(zhí)行該信號。

幾年前，標(biāo)識提供程序、硬件供應(yīng)商和安全公司合作開發(fā)了一項新的標(biāo)準(zhǔn)—身份驗證方法參考標(biāo)準(zhǔn)（AMR），目的正是為了分享此類數(shù)據(jù)。根據(jù)AMR，標(biāo)識提供程序可以分享關(guān)于登錄嘗試的多項詳情，包括正在使用的MFA選項的類型。該公告發(fā)布后不久，我們在Cloudflare的Zero Trust套件中推出了規(guī)則構(gòu)建功能，以尋找和執(zhí)行該信號。如今，任何規(guī)模的團(tuán)隊都可以構(gòu)建基于資源的規(guī)則，從而確保團(tuán)隊成員始終使用其硬件密鑰。

部署硬件安全密鑰時面臨哪些障礙？

保證您實際控制的事物的安全性，也是導(dǎo)致部署硬件密鑰增加了一層復(fù)雜性的原因—您需要找到一種方法，將這種物理密鑰批量交由用戶保管，使您團(tuán)隊的每一位成員都可以注冊安全密鑰。

在所有情況下，必須先購買硬件安全密鑰才能實施這種部署。與基于應(yīng)用程序的代碼（可能是免費(fèi)的）相比，安全密鑰會產(chǎn)生實際成本。對于一些企業(yè)而言，這種成本讓人望而卻步，繼而導(dǎo)致其安全性較低，但要注意的是，并非所有的MFA都具備同等效力。

對于其他團(tuán)隊而言，特別是目前部分或完全實施遠(yuǎn)程辦公的企業(yè)，向永遠(yuǎn)不會踏入實體辦公室的終端用戶提供這些密鑰，對IT部門而言是一項莫大的挑戰(zhàn)。Cloudflare首次部署硬件密鑰是在公司級務(wù)虛會上完成的。許多企業(yè)不再有這種機(jī)會在單一場所乃至全球辦公室內(nèi)以物理方式發(fā)放密鑰。

與Yubico開展合作

Cloudflare生日周始終是為了消除阻礙用戶和團(tuán)隊更安全或更快速地訪問互聯(lián)網(wǎng)的壁壘和障礙而舉辦的。在實現(xiàn)該目標(biāo)的過程中，我們與Yubico開展合作，繼續(xù)消除采用硬件密鑰安全模式的摩擦。

·這款產(chǎn)品向所有Cloudflare客戶開放。Cloudflare客戶可直接在Cloudflare Dashboard中針對Yubico安全密鑰申領(lǐng)這款產(chǎn)品。

·Yubico將以“適合互聯(lián)網(wǎng)”的價格提供安全密鑰—每個密鑰低至10美元。Yubico將直接向客戶發(fā)放密鑰。

·Cloudflare和Yubico的開發(fā)人員文檔和支持部門都將指導(dǎo)客戶設(shè)置密鑰并將其與他們的標(biāo)識提供程序和Cloudflare的Zero Trust服務(wù)相整合。

如何開始

您可以先登錄您的Cloudflare賬號并導(dǎo)航到儀表板，按照橫幅通知中列出的流程申請您自己的硬件密鑰。屆時，Yubico將以電子郵件形式將您申請的硬件密鑰直接發(fā)送至您在Cloudflare帳戶中提供的管理員電子郵箱。希望批量部署YubiKey的大型企業(yè)，可以探索Yubico的YubiEnterprise訂閱并在三年期訂閱中的第一年享受50%的折扣。

已經(jīng)擁有硬件安全密鑰？如果您擁有物理硬件密鑰，則可以開始在Cloudflare Access中構(gòu)建規(guī)則，從而通過將它們注冊到支持AMR的標(biāo)識提供程序（如Okta或Azure AD）中來強(qiáng)制使用它們。

最后，如果您有意自行一同部署Yubikeys與我們的Zero Trust產(chǎn)品，請查看我們的安全總監(jiān)Evan Johnson的這篇博文，其中回顧了Cloudflare的經(jīng)驗以及我們根據(jù)經(jīng)驗教訓(xùn)提出的建議。