小型企业今天如何开始使用Cloudflare One [复制链接]

　本周早些时候，我们宣布了Cloudflare One?，这是我们基于云的全面的网络即服务解决方案。Cloudflare One可以提高网络性能和安全性，同时为各种规模的公司降低成本和复杂性。
　　
　　Cloudflare One旨在处理最大的公司网络的规模和复杂性。但是，在网络安全性和性能方面，该行业经常将重点放在拥有大量预算和技术团队的最大客户上。在Cloudflare，我们认为为每个人提供服务是我们的机会和责任，并帮助各种规模的公司从更好的Internet中受益。
　　
　　这是Cloudflare的“零信任周”，我们已经讨论过“对所有人的零信任”的口号。作为快速更新，零信任是一个安全框架，它假定所有网络，设备和Internet目的地都固有地受到损害，因此不应被信任。Cloudflare One通过确保用户连接到企业应用程序和整个Internet的方式来促进零信任安全。
　　
　　作为小型企业网络管理员，从根本上需要保护三件事：设备，应用程序和网络本身。下面，我将概述如何通过迁移到安全性（信任）零信任模型来保护设备（无论它们在办公室（DNS筛选）还是远程（WARP +和网关），以及应用程序和网络）的安全。
　　
　　根据设计，任何规模的团队都可以使用Cloudflare One。您不需要庞大的IT部门或《财富》 500强预算就可以安全地连接到您的工具。周二，我们宣布了一项新的免费计划，该计划提供Cloudflare One的许多功能，包括DNS过滤，零信任访问和管理仪表板-最多可免费为50位用户提供。
　　
　　从现在开始，您的团队只需几个简单的步骤即可开始在您的组织中部署Cloudflare One。
　　
　　步骤1：通过DNS过滤保护办公室免受Internet上的威胁（10分钟）；
　　
　　步骤2：使用Cloudflare WARP +保护远程工作者连接到Internet（30分钟）；
　　
　　步骤3：通过Cloudflare Access将用户连接到没有VPN的应用程序（1小时） ）
　　
　　步骤4：使用安全Web网关阻止设备上的威胁和数据丢失（1小时）
　　
　　步骤5：向您的SaaS应用程序添加零信任（2小时）
　　
　　1.在10分钟内开始阻止恶意网站和网络钓鱼尝试
　　
　　互联网可能是充满恶意软件和威胁无处不在的危险场所。保护员工免受Internet威胁的威胁，需要一种检查和过滤其流量的方法。首先从DNS级别的过滤开始，该过滤可以快速，轻松地消除已知的恶意站点，并限制对Internet上潜在危险社区的访问。
　　
　　当您的设备连接到网站时，它们首先向DNS解析器发送DNS查询，以查找该站点的主机名的IP地址。解析器响应，设备启动连接。最初的查询给您的团队的安全性带来了两个挑战：
　　
　　大多数DNS查询都是未加密的。ISP可以监视您的员工和公司设备在家中工作时进行的DNS查询。更糟糕的是，恶意行为者可能会修改响应以发起攻击。
　　
　　DNS查询可以解析为恶意主机名。团队成员可以单击导致网络钓鱼攻击或恶意软件下载的链接。
　　
　　Cloudflare One可以帮助保持第一个查询的私密性，并防止设备无意间请求已知的恶意主机名。
　　
　　首先注册一个Cloudflare帐户，然后导航到Cloudflare for Teams仪表板。
　　
　　接下来，设置一个位置。系统将提示您创建一个位置，如果您想保护办公网络的DNS查询，可以执行此操作。只需更改网络的路由器以指向分配的网关IP地址，即可为您的办公室部署网关的DNS过滤。
　　
　　Cloudflare运行着1.1.1.1，这是世界上最快的DNS解析器。我们已经在同一架构的基础上构建了Cloudflare Gateway的DNS过滤工具，以便您的团队拥有更快，更安全的DNS。
　　
　　现在，您可以轻松创建网关DNS策略来过滤安全威胁或特定内容类别。
　　
　　然后使用网关仪表板监视允许或阻止的查询。
　　
　　然后导航到“概述”选项卡上的仪表板，查看您的流量，包括您正在阻止和允许的流量。
　　
　　2.接下来，保护您的所有远程员工，并通过加密连接通过Cloudflare发送所有流量
　　
　　过去曾经通过您的办公室网络连接到Internet的员工现在可以通过成百上千个不同的家庭网络或移动热点进行连接，以完成工作。该流量依赖于可能不是私有的连接。
　　
　　您可以使用Cloudflare One使用Cloudflare WARP通过加密的，加速的路径将所有团队成员的流量路由到Internet。Cloudflare WARP是您的团队成员可以在macOS，Windows，iOS和Android上安装的应用程序。客户端将通过Cloudflare实施的称为WireGuard的技术将其所有设备的流量路由到附近的Cloudflare数据中心。
　　
　　当他们连接时，Cloudflare One使用WARP +，这是WARP的实现，该实现使用Argo智能路由服务通过我们的数据中心全球网络找到到达用户目的地的最短路径。
　　
　　您的团队可以立即开始使用Cloudflare WARP。导航到Cloudflare for Teams仪表板，并购买Cloudflare Gateway或Cloudflare for Teams Standard计划。购买后，您可以创建规则来确定组织中的哪些人可以使用Cloudflare WARP。
　　
