在當今快節奏的數位環境中,公司管理的環境組合日漸復雜——從 SaaS 應用程式和公有雲端平台,到內部部署資料中心和混合設定。這種多樣化的基礎架構提供了靈活性和可擴展性,但也帶來了新的攻擊面。
為了支援業務連續性和安全性需求,「安全性必須從被動式發展為預測式」。維持健康的安全狀態需要監控和加強安全防禦,以識別風險、確保合規性並防範不斷演變的威脅。利用我們的最新功能,您現在可以使用 Cloudflare 在您的 SaaS 和 Web 應用程式中實現健康狀態。這回答了所有安全團隊每天的終極問題:我們的資產和文件保護得怎麼樣?
預測式安全狀態依賴於以下關鍵組成部分:
即時探索和清查您的所有資產和文件
持續的資產感知威脅偵測和風險評估
可增強保護的優先補救建議
今天,我們將分享我們如何在 SaaS 和 Web 應用程式中建置這些關鍵元件,以及您可以如何使用它們來管理企業的安全狀態。
安全狀態概覽
無論您將哪些應用程式連接到 Cloudflare 的全球網路,Cloudflare 都會定期主動掃描與每個應用程式相關的風險和設定錯誤。已識別的風險和設定錯誤將作為見解顯示在安全中心下的儀表板上。
這些見解依照嚴重程度、風險類型和對應的 Cloudflare 解決方案分組,讓您從多個角度深入瞭解相關內容。在適用的情況下,會針對特定類型的見解提供一鍵解決方案,例如將最低 TLS 版本設定為 PCI DSS 建議的 1.2 版本。對於需要管理的組織資產不斷成長的客戶來說,這種簡單性深受好評。
為了進一步縮短問題解決時間,我們最近在 Cloudflare 儀表板的安全性見解中新增了基於角色的存取控制 (RBAC)。現在,對於個別安全從業人員,他們可以取得與其角色相關的具體見解。具有管理員角色的使用者(如 CSO)有權存取並查看所有見解。
除了帳戶範圍的安全性見解之外,我們還提供更接近 SaaS 和 Web 應用程式之對應安全設定的狀態概觀。讓我們逐一深入探討這些功能。
保護 SaaS 應用程式
若沒有集中式狀態管理,SaaS 應用程式的安全性將毫無保障。這些應用程式包含大量敏感性資訊——檔案、資料庫、工作空間、設計、發票,或是公司營運所需的任何內容,但其控制受限於廠商的設定,從而減少了您的可見性和自訂選項。此外,團隊成員不斷建立、更新和刪除內容,這可能導致設定偏移和資料暴露,例如公開共用檔案、將個人識別資訊 (PII) 新增到不合規的資料庫,或向第三方整合授予存取權限。藉助 Cloudflare,您可以在一個儀表板中取得對自己所有 SaaS 應用程式的可見性。
針對所有 SaaS 應用程式的狀態調查結果
從帳戶範圍的安全性見解中,您可以查看有關潛在 SaaS 安全問題的深入解析:
您可以選擇利用雲端存取安全性代理程式 (CASB),深入調查所有 SaaS 應用程式的設定錯誤、風險和未遵循最佳做法的詳細情況。您可以識別大量安全訊息,包括但不限於:
公開可用或外部共用的檔案
具有讀取或編輯權限的第三方應用程式
未知或匿名使用者存取
認證已暴露的資料庫
未啟用雙重驗證的使用者
非作用中使用者帳戶
您還可以瀏覽狀態調查結果頁面,可在該頁面輕鬆搜尋和瀏覽 SaaS 應用程式內儲存的文件。
此外,您可以建立原則來防止環境中發生設定偏移。基於預防的原則有助於維護安全設定和合規性標準,同時減輕安全營運團隊的警示倦怠,並且這些原則可以防止不當移動或外洩敏感性資料。跨不同環境統一控制和可見性,有助於輕鬆鎖定受監管的資料類型、透過記錄維護詳細的稽核追蹤,並改善安全狀態以降低違規風險。
工作原理:全新的即時 SaaS 文件探索
向客戶提供 SaaS 安全狀態資訊,需要從廣泛的平台收集大量資料。為確保 SaaS 應用程式中的所有文件(檔案、設計等)安全,我們需要收集有關其設定的資訊——是否公開共用、第三方應用程式是否有存取權限、是否啟用多重要素驗證 (MFA)?
