浏览器中的零信任终端

2021-04-15 23:57:34

团队的CloudFlare提供了任何规模的组织,该组织能够将零信任控制添加到资源和数据,同时还提高了CloudFlare网络的性能。从今天开始,您的团队可以使用同一平台从浏览器内部无缝连接到非HTTP资源,Web应用程序中可用的审计控制级别相同。

CloudFlare的浏览器的终端呈现出完全功能的控制台,即用户可以单击启动。用户使用组织的SSO和CloudFlare的Edge检查他们遇到了与正在访问的资源的零信任规则符合团队的零信任规则。

一旦批准,用户可以通过SSH运行命令,就像他们使用的本机命令行没有任何客户端配置或代理一样。 CloudFlare的网络将加速其连接,应用关于可以进行数据传输的规则,并根据需要记录管理员的会话以审核。

我们基于与正在努力保护和提供生活在浏览器之外的客户的客户的对话构建了CloudFlare的浏览器终端。我们听说我们不得不处理使用和支持现有工作流的开发人员将SSH连接到机器或将遗留应用程序扩展到大型,远程劳动力。

我们从终端开始进行SSH用例,但CloudFlare的平台将为您的团队所需的几乎任何应用提供基于浏览器的界面。您的安全团队可以创建零信任规则,以确定谁可以达到这些资源以及记录每个连接时的资源。您能够添加高级安全功能,以记录会话和检查和过滤数据,以便在SSH和很快RDP等非HTTP连接中停止事件。

该平台还使应用程序更快地为您的最终用户更快。 CloudFlare的网络在任何地区的团队中加速了您服务的连接。现有的团队成员可以迁移到零信任模型,而无需任何客户端配置。新员工可以在单击单击位置找到他们需要的每个资源,而不仅仅是Web应用程序,并通过单击启动它们。

由于Web浏览器,反向代理和浏览器cookie,它将为Web应用程序添加零信任控件的IT部门的工作更容易。用于生活在私有网络上的Web应用程序可以部署在反向代理之后,如CloudFlare,用户可以在任何Web浏览器中访问公共DNS地址,而反向代理检查身份。 CloudFlare访问在这些工具上构建,以便您的团队能够在不到10分钟内为任何Web应用程序添加零信任规则。

非Web应用程序引入挑战。最传统的应用程序,需要厚厚的客户端依赖私有网络。客户端软件希望通过特定协议达到私有IP,并使IP公众是由于数据丢失的风险,几乎所有组织都是一个非起动器。即使是公共,最终用户仍然需要在其设备上运行客户端软件。

对这些应用程序的身份验证也依赖于遗留方法。开发人员持有长期的SSH键,以达到机器,并且业务用户将用户名和密码保留在RDP会话上的粘滞便笺上。这些类型的资源使得与您的SSO提供商和其他控件相结合困难或不可能像设备姿势一样集成。

您还可以使用CloudFlare记录每个身份验证事件和HTTP请求,而且在没有任何服务器端代码的情况下更改。团队可以为任何Web应用程序部署全面的日志记录图层,与零信任控件一起,没有任何服务器端代码更改。

我们已经听到了我们的客户,数据控制和记录差距仍然在浏览器外面的“其他应用程序”中。虽然团队在Web应用程序中投入显着改进,但在浏览器之外的任何内容都成为盲点。

Web浏览器几乎可以在任何设备上使用任何用户访问任何SaaS应用程序。用户可以从任何制造商中获取任何笔记本电脑,并在Microsoft 365中编辑Excel电子表格或更新Salesforce中的客户记录。

易用性开始为包括移动设备或在浏览器中不运行的应用程序的任何其他组合进行分解。一些组织将专用硬件与特定的操作系统送到需要它的某些团队成员。更多团队依赖昂贵的虚拟化平台,减慢用户工作流程。

无论客户端方法如何,用户和资源之间的连接也遭受了任何传统专用网络的相同问题。通过集中式设备重新加回流量,用户通过缓慢的性能遭受,以完成管理生产机器或企业资源规划的关键工作流程。

迁移到零信任模型可以成为核心,当结束用户必须更改非Web应用程序的本地配置时。当我们自己的团队首次删除我们的VPN时,最受欢迎的聊天室成为一个线程,工程师将共享SSH配置文件并回答有关该环境变量的问题,以便到达kubernetes工作负载。