　　最终用户可以启动客户端，输入团队的组织名称，然后登录以开始使用WARP +。另外，您可以使用通过设备管理解决方案（例如JAMF或InTune）预先配置的设置来部署应用程序。
　　
　　Cloudflare WARP与Gateway的DNS过滤无缝集成，从而为漫游设备带来安全，加密的DNS解析。用户可以在您的Cloudflare for Teams帐户中输入位置的DoH子域，以在任何工作地点开始使用组织的DNS过滤设置。
　　
　　3.用Cloudflare Access替换您的VPN
　　
　　当我们是一个较小的团队并依靠VPN时，我们的IT服务台收到数百张抱怨我们的VPN的票。其中一些描述可能看起来很熟悉。
　　
　　我们构建了Cloudflare Access，以取代使用VPN作为应用程序网守的方式。Cloudflare Access遵循一种称为零信任安全性的模型，其中Cloudflare的网络默认情况下不信任任何连接。每个尝试访问应用程序的用户都必须证明，应根据管理员配置的规则允许他们访问该应用程序。通过我们的新团队免费计划，最多可免费使用多达50个Access席位。
　　
　　这听起来像是增加了负担，但是Cloudflare Access与团队的身份提供商和单点登录（SSO）选项集成在一起，从而使任何应用程序都可以像使用SSO的SaaS应用程序一样无缝。即使您的团队没有公司身份提供者，您也可以将Access与GitHub和LinkedIn等免费服务集成，以便您的员工和合作伙伴可以进行身份??验证，而无需增加成本。
　　
　　对于托管的应用程序，您可以使用Argo Tunnel将源连接到Cloudflare的网络，而不会在防火墙上造成漏洞。Cloudflare的网络将使用我们的全球专用骨干网，通过快速通道加快从该来源到您用户的流量。
　　
　　当您的团队成员需要连接到应用程序时，他们可以直接访问它，也可以从您团队的自定义应用程序启动器开始。当他们到达时，将提示他们使用您的身份提供者登录，Access会根据您在Cloudflare for Teams仪表板上创建的规则来检查其身份以及其他特征（例如登录国家）。
　　
　　Cloudflare的免费计划免费包含多达50个Cloudflare Access席位，这样您的团队就可以开始
　　
　　4.添加安全Web网关以阻止威胁和文件丢失
　　
　　借助Cloudflare WARP，离开您设备的所有流量现在都通过Cloudflare的网络进行路由。但是，威胁和数据丢失可能隐藏在该流量内部。您可以将Cloudflare Gateway的HTTP过滤添加到团队的Cloudflare WARP使用中，以阻止威胁和文件丢失。例如，如果您的团队使用Box，则可以将所有文件上传限制到其他基于云的存储服务，以确保所有内容都保存在一个批准的位置。
　　
　　首先，请导航至Cloudflare for Teams仪表板的“策略”部分。选择HTTP选项卡以开始建立规则，以检查流量是否存在潜在问题，例如已知的恶意URL或将文件上传到未经批准的目的地。
　　
　　要检查流量，您需要在已注册的设备上下载并安装证书。安装后，您可以从“策略”选项卡启用HTTP筛选，以开始执行您创建的策略并捕获事件日志。
　　
　　5.为您的SaaS应用程序带来零信任规则
　　
　　如果您没有自托管的应用程序，或者也没有使用SaaS应用程序，则仍然可以将与团队使用Cloudflare Access for SaaS的SaaS应用程序相同的“零信任”规则（无论位于何处）。借助Access for SaaS，公司现在可以集中管理所有应用程序的用户访问和安全监控。
　　
　　您可以将Cloudflare Access作为身份提供程序集成到任何支持SAML SSO的SaaS应用程序中。该集成将通过Cloudflare的网络将所有登录尝试发送到您配置的身份提供商，并执行您控制的规则。
　　
　　对SaaS的访问仍然包括同时运行多个身份提供程序的能力。当用户登录SaaS应用程序时，系统将提示他们选择所需的身份提供程序，或者我们会将其直接发送给您要用于该应用程序的唯一提供程序。
　　
　　部署后，Access for SaaS可以使您的团队以低的工作量获得对内部和SaaS应用程序的每次登录的高度可见性。您可以将新的Access for SaaS功能作为Cloudflare for Teams免费计划的一部分使用，最多可容纳50位用户。
　　
　　6.很快：保护小型企业办公网络
　　
　　Cloudflare的Magic Transit?产品利用了我们学到的一切知识，可以保护我们自己的网络免受IP层攻击，并将这种安全性扩展到运营自己IP地址空间的客户。通过保护该网络，客户还可以从与Internet的高性能和可靠的IP连接中受益。
　　
　　如今，世界上一些最大的企业都依靠Magic Transit来保护其业务免受攻击。我们计划在即将发布的版本中将相同的保护和连接性扩展到运营较小网络的团队。
　　
　　下一步是什么？
　　
　　Cloudflare One代表了我们对企业网络未来的愿景，我们才刚刚开始添加产品和功能，以帮助团队转变为该模型。就是说，您的团队不必等待通过Cloudflare进行连接并通过我们的网络保护您的数据和应用程序的安全。
　　
　　首先，请注册一个Cloudflare帐户，然后按照上述步骤操作。如果您对将Cloudflare One设置为小型企业或大型企业有任何疑问，请在此社区论坛中告诉我们。
　　
　　详情请访问cloudflare中国官网（https://www.cloudflare.com/zh-cn/）