Cloudflare mit Cloudflare One schützen

Eine wachsende hybride Belegschaft sichern

Seit unserer Gründung im Jahr 2010 lösen wir bei Cloudflare interne IT- und Sicherheitsprobleme in erster Linie mit unseren eigenen Diensten. Dieser Ansatz ermöglicht es uns, Funktionen zu testen und zu verbessern, bevor wir sie an unsere Kunden ausliefern, und er ist auch die Grundlage der Sicherheitsstrategie für unsere Mitarbeitenden.

As Cloudflare’s attack surfaces grow with the addition of more employees, customers, and technology, we have an obligation to further strengthen our security posture and equip our IT and security teams with strong visibility and control. In response, we’ve built and adopted services from Cloudflare One, our SASE and SSE platform, to secure access to applications, defend against cyber threats, and protect sensitive data.

Cloudflare beschäftigt mehr als 3.500 Menschen in Dutzenden von Büros und Remote-Standorten. Dieser Anwenderbericht beschreibt, wie wir unsere eigenen Cloudflare One-Dienste verwenden, um die Sicherheit und Produktivität der Nutzer im gesamten Unternehmen zu gewährleisten.

„Cloudflare mit unseren eigenen Diensten zu sichern, ist der effektivste Weg, nicht nur unser Geschäft zu schützen, sondern auch Innovationen für unsere Kunden zu schaffen“, so der Chief Security Officer Grant Bourzikas. „Indem wir Cloudflare mit Cloudflare schützen, bleiben unser Sicherheitsteam und unsere Dienste der Zeit voraus, während unser Geschäft immer ehrgeiziger und komplexer wird.“

Zugriff auf Anwendungen sichern

Cloudflare follows Zero Trust best practices to secure access to all self-hosted applications for all users, whether remote or in-office. Specifically, we use our own Zero Trust Network Access(ZTNA) service (Cloudflare Access) to verify identity, enforce multi-factor authentication (MFA) with hardware keys, and evaluate device posture for every request. This posture evolved over several years and has enabled Cloudflare to better protect our growing workforce more effectively and advise customers based on our own experiences.

Die Entstehungsgeschichte unseres ZTNA: Ein Ersatz für VPN

Unser Interesse an Zero Trust begann mit einem praktischen Problem, das Cloudflare-Entwickler für sich selbst lösten: Wir brauchten einen effizienteren Zugang für Entwicklungsumgebungen ohne den Ärger mit einem Virtual Private Network (VPN).

Wenn Mitarbeitende im Jahr 2015 ausnahmsweise remote arbeiteten, erreichten sie intern gehostete Apps nur über ein Backhaul des Traffics über ein On-Prem-VPN-Gerät. Das latenzanfällige und reaktionsschwache VPN führte zu Frustration, insbesondere bei Bereitschaftsentwicklern, die sich zu ungewöhnlichen Zeiten einloggten, um zeitkritische Probleme zu lösen.

Als Abhilfe für ihren eigenen Schmerzpunkt entwickelte das Team Cloudflare Access. Access begann als ein Reverse-Proxy-Dienst, der Zugriffsanfragen über das nächstgelegene Cloudflare-Rechenzentrum weiterleitete, anstatt ein Backhauling über eine VPN-Hardware durchzuführen. Bei jeder Anfrage verifizierte Access die Nutzer anhand unseres Identitätsproviders in einem Browserfenster und befreite sie so von der Unannehmlichkeit und dem Risiko, Anmeldedaten für VPN-Clients im Kopf zu behalten.

Die reibungslose Authentifizierungserfahrung führte zu einer flüssigen Einführung von Access für immer mehr Anwendungen und verringerte die Abhängigkeit von einem VPN. Zuerst wurde Grafana mit dem neuen Authentifizierungs-Workflow geschützt, dann folgten Web-Apps wie unsere Atlassian-Suite und schließlich sogar Nicht-HTTP-Ressourcen.

Die abrupte Umstellung auf Remote-Arbeit während der Pandemie beschleunigte die Migration der Anwendungen hinter Access. Bis zum Sommer 2020 hatten die IT-Teams von Cloudflare die Zeit, die sie für die Bearbeitung von VPN-Tickets benötigten, um ca. 80 % reduziert und das Ticketvolumen im Vergleich zum Vorjahr um ca. 70 % verringert. Dies entspricht einer geschätzten Zeitersparnis von 100.000 USD pro Jahr.

In early 2021, Cloudflare’s security team mandated that all internally-hosted applications move behind Access, helping us reduce our attack surface with least privilege, default-deny and identity-based controls. Later that year, Cloudflare had deprecated its VPN entirely, and we have translated our experiences into prescriptive guidance for other organizations.