应用程序发现也成为一个问题。组织必须使用常用服务的IP地址和端口的库存更新Wiki页面。最终用户必须询问其他团队成员有助于连接到特定资源。

我们很高兴帮助您的团队在今天的公告中解决所有这些挑战。像Web应用程序流量一样,解决方案需要几分钟部署,不需要最终用户配置,并包含三个组件:

使用称为CloudFlared的轻量级守护程序从该服务到CloudFlare的边缘的安全连接

我们与具有合规性要求的企业讨论了为所有自主托管应用程序添加第二因子认证,但他们估计这样做需要几个月的发展时间。使用CloudFlare访问权限,您的团队可以使用身份提供商的第二个因子身份验证作为在几分钟内达到任何类型的应用程序的要求。

您可以使用其他信号将基于身份的基于身份的规则相同,如用户占用的国家/地区,使用与纳内尼亚人,炭黑,众人和其他提供商的集成的集成。组织可以要求用户仅从公司设备连接或构建登录流,支持像OKTA和Azure AD这样的企业提供商,以及GitHub和Google等公共认证选项。

CloudFlare的Zero Trust平台还可以帮助您的团队摆脱长期的SSH安全密钥等过时的身份验证过程。解决方案在登录期间颁发的JSON Web令牌并将其转换为授权计算机上用户会话的短暂证书。

CloudFlare Zero Trust应用程序平台为您的团队提供相同的控制级别,对您今天在CloudFlare Gateway中拥有的文件,数据甚至命令的控制级别相同,并将其应用于企业中的任何受支持的应用程序类型。

首先,您的团队现在可以构建规则,控制组织中的谁可以通过SSH连接或RDP的远程桌面将数据传输到或远离计算机。通过机器,用户和组标识或国家和设备构建规则。将数据放在环境中的计算机或桌面上,并关闭组织以外的漫游设备。

即将推出,通过为任何连接类型启用会话录制,部署高可见性解决方案。 CloudFlare Zero Trust应用程序将录制任何会话的屏幕,间隔批量录制,并将它们发送到已配置的存储位置。我们也将添加结构化的命令日志和键盘输入到此流。

今天的发布不仅可以提高您组织中的任何应用程序的安全性,它也使您的所有用户更轻松。

CloudFlare Zero Trust应用程序的基于浏览器的界面可以从单个仪表板启动,该仪表板可针对每个最终用户的权限。用户登录您的组织控件和CloudFlare显示他们可以到达的每个应用程序 - Web,SSH,RDP等的每个应用程序。

用户可以在视图中单击任何图块,以在不留下浏览器的情况下为给定应用程序启动接口。 CloudFlare的Zero Trust登录流程授权它们到会话,他们可以在不修改SSH配置文件或本地编辑RDP客户端的情况下开始工作。

手机也只是有效。 CloudFlare可以在平板电脑和手机上的任何常见浏览器中呈现会话,使得工地站点或远离桌面的技术人员可以远离任何服务,以便无缝地连接到Web应用程序。

就像CloudFlare一个产品一样,这种解决方案不强调您的团队在安全性和性能之间挑选。 CloudFlare Zero Trust应用程序使您的团队需要更快的应用程序。

该方法始于通过对CloudFlare浏览器的远程浏览器隔离技术构建开始。 CloudFlare Zero Trus Apps将应用程序呈现在浏览器中的应用程序,就像它是本机应用程序一样。用户可以突出显示,复制和粘贴,并使用快捷方式。

接下来,解决方案使用CloudFlare的网络将来自服务器的流量加速到最终用户。 CloudFlare决定了我们全球骨干网上最快的路径,并从100多个国家的200多个城市附近的数据中心向您的团队提供经验。

今天的发布开始于支持SSH。除了结构化的命令日志记录和过滤的SSH之外,我们计划在未来几个月内继续为未来几个月添加其他应用程序类型的支持。您的团队是否拥有使用痛苦的资源?当我们优先考虑扩张时,让我们知道。

如果您的团队使用CloudFlare访问SSH流程,可以立即开始使用单一配置更改的零信任应用程序。要开始,请按照以下说明操作。

作为团队CloudFlare的一部分,您的组织可以从CloudFlare Zero Trust应用程序开始,以便最多50个用户作为团队免费计划的一部分。高级安全功能,如会话录制,将在CloudFlare上提供团队标准计划。

开发者周开发人员归零信任SSH CloudFlare访问权限