我們先前透過網路爬蟲從 SaaS API 拉取資料來實現這一目標。然而,在處理大規模資料集時,我們遇到了 SaaS 廠商的限速問題。這迫使我們分批工作,並根據廠商的許可動態調整掃描規模。這會導致發現結果過時,並使補救變得麻煩且不明確。例如,Cloudflare 會在一個檔案被移除權限後的一小段時間內報告該檔案仍被公開共用,給客戶造成困惑。
為解決此問題,我們升級了資料收集流程,使其具備動態和即時的特性,能夠即時對環境中的變化做出回應,無論是新的安全發現、資產更新,還是來自廠商的關鍵警示。我們從 Microsoft 資產發現和狀態調查結果開始,為您提供有關 Microsoft 管理中心、OneDrive、Outlook 和 SharePoint 設定的即時見解。在將來,我們將快速擴展對更多 SaaS 廠商的支援。
偵聽來自 Cloudflare Workers 的更新事件
Cloudflare Workers 充當廠商 webhook 的入口點,處理來自外部服務的資產變更通知。工作流程展開如下:
Webhook 接聽程式:初始 Worker 充當 webhook 接聽程式,接收來自廠商的資產變更訊息。
資料儲存和佇列:收到訊息後,Worker 會將變更通知的原始負載上傳到 Cloudflare R2 以持久儲存,並將其發佈到專用於原始資產變更的 Cloudflare 佇列。
轉換 Worker:第二個 Worker 作為取用者係結至原始資產變更佇列,用於處理傳入訊息。此 Worker 將原始廠商特定資料轉換為適合 CASB 的通用格式。轉換後的資料隨後將:
儲存在 Cloudflare R2 中,以備將來參考。
在另一個指定用於轉換訊息的 Cloudflare 佇列上發佈。
CASB 處理:取用者與網路爬蟲
轉換後的訊息到達 CASB 層後,將進行進一步處理:
輪詢取用者:CASB 配備一個輪詢轉換訊息佇列的取用者。收到訊息後,其會確定處理所需的相關處理程式。
網路爬蟲執行:然後,處理程式將訊息對應到適當的網路爬蟲,後者與廠商 API 互動以擷取最新的資產詳細資訊。
資料儲存:擷取的資產資料儲存在 CASB 資料庫中,確保可存取該資料以進行安全性和合規性檢查。
有了這項改進,我們現在可以每秒處理 10 到 20 次 Microsoft 更新,或每天處理 86.4 萬到 172 萬次更新,為客戶提供對其環境的快速可見性。這一功能預計將在未來幾個月內擴展到其他 SaaS 廠商,敬請關注。
保護 Web 應用程式
保護 Web 應用程式的一個獨特挑戰是,沒有一種適合所有情況的方法。資產感知狀態管理彌合了通用安全解決方案與獨特業務需求之間的差距,為安全團隊提供針對性建議來保護關鍵資產。
從攻擊到威脅和風險的狀態概觀
即日起,所有 Cloudflare 客戶都可以存取「安全性概觀」,這是一個為每個已部署網域自訂的全新登陸頁面。此頁面彙總了所有 Web 應用程式的安全建議並進行優先排序:
偵測到需要立即註意的任何(正在進行的)攻擊
過去 7 天所有代理流量的處置情況(已緩解、由 Cloudflare 提供服務、由源站提供服務)
目前正在偵測威脅的作用中安全模組摘要
有關如何改善安全狀態的建議及逐步指南
最活躍和近期更新的安全性規則一覽
這些量身定制的安全建議根據您的流量狀況和業務需求(透過發現您的代理 Web 資產獲得)而顯示。
探索 Web 資產
無論所屬產業或使用案例是什麼,許多 Web 應用程式都需要類似的功能:使用者識別、接受付款資訊等。透過發現提供這些功能的資產,我們可以建置並執行有針對性的威脅偵測,提供深度保護。
例如,前往行銷頁面與登入頁面的機器人流量會對業務產生不同的影響。機器人可能正在對您的行銷資料進行內容剽竊,您可以隨心意允許或禁止;但若登入頁面上出現憑證填充攻擊,則需要立即關注。
Web 資產由一系列端點描述;標記每個端點即可定義其業務目標。一個簡單的範例是對路徑 /portal/login
的 POST
請求,這很可能描述了一個用於使用者驗證的 API。而對路徑 /portal/login
的GET
請求則表示實際的登入頁面。
要描述端點的業務目標,標籤就有了用武之地。向服務終端使用者的 /portal/login
端點及供員工使用的 /api/admin/login