Auch das Onboarding und Offboarding von Mitarbeitenden ist einfacher geworden. Neue Teammitglieder müssen sich nicht mehr mit der Einrichtung eines VPNs vertraut machen und das sparte aufs Jahr 2020 gerechnet bis zu über 300 Arbeitsstunden für neue Angestellte. Stattdessen erfolgt die Konfiguration des Anwendungszugriffs nun weitgehend automatisiert über die Integration von Cloudflare mit dem Infrastructure-as-Code-Tool Terraform.

„Durch die Ablösung unseres VPNs und die interne Einführung von Zero Trust kann sich unsere Belegschaft nun schneller, sicherer und einfacher mit unseren Anwendungen verbinden und produktiv bleiben“, so der Security Director Derek Pitts. „Mit unserem ZTNA-Dienst muss Cloudflare keine Kompromisse machen, wenn es darum geht, einerseits die Sicherheit zu erhöhen und andererseits eine fantastische Nutzererfahrung zu bieten.“

MFA über Hardware-Token und die Vereitlung eines gezielten Phishing-Angriffs

Seit der internen Einführung von ZTNA hat Cloudflare die MFA eingeführt. Die Umstellung der MFA begann mit Softkeys wie zeitbasierten Einmalpasswörtern (Time-Based One-Time-Passwords, kurz TOTPs) über SMS, E-Mail und Apps. Ab 2018 startete das Sicherheitsteam von Cloudflare mit der Ausgabe von Hardware-Tokens. Diese konnten als optionale Form der Authentifizierung in bestimmten Apps verwendet werden.

Die größte Veränderung dieses MFA-Ansatzes begann im Februar 2021. Damals kam es vermehrt zu Social-Engineering-Angriffen auf Mitarbeitende, darunter auch Anrufe, bei denen sich die Angreifer als Cloudflare-IT ausgaben. Cloudflare führte daraufhin die Authentifizierung über FIDO1-konforme Hardware-Token für alle Anwendungen und Nutzer ein, da dieser Ansatz resistenter gegen Phishing ist. Sowohl auf Firmenlaptops als auch auf privaten Mobilgeräten müssen die Mitarbeitenden nun ihren FIPS-validierten Security-Token von YubiKey antippen, wenn sie auf eine App zugreifen wollen. Alle anderen Formen von MFA wurden deaktiviert. Diese Methode profitiert auch von der stärkeren Kryptografie des WebAuthn-Standardprotokolls.

Die Hardware-Token-Methode wurde im August 2022 auf die Probe gestellt: Cloudflare vereitelte einen gezielten Phishing-Angriff, der andere Großunternehmen erfolgreich kompromittieren konnte. Sechsundsiebzig Cloudflare-Mitarbeitende erhielten legitim aussehende SMS-Nachrichten, die zu einer gefälschten Okta-Anmeldeseite führten. In Echtzeit gaben die Bedrohungsakteure dann alle gestohlenen Anmeldedaten auf der echten Anmeldeseite des Identitätsanbieters ein, um einen TOTP-Code zurück an den Nutzer anzufordern. Bei Organisationen, die sich auf TOTP-Codes verließen, konnten die Bedrohungsakteure, sobald dieser TOTP-Code auf der gefälschten Anmeldeseite eingegeben wurde, eine Phishing-Nutzlast initiieren, um die Fernkontrolle über den Computer des Mitarbeitenden zu ergreifen.

Obwohl einige unserer Beschäftigte ihre Anmeldedaten eingegeben hatten, verhinderten die Maßnahmen von Cloudflare, dass die Angreifer die Kontrolle über die Rechner übernehmen konnten. Nach der Entdeckung des Angriffs ergriff Cloudflare weitere Maßnahmen, um das Risiko zu neutralisieren:

• Blockieren der Phishing-Domain mit unserem Secure Web Gateway (SWG)
• Isolated access to all newly registered domains with our remote browser isolation (RBI) service
• Zusammenarbeit mit Branchenpartnern, um die Infrastruktur des Angreifers lahmzulegen
• Unterbrechung aktiver Sitzungen über ZTNA und Zurücksetzen kompromittierter Anmeldedaten
• Scannen von Identitäten und Geräten mit ungeprüfter Zwei-Faktor-Authentifizierung über unsere Aktivitätsprotokolle
• Blockieren des Zugriffs auf Cloudflare-Service über IPs, die von Bedrohungsakteuren verwendet wurden

Insgesamt haben die verschiedenen Sicherheitsebenen von Cloudflare – mit einer starken MFA als erste Verteidigungslinie – diesen raffinierten Angriff vereitelt.

Wenn Sie mehr über dieses Kapitel unserer Geschichte erfahren möchten, lesen Sie gerne unseren Blogbeitrag und die Kurzdarstellung der Lösung zu diesem Vorfall.

Überprüfung des Gerätestatus ausdehnen

Cloudflare konzentriert sich intensiv darauf, die Überprüfung des Gerätestatus über Nutzer und Apps hinweg auszudehnen und dabei den Kontext von Erst- und Drittanbietersoftware zu nutzen.

