製造業 CIO 論壇 台中場
面對零信任,許多企業都認為它是一個複雜、耗時且所費不貲的佈建。惟 Cloudflare 的零信任方案顛覆這般樣態,讓企業僅需經由用戶認證、Internet 連線國際骨幹網、部署 Agent 等簡潔工序,便能迅速實踐全域安全。
文/明雲青
儘管各界已有共識,零信任架構確實是解決新世代資安問題的必要解方;但不少企業坦言,欲使零信任落地,堪稱是艱難習題。只因他們想像中的零信任構圖,箇中存有千絲萬縷的複雜鏈路,唯有如此才能將四散的使用者、資源全部連在一起,且其間也存有 MPLS、SD-WAN 或 Legacy WAN 等多重連結方式。
Cloudflare 解決方案工程師 Brian Han 則有不同見解,只要依照 Cloudflare 所定義的零信任與全域安全的實踐路徑圖,要讓零信任落地,其實是一個簡單歷程。
為何 Cloudflare 能做到化繁為簡?Brian Han 說明,其零信任架構從「Start from One」出發,始於 Cloudflare 遍佈在全球 310 個城市、逾 120 國的一張國際骨幹網,透過這張網,底下附加 Cloudflare 很多功能,比方說 13,000 多個互聯、Anycast Routing 等等。
針對零信任落地的第一步,首先進行 IdP 客戶認證,目前支援 Microsoft ADFS 和 Okta。之後展開部署,將 Cloudflare 的 Agent 植入 Client Device,藉此管控其上網行為模式,包括 Office 對 Office 的連結、存取 Internet,都透過 Cloudflare 這張國際骨幹網,且可依照每家公司自定攻策來實施管控。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
綜上所述,用戶只需經由 Internet 連結國際骨幹網,便可適用 Cloudflare 零信任架構,意謂用戶端無需在地端部署任何額外裝置或設備。接著企業可選擇在公有雲、SaaS 服務(如 Salesforce、 Workday 等)或單點 Server 安裝 Cloudflare 的 Agent,把它們拉上國際骨幹網;此後企業便可針對所有需要存取這些資源的使用者,透過 Cloudflare 整合化的單點環境裡下達存取規則;如限定某某人或團隊、在某某時間不可存取特定資源,抑或在俄國、北韓等敏感地區發動存取需求者,亦可被禁止。
另外企業自有的資料中心或內網資源,亦可透過一個簡單的整合方式,將所有 Traffic 連線到 Cloudflare 國際骨幹網上。而使用者不管身處台灣、東南亞、歐美…等等,都會上到最近的 Cloudflare 節點、再透過國際骨幹網快速跨國跨州跨海,抵達雲地的各種資源。以具有跨國據點的製造企業而言,即可運用上述方式,或藉助 Cloudflare 的連接器,以較低成本實現所有據點之間的互聯互通。
附帶一提,Cloudflare 也可與一些諸如 CrowdStrike 的端點資安方案整合,當這些方案發現到本機已被駭客攻陷時,就會對 Cloudflare 零信任平台發送警訊,此時 Cloudflare 就馬上切斷這台設備的內外網所有存取,即時回應每一個安全事件。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
