Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Cloudflare Access stellt sich vor: Wie BeyondCorp, aber Sie müssen kein Google-Mitarbeiter sein, um es zu nutzen

2018-01-17

Lesezeit: 3 Min.
Dieser Beitrag ist auch auf English, Français, Español, und 简体中文 verfügbar.

Sagen Sie mir, ob Ihnen das bekannt vorkommt: Jede Verbindung aus dem Firmennetzwerk ist vertrauenswürdig und jede Verbindung von außen nicht. Das ist die Sicherheitsstrategie, die heute von den meisten Unternehmen verwendet wird. Das Problem ist, dass der Angreifer, sobald er die Firewall, das Gateway oder den VPN-Server durchbrochen hat, die diesen Schutzwall bilden, sofortigen, einfachen und zuverlässigen Zugriff auf alles erhält.

CC BY-SA 2.0 image by William Warby

CC BY-SA 2.0 Foto von William Warby

Es gibt ein zweites Problem mit dem traditionellen Sicherheitsschutzwallmodell. Entweder müssen sich die Mitarbeiter im Unternehmensnetzwerk befinden (d. h. physisch im Büro) oder Sie müssen ein VPN nutzen, was die Arbeit verlangsamt, da jeder Seitenaufruf zusätzliche Roundtrips zum VPN-Server erfordert. Und nach all dem Aufwand sind die Benutzer im VPN immer noch sehr anfällig für Phishing, on-path- und SQL-Injection-Angriffe.

Vor einigen Jahren hat Google für die eigenen Mitarbeiter eine Lösung namens BeyondCorp entwickelt. Anstatt seine internen Anwendungen im Intranet zu lassen, machte Google sie im Internet zugänglich. Es gab keine Unterscheidung von innerhalb oder außerhalb des Netzwerks. Das Netzwerk war keine gesicherte Festung, alles war im Internet, und keiner Verbindung wurde getraut. Jeder musste beweisen, dass er der war, für den er sich ausgab.

Cloudflare hat sich schon immer auf die Fahnen geschrieben, die Werkzeuge der Internet-Giganten zu demokratisieren. Heute starten wir Cloudflare Access: eine perimeterlose Zugangskontrolllösung für Cloud- und lokale Anwendungen. Es ist wie BeyondCorp, aber Sie müssen kein Google-Mitarbeiter sein, um es zu nutzen.

Access-blog-post-diagramv2

Wie funktioniert Cloudflare Access?

Access fungiert als einheitlicher Reverse-Proxy, um die Zugriffskontrolle durchzusetzen. Dazu wird bei jeder Anfrage Folgendes sichergestellt:

Authentifizierung: Access bindet standardmäßig die meisten der großen Identitätsanbieter wie Google, Azure Active Directory und Okta ein, sodass Sie Ihren derzeitigen Identitätsanbieter schnell mit Cloudflare verbinden und die bereits erstellten Gruppen und Benutzer für den Zugriff auf Ihre Webanwendungen nutzen können. Sie können zusätzlich TLS mit Client-Authentifizierung verwenden und Verbindungen nur auf Geräte mit einem eindeutigen Client-Zertifikat beschränken. Cloudflare stellt sicher, dass das verbindende Gerät über ein gültiges Client-Zertifikat verfügt, das von der Zertifizierungsstelle des Unternehmens signiert wurde. Dann authentifiziert Cloudflare die Anmeldedaten des Benutzers, um den Zugriff auf eine interne Anwendung zu ermöglichen.

Autorisierung: Mit der Lösung können Sie Anwendungsressourcen ganz einfach dadruch schützen, dass Sie Zugriffsrichtlinien für Gruppen und einzelne Benutzer konfigurieren, die Sie bereits mit Ihren Identitätsanbietern erstellt haben. Beispielsweise können Sie mit Access sicherstellen, dass nur Ihre Mitarbeiter auf Ihre interne Kanban-Tafel zugreifen können, oder das wp-admin Ihrer Wordpress-Seite sperren.

access-policy

Verschlüsselung: Da Cloudflare alle Verbindungen mit HTTPS absichert, ist kein VPN erforderlich.

Für alle IT-Administratoren, die von in der Welt herumreisenden Managern gescholten wurden, wie langsam das VPN das Internet macht, ist Access die perfekte Lösung. Sie können damit den Zugriff auf Anwendungen steuern und überwachen. Dazu werden über das Dashboard und die APIs folgende Funktionen bereitgestellt:

  • Einfache Änderung von Zugriffsrichtlinien

  • Anpassung der Sitzungsdauer

  • Widerruf bestehender Benutzersitzungen

  • Zentralisierte Protokollierung für Audit- und Änderungsprotokolle

Möchten Sie Ihr VPN durch eine noch schnellere Verbindung ersetzen? Versuchen Sie, Access mit Argo zu koppeln. Wenn Sie Access vor einer internen Anwendung verwenden möchten, diese aber nicht für das gesamte Internet öffnen wollen, können Sie Access mit Warp kombinieren. Warp macht Cloudflare zur Internetverbindung Ihrer Anwendung, sodass Sie nicht einmal eine öffentliche IP benötigen. Wenn Sie Access vor einer älteren Anwendung verwenden und diese Anwendung vor ungepatchten Schwachstellen in älterer Software schützen möchten, können Sie einfach mit einem Klick die Web Application Firewall aktivieren. Cloudflare prüft dann Pakete und blockiert diejenigen mit Exploits.

Cloudflare Access ermöglicht es Mitarbeitern, sich mit jedem Gerät, an jedem Ort und in jedem Netzwerk mit Unternehmensanwendungen zu verbinden. Access wird auf Cloudflares globalem Netzwerk mit über 120 Rechenzentren betrieben, die eine angemessene Redundanz und DDoS-Schutz bieten und die Nähe zu den Standorten Ihrer Mitarbeiter und Unternehmenseinheiten gewährleisten.

Erste Schritte:

Die Einrichtung von Access dauert 5–10 Minuten und es kann von bis zu einem Benutzer kostenlos getestet werden (darüber hinaus sind es 3 USD pro Platz und Monat, und Sie können den Vertrieb gern nach Mengenrabatten fragen). Cloudflare Access ist ab sofort für unsere Enterprise-Kunden in vollem Umfang verfügbar und befindet sich in der offenen Beta für unsere Kunden mit kostenlosem, Pro- oder Business-Tarif. Um loszulegen, rufen Sie im Cloudflare-Dashboard die Registerkarte „Access“ auf.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
Cloudflare AccessGeschwindigkeit & ZuverlässigkeitAuthenticationProdukt-NewsSicherheit

Folgen auf X

Cloudflare|@cloudflare

Verwandte Beiträge

24. Oktober 2024 um 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

23. Oktober 2024 um 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

09. Oktober 2024 um 13:00

Improving platform resilience at Cloudflare through automation

We realized that we need a way to automatically heal our platform from an operations perspective, and designed and built a workflow orchestration platform to provide these self-healing capabilities across our global network. We explore how this has helped us to reduce the impact on our customers due to operational issues, and the rich variety of similar problems it has empowered us to solve....