考虑多个解决方案拼凑在一起给CIO带来的复杂性,我们正在扩大与Microsoft的合作,以打造最好的Zero Trust解决方案之一。今天,我们推出Microsoft Azure Active Directory(Azure AD)和Cloudflare Zero Trust之间的四项新集成,旨在主动降低风险。这些集成提高了自动化程度,使安全团队能够专注于威胁防御,无需顾及实施和维护。
Zero Trust是什么?为什么重要?
Zero Trust是一个被业界过度使用的术语(也被称为“零信任”),造成了不少困惑。因此,请让我们细细分说。Zero Trust架构强调“永不信任,始终验证”的方法。打一个比方,在传统的安全边界或“城堡+护城河”模型中,只需通过正门(例如,通常是VPN),您就可以自由进入建筑物内的所有房间(例如,应用程序)。在Zero Trust模型中,您需要分别获得对每个上锁房间(应用)的权限,而非仅仅通过正门即可。Zero Trust模型中的一些关键组成部分有:身份,例如Azure AD(谁);应用,例如一个SAP实例,或Azure上的自定义应用(应用程序);策略,例如Cloudflare Access rules(谁可访问什么应用程序);设备,例如由Microsoft Intune管理的一台笔记本电脑((请求访问的端点的安全性);以及其他上下文信号。
Zero Trust在今天愈发重要,因为大大小小的公司都面临着数字化转型加速,以及员工队伍日益分散的情况。淘汰城堡+护城河模型,并将整个互联网作为企业网络,要求对访问每个资源的每个用户进行安全检查。因此,所有的公司,尤其是那些越来越多地使用Microsoft广泛云产品组合者,都在采用Zero Trust架构,将其作为云之旅的重要组成部分。
Cloudflare的Zero Trust平台为内部和SaaS应用程序提供了一种现代化的身份验证方法。大多数公司可能都拥有各种企业应用程序——一些是SaaS,一些托管在本地部或Azure上。Cloudflare的Zero Trust零信任网络访问(ZTNA)产品是我们Zero Trust平台的一部分,使这些应用程序感觉像SaaS应用程序,允许员工通过简单和一致的流程进行访问。Cloudflare Access充当一个统一的反向代理,通过确保每个请求都经过身份验证、授权和加密来实施访问控制。
Cloudflare Zero Trust与Microsoft Azure Active Directory
我们有成千上万的客户使用Microsoft Azure Active Directory和Cloudflare Access作为他们Zero Trust架构的一部分。我们去年宣布的Microsoft的集成可在不影响我们共同客户性能的前提下加强安全。Cloudflare的Zero Trust平台与Azure AD集成,为组织的混合办公人员提供无缝的应用程序访问体验。
回顾一下,我们推出的集成解决了两个关键问题:
对于本地传统应用程序,Cloudflare作为Azure AD安全混合访问合作伙伴的参与,使客户能够使用SSO身份验证集中管理对其本地传统应用程序的访问,而无需额外开发。共同客户现可轻松使用Cloudflare Access作为其传统应用程序前的高性能额外安全层。
对于运行于Microsoft Azure平台上的应用,共同客户可将Microsoft Azure AD与Cloudflare Zero Trust集成,构建基于用户身份、组成员资格和Azure AD条件策略的规则。通过Cloudflare的应用连接器——Cloudflare Tunnel,用户仅需单击几下鼠标,就能使用其Azure AD凭据验证身份并连接到Cloudflare Access。Cloudflare Tunnel可暴露在Microsoft Azure平台上运行的应用。查看有关安装和配置Cloudflare Tunnel的指南。
鉴于Cloudflare在Zero Trust和安全解决方案方面的创新方法,Microsoft将2022年Microsoft安全卓越奖中的安全软件创新者奖项颁给我们,这是一个享有盛誉的奖项类别。
但是我们并没有停止创新。我们听取了客户的反馈,为了解决他们的痛点,我们正在宣布几项全新的集成。
今天推出的Microsoft集成
今天宣布的四项全新集成是——
1.针对每个应用程序的条件访问:Azure AD客户可在Cloudflare Zero Trust中使用其现有的条件访问策略。
Azure AD允许管理员就应用程序和用户创建和执行使用条件访问的策略。它提供了广泛参数,可用于控制用户对应用程序的访问(例如,用户风险等级、登录风险等级、设备平台、位置、客户端应用等)。Cloudflare Access现在支持每个应用程序的Azure AD条件访问策略。这允许安全团队在Azure AD或Cloudflare Access中定义安全条件,并在两个产品中执行,而无需更改一行代码。