端點發出的 POST
請求,都可以使用相同的 cf-log-in
受管理標籤進行標記,讓 Cloudflare 知道使用者名稱和密碼將會傳送到這些端點。
API Shield 客戶已經可以使用端點標記功能。2025 年第二季初,我們將新增標籤發現和建議功能,從 cf-log-in
、cf-sign-up
和 cf-rss-feed
這三個標籤開始。所有其他客戶都可將這些標籤手動新增至已儲存的端點。一個範例(下文中進行了說明)是防止在註冊過程中使用可棄電子郵件。
永遠開啟的威脅偵測和風險評估
使用案例驅動的威脅偵測
客戶告訴我們,隨著人們對生成式 AI 的興趣與日俱增,他們需要支援來保護這種新技術,同時不阻礙創新。發現 LLM 支援的服務後,就可以微調與此特定技術相關的安全控制,例如檢查提示、根據權杖使用限制提示速率等。在另一篇 Security Week 部落格文章中,我們將分享 Cloudflare Firewall for AI 的建立過程,以及如何輕鬆保護生成式 AI 工作負載。
帳戶詐欺涵蓋多種攻擊手段,偵測帳戶詐欺是我們在 2025 年關注的另一個關鍵領域。
許多登入和註冊頁面通常使用 CAPTCHA 解決方案來僅允許人類通過,這種方式假定只有機器人才會做出不適當的動作。且不說如今 AI 可以輕鬆解決大多數視覺 CAPTCHA 拼圖,這種方法也無法有效解決大多數帳戶詐欺手段的根本原因。例如,有人使用可棄電子郵件註冊單次使用帳戶,以便利用註冊優惠。
為了解決這個詐欺性註冊問題,目前正在開發一種安全性規則,可按以下方式部署,以封鎖所有使用可棄電子郵件作為使用者識別碼的嘗試,無論請求者是否為自動化程序。所有現有或未來標記為 cf-log-in
和 cf-sign-up
的端點都受此單一規則保護,因為它們都需要使用者識別。
從您的流量接入 Cloudflare 的那一刻起,我們快速擴展的使用案例驅動的威脅偵測就已經預設執行。可以透過安全分析查看即時可用的偵測結果,幫助您迅速做出明智的決策。
API 端點風險評估
API 具有一組獨特的風險和漏洞,今天,Cloudflare 將透過 API 狀態管理提供七項新的風險掃描。API Shield 的這項新功能可在 API 受到攻擊之前識別安全性問題並及早修復,從而幫助降低風險。由於 API 通常由許多不同的後端服務組成,安全團隊需要準確地識別哪一項後端服務容易受到攻擊,以便開發團隊可以修復已識別的問題。
我們新推出的 API 狀態管理風險掃描功能就可以做到這一點:使用者可以快速識別哪些 API 端點面臨多種漏洞風險,包括敏感資料暴露、驗證狀態、失效物件層級授權 (BOLA) 攻擊等等。
新系統中將提供的一項風險掃描是「驗證狀態」。我們首先關注這一方面,是因為當我們認為執行了 API 驗證但實際上驗證已失效時,敏感性資料就會面臨風險。驗證狀態可協助客戶識別 API 的驗證設定錯誤並發出警示。這是透過掃描對 API 的成功請求並記錄其驗證狀態來實現的。API Shield 每天掃描流量,並標記缺失驗證機制及具有混合驗證機制的 API 端點,以供進一步審查。
已在 API Shield 中設定工作階段 ID 的客戶,可以在 API Shield 中找到新的風險掃描標籤和每個端點的驗證詳細資料。安全團隊可以將此詳細資料提供給開發團隊,以修復驗證失效問題。
今天,我們推出了針對驗證狀態、敏感性資料、未充分保護的 API、BOLA 攻擊以及 API 效能異常(錯誤、延遲和回應大小)的掃描。
使用 Cloudflare 簡化維護良好安全狀態的過程
在快速變化的環境中實現良好安全狀態需要化繁為簡的創新解決方案。透過單一平台集中持續評估公用和私人 IT 環境中的威脅和風險,是我們支援客戶維護良好安全狀態的第一步。
為了進一步增強所提供的安全見解和建議的相關性,並幫助您更好地確定行動的順序,我們正在考慮整合 Cloudflare 的全球威脅情勢檢視。如此,您將獲得更多的見解視角,例如您所在產業面臨的最大威脅,以及攻擊者目前的目標對象。我們預計今年晚些時候會發佈更多更新,敬請關注。
如果您尚未這樣做,請立即將您的 SaaS 和 Web 應用程式連接到 Cloudflare,以立即取得有關如何改善企業安全狀態的見解。