适用于托管服务提供商的Cloudflare Zero Trust

作为CIO Week的一部分，我们宣布推出了DNS Filtering解决方案和Partner Tenant平台之间的一个新集成，可支持合作伙伴生态系统及Cloudflare直接客户的parent-child策略需求。我们的Tenant平台发布于2019年，允许Cloudflare的合作伙伴与数百万个客户轻松集成Cloudflare解决方案。Cloudflare Gateway于2020年发布，短短几年内，就已经从保护个人网络发展为保护财富500强企业。通过这两个解决方案之间的集成，我们现在可以帮助托管服务提供商（MSP）通过parent-child策略配置和帐户层级策略覆盖来支持大型多租户部署，无缝地保护全体员工免受在线威胁。

为什么要与托管服务提供者合作？

托管服务提供者（MSP）是许多CIO工具包中的关键部分。在这个颠覆性技术、混合办公和不断变化的商业模式同时并发的时代，IT和安全运营外包是不同体量的企业在推动实现战略目标及降本增效时会采纳的基本策略。MSP通常都具备深厚的技术知识储备、威胁洞察能力及各类安全技术解决方案的专业知识背景，能够协助防御勒索软件、恶意软件和其他在线威胁。通过与MSP合作可以获得易于部署、且具有价格竞争力的IT和安全解决方案，这样一来企业内部团队可以专注于更具战略性的举措。而Cloudflare也一直在致力于让我们的客户可以更容易地与MSP开展合作，以便从部署和管理层面做好全面的Zero Trust转型。

选择一家合适的MSP的决策标准是：该提供商是否有能力维护合作伙伴的最佳技术、安全和成本利益。MSP应该尽可能利用创新和低成本的安全解决方案，为您的组织带来最佳价值。由于混合办公带来更广泛的攻击受面，相比更现代和专门的解决方案，过时的技术会迅速地产生更高的实施和维护成本。在Zero Trust这样一个发展中的领域，一家有效的MSP应该能够支持客户全局部署，规模化管理，并有效地在业务部门执行全局企业策略。

Cloudflare Gateway DNS Filtering可以与MSP的产品组合进行结合互补，作为Zero Trust访问控制战略的一部分。DNS过滤使用域名系统（DNS）屏蔽恶意网站，防止用户接触到互联网上有害或不适当的内容。这确保了公司数据的安全，并允许公司控制员工可以在公司管理的网络和设备上访问的内容。

过滤策略通常由组织与服务提供商协商确定。在某些情况下，这些策略还需要由MSP或客户在帐户或业务部门级别进行独立管理。这意味着，需要用parent-child关系来平衡企业级规则的部署与跨设备、办公地点或业务部门的定制，这是非常常见的。这种结构对于正在跨数百万设备和帐户部署访问策略的MSP至关重要。

更为紧密及高效的协作：Zero Trust Tenant Platform

为了让MSP更容易管理数百万个帐户，并实施适当的访问控制和策略管理，我们将Cloudflare Gateway与现有的Tenant平台集成了一个可提供parent-child配置的新特性。这允许MSP合作伙伴创建和管理帐户，设置全局企业安全策略，并允许在单个业务部门或团队级别进行适当的管理或覆盖。

Tenant平台允许MSP自行创建数百万个最终客户帐户，以支持其特定的启动和配置。这也确保了客户之间所有权的适当分离，并允许最终客户在需要时直接访问Cloudflare仪表板。

所创建的每个帐户都是一个单独的容器，其中包含MSP每个最终客户的订阅资源（Zero Trust策略、区域、Worker等）。客户管理员可以根据需要受邀对每个帐户进行自助服务管理，而MSP保留对每个帐户所启用的功能的控制。

MSP现在能够大规模地设置和管理帐户，我们将探索与Cloudflare Gateway的集成如何让他们管理这些帐户的扩展DNS过滤策略。

分层Zero Trust帐户

每个MSP最终客户的独立帐户准备就绪后，MSP可完全管理部署，也可提供受Cloudflare配置API支持的自助门户。支持配置门户还意味着您永远不希望您的最终用户阻止对此域的访问，因此MSP可以在其所有最终客户帐户加入时向其添加隐藏策略，这将是一个简单的一次性API调用。尽管每当他们需要向上述策略推送更新时就会出现问题，但现在这意味着他们必须为每个MSP最终客户更新一次策略，对于某些MSP，这可能意味着超过100万次API调用。

为了将其转换为单次API调用，我们引入了顶级帐户（即parent帐户）的概念。此parent帐户允许MSP设置全局策略，这些策略在后续MSP最终客户策略（即子帐户策略）之前应用于所有DNS查询。这种结构有助于确保MSP可以为其所有子帐户设置自己的全局策略，同时每个子帐户可以进一步过滤其DNS查询以满足他们的需求，而不会影响任何其他子帐户。

这也并不限于策略，每个子账户都可以创建自己的自定义阻止页面，上传自己的证书以显示这些阻止页面，并通过Gateway地点设置自己的DNS端点（IPv4、IPv6、DoH和DoT）。此外，由于这些帐户与非MSP Gateway帐户完全相同，因此对于每个父或子帐户的策略、位置或列表的默认限制而言，没有任何下限。

下一步

综上所述，在确保当今各种规模和发展阶段的企业及组织可拥有多样化的生态系统方面，MSP发挥了关键作用。各种规模的公司都发现自己面临着同样复杂的威胁形势，并面临着在有限的资源和有限的安全工具下维持适当的安全态势和管理风险的挑战。MSP提供了额外的资源、专业知识和先进的安全工具，可以帮助这些公司降低风险。Cloudflare致力于让MSP更容易有效地为客户提供Zero Trust解决方案。

鉴于MSP对我们客户的重要性和我们合作伙伴网络的持续增长，我们计划在2023年推出一系列新特性，并在此基础上更好地支持我们的MSP合作伙伴。首先，我们路线图上的一个关键项目是：开发一个重新设计的租户管理仪表板，以改进帐户和用户管理。其次，我们希望在整个Zero Trust解决方案集上扩展我们的多租户配置，以便让MSP更容易大规模实施安全的混合办公解决方案。

最后，为了更好地支持层级访问，我们计划扩展MSP合作伙伴目前可用的用户角色和访问模型，以允许他们的团队更轻松地支持和管理他们的各种帐户。Cloudflare一直以其易用性为荣，我们的目标是让Cloudflare成为全球服务和安全提供商的首选Zero Trust平台。

在整个CIO Week期间，我们已经谈到合作伙伴如何帮助他们的客户实现安全态势的现代化，与经历了混合办公和混合多云基础设施转型的全球趋势保持一致。归根结底，Cloudflare Zero Trust的力量在于它是一个可组合、统一的平台，将产品、功能和我们的合作伙伴网络结合在一起。

相关推荐: 价格谈不拢，亚马逊放弃收购迪拜电商Souq.com

据两位知情人士称，因收购价格未谈拢，亚马逊和Flipkart已经放弃了收购迪拜电商Souq.com。目前Souq.com正在寻找其他有意向的投资者，与迪拜Majid Al Futtaim进行收购谈判。 据知情人士在去年11月爆料称，亚马逊当时与Souq.com…