例如,客户可能对内部工资单应用程序有更严格的控制级别,因此在Azure AD上有特定的条件访问策略。但是,对于一般的信息类应用程序(例如内部wiki),客户可能会通过Azure AD条件访问策略执行不那么严格的规则。在这种情况下,两个应用程序组和相关Azure AD条件访问策略都可以直接无缝地插入Cloudflare Zero Trust,而无需任何代码更改。
2.SCIM:在Cloudflare Zero Trust和Azure Active Directory之间自动同步Azure AD组,为CIO节省大量时间。
Cloudflare Access策略可以使用Azure AD验证用户的身份并提供有关该用户的信息(例如,姓/名、电子邮件、组成员资格等)。这些用户属性并非总是不变,可以随着时间的推移而改变。当用户仍然保留对某些敏感资源的访问权限时,可能会产生严重的后果。
通常,当用户属性发生变化时,管理员需要检查和更新可能包含相关用户的所有访问策略。这是一个单调乏味的过程,容易导致错误结果。
SCIM(跨域身份管理系统)规范确保使用它的实体之间的用户身份始终是最新的。我们很高兴地宣布,Azure AD和Cloudflare Access的共同客户将很快能够启用SCIM用户和组的配置和取消配置。它将完成如下操作:
IdP策略组选择器现在已经预先填充了Azure AD组,并将保持同步。对策略组所做的任何更改都将立即反映在Access中,而不会给管理员带来任何开销。
当某个用户在Azure AD上被取消配置时,该用户在Cloudflare Access和Gateway上的所有权限都将被撤销。这确保了几乎实时的更改,从而降低了安全风险。
3.高风险用户隔离:通过将高风险用户(基于AD信号)隔离到浏览器隔离会话(使用Cloudflare的RBI产品),帮助共同客户增加额外的完全保护层。
Azure AI根据它分析的许多数据点将用户分为低风险、中风险和高风险用户。用户可能会根据其活动从一个风险组转移到另一个风险组。用户被确定存在风险是基于多个因素的,例如雇佣性质(即承包商)、危险登录行为、凭据泄露等。虽然这些用户是高风险用户,但在进一步评估用户的同时,可以通过一种低风险的方式提供对资源/应用的访问。
我们现在支持将Azure AD群组与Cloudflare Browser Isolation集成。当一个用户在Azure AD上被归类为高风险时,我们会使用这个信号,通过我们的Azure AD集成自动将其流量隔离开来。这意味着高风险用户可以通过安全和隔离的浏览器访问资源。如果用户从高风险用户转变为到低风险用户,则不再受到适用于高风险用户的隔离策略影响。
4.保护共同政府云客户:通过Azure AD的集中式身份和访问管理,帮助政府云(“GCC”)客户实现更高的安全性,并通过将他们连接到Cloudflare全球网络来增加额外的安全层,而不必向整个互联网开放。
通过安全混合访问(SHA)计划,政府云(‘GCC’)客户很快就能将Microsoft Azure AD与Cloudflare Zero Trust集成,构建基于用户身份、组成员资格和Azure AD条件策略的规则。通过Cloudflare Tunnel,用户仅需单击几下鼠标,就能使用其Azure AD凭据验证身份并连接到Cloudflare Access。Cloudflare Tunnel可暴露在Microsoft Azure上运行的应用程序。
“数字化转型创造了一种新的安全范式,导致组织加速采用Zero Trust。Cloudflare Zero Trust和Azure Active Directory联合解决方案简化了员工Zero Trust部署,使我们能够专注于核心业务,促进了Swiss Re的增长。该联合解决方案使我们能够超越SSO,为我们的自适应员工提供从任何地方对应用程序的无摩擦、安全访问。该联合解决方案还为我们提供了一个全面的Zero Trust解决方案,包括人员、设备和网络。”–Botond Szakács,主管,Swiss Re
“随着企业继续采用云优先战略,云原生的Zero Trust安全模型已经成为绝对的必需品。Cloudflare和Microsoft联合开发了强大的产品集成,以帮助CIO团队主动预防攻击,动态控制策略和风险,并增加自动化,与Zero Trust最佳实践保持一致。”–Joy Chik,总裁,身份与网络访问,Microsoft
越《经济时报》11月14日报道,越南的电子产品市场在东南亚各国中发展最快。越南环境科技院院长黄中海表示,据不完全统计,目前越南家用电子垃圾约11万吨。但电子垃圾的管理不够规范。越南环境科技部副部长裴格线表示,日前政府已出台电子垃圾回收的相关政策,从立法上强化生…
码刀科技(www.lekshop.cn)是国内知名企业级电商平台提供商,为企业级商家提供最佳的电商平台搭建(多种模式电商平台搭建:B2B/B2B2C/B2C/O2O/新零售/跨境等)、平台管理系统开发及互联网采购解决方案服务, 联系客服了解更多.
