挑战:
通过零信任改善员工访问
Cloudflare 成立之初,该公司通过虚拟专用网络 (VPN) 为其员工提供对内部应用程序的访问权限。 访问VPN背后的某些(但不是所有)应用程序需要双因素身份验证,通常使用Authy或Google Authenticator等应用程序生成的一次性密码(OTP)完成。
Cloudflare 意识到它需要一种比 VPN 更安全、更可扩展的方法,并利用 Cloudflare Access 开始了向零信任架构迈进的过程。
从 OTP 到不可钓鱼的 FIDO 身份验证
作为向零信任架构迁移的一部分,Cloudflare 从 2018 年开始使用基于 FIDO 的安全密钥。
使用 FIDO2 的目的是提供强大的身份验证,以实现 Cloudflare 的零信任模型。
“我想要一些不可钓鱼的东西,”Cloudflare 企业安全总监 Derek Pitts 说。 “如果我们要经历重做大量身份和访问管理基础设施的所有麻烦,我希望它能够面向未来并具有弹性。”
通过选择性强制执行克服采用障碍
Cloudflare 采用 FIDO 安全密钥的道路并非完全平坦。 最初,人们担心帐户恢复和更换丢失的物理安全密钥。
另一个挑战是,Cloudflare 的用户习惯于将 OTP 技术与 Google Authenticator 或 Authy 一起使用。 管理用户更改厌恶和教育是从 OTP 切换到 FIDO 安全密钥的关键组成部分。 这导致 Cloudflare 采取了选择性的强制执行方法,以免强制用户进行更改,从而可能将他们拒之门外。
Cloudflare所做的是将FIDO集成到其访问身份感知代理中,内部用户用于访问内部站点。 Cloudflare 最初没有立即要求所有内部站点使用 FIDO,而是只要求在其三个站点上使用安全密钥。 2020 年 7 月 20 日,即 Twitter 成为社会工程攻击受害者的那一天,激活了对 FIDO 安全密钥的选择性强制执行。
“那天是混乱的,我们想确保
这没有发生在我们身上,“皮茨说。
Pitts 表示,通过要求将 FIDO2/WebAuthn 用于其三个更敏感的内部应用程序,采用率有所提高,因为它为员工提供了一个熟悉该技术的培训场所。 2021 年,Cloudflare 在其网络中转而要求 FIDO 安全密钥。
概述
Cloudflare 成立于 2010 年
是世界领先的之一
互联网内容交付和
安全平台。
概述
Cloudflare 是全球
部署最多的安全性和
内容交付平台。
Cloudflare 的产品包括
一系列服务包括
Web 性能、应用程序
网络、零信任和
开发人员服务。
Cloudflare 的网络处理
超过 3600 万个 HTTP 请求
每秒和超过 124 个块
每天数十亿次网络攻击。 这
Cloudflare 网络已经超过
周围 200 个接入点
地球仪。
经验教训:
尽可能地取得小小的胜利
从一开始,Cloudflare 的 CEO、CIO 和 CSO 就自上而下地支持强身份验证。 皮茨说,让高管参与进来很重要,因为这有助于他的团队在遇到问题时坚持下去。
Cloudflare 拥有庞大而复杂的网络架构,它并没有在一夜之间迁移到 WebAuth/FIDO2。 皮茨说,这是一项多年的努力,在一系列渐进式的小胜利的基础上取得了成功,这些胜利有助于证明该技术可以提高安全性。
小赢家方法结合了 Cloudflare 的选择性执行方法。 Pitts说,重要的是要有一个训练场,让用户能够尝试安全密钥并熟悉这种方法。