Heute leitet der Geräte-Client von Cloudflare den Traffic als Proxy über verschlüsselte ausgehende Verbindungen weiter und wird über unseren Mobilgerätemanager auf alle von Unternehmen ausgegebenen Laptops ausgerollt. Mitarbeitende können auch private Mobilgeräte verwenden, wenn diese bestimmte Sicherheitskriterien erfüllen, einschließlich der Registrierung bei unserer Endpunktverwaltung. Der Geräte-Client ist jetzt für den Zugriff auf einige kritische interne Ressourcen über Firmenlaptops erforderlich und wird bald auch für den Zugriff über private Mobilgeräte verlangt werden.

Cloudflare führt auch die Falcon-Software von Crowdstrike aus, um Endpunkte über alle Firmengeräte hinweg zu schützen, und entwickelt Richtlinien für bedingten Zugriff, die die Telemetriedaten von Crowdstrike einbeziehen. Genauer gesagt, wird der Zugriff auf Ressourcen nur dann gewährt, wenn der Wert des Zero-Trust-Assessments (ZTA) von Crowdstrike – eine Zahl, die den Echtzeitstatus eines Geräts darstellt – über einem Mindestschwellenwert liegt. Diese ZTNA-Integration ist nur eine von vielen Facetten der fortlaufenden Zusammenarbeit zwischen Cloudflare und Crowdstrike.

Insgesamt hat das Sicherheitsteam von Cloudflare eine detaillierte Protokollierung jeder Zugriffsanfrage auf jede Ressource erreicht (sogar die Protokollierung von SSH-Befehlen). Die erweiterte Sichtbarkeit über Identitäten und Geräte hinweg hilft uns, Vorfälle mit höherer Agilität zu untersuchen.

Gegen Cyberbedrohungen verteidigen

We also deploy Cloudflare One services internally to defend against cyber threats. Examples include using our SWG and RBI to secure Internet browsing and using our email security service to protect inboxes from phishing attacks.

„Die Dienste von Cloudflare One schützen uns während des gesamten Lebenszyklus eines Angriffs. Dies geschieht, indem sie unsere Angriffsfläche reduzieren, webbasierte Bedrohungen abwehren, laterale Bewegungen einschränken und Daten- und Finanzdiebstahl verhindern“, so Bourzikas. „In den letzten Jahren hat uns eine mehrschichtige Web- und E-Mail-Sicherheit dabei geholfen, durchgängigen Schutz und Transparenz für unsere wachsende hybride Belegschaft zu schaffen.

Internetbrowsing für Remote-Nutzer und -Büros schützen

Wir haben unsere SWG (auch als Gateway bekannt) zum ersten Mal eingesetzt, als Cloudflare vor einer ähnlichen Herausforderung stand wie unsere Kunden: Der Schutz einer Belegschaft vor einer Zunahme von Online-Bedrohungen nach der Umstellung auf Remote-Arbeit während der Pandemie.

Unsere Hauptpriorität bestand darin, unsere DNS-Filterung zu implementieren, um zu verhindern, dass Nutzer schädliche oder unerwünschte Domains erreichen. Die Grundlage für die Blockierung bildeten unsere Sicherheits- und Inhaltskategorien. Dies wurde innerhalb eines Jahres der Umstellung auf Remote-Arbeit in folgenden Phasen erreicht:

• DNS-Filterung für alle Bürostandorte. Die Einrichtung dauerte nur wenige Tage und erforderte lediglich die Umleitung des DNS-Traffics von den Büroroutern auf unser Netzwerk. Diese standortbasierte Filterung schützte die Handvoll Nutzer, die weiterhin geschäftskritische Funktionen vor Ort ausführten, half unseren Administratoren bei der Feinabstimmung der Richtlinienkonfiguration und ist heute noch aktiv.
• Implementierung des Cloudflare-Geräte-Clients. Die Verwendung des Geräte-Clients als Forward-Proxy bildet die Grundlage für nutzer- und gerätespezifische Kontrollen und Sichtbarkeit, einschließlich der Verschlüsselung jeder ausgehenden Verbindung zum Internet.
• DNS-Filterung für alle Remote-Nutzer. Bis Anfang 2021 hatte Cloudflare einheitliche DNS-Filterrichtlinien und eine einheitliche Interneterfahrung für Nutzer an Remote-Standorten und im Büro eingerichtet.

Seitdem Cloudflare routinemäßig hybride Systeme einsetzt, profitieren unsere Sicherheitsteams von zusätzlicher Kontrolle und Sichtbarkeit des weitergeleiteten Internet-Traffics, dazu gehört:

• Präzise Steuerung des HTTP-Traffics  – Unsere Sicherheitsteams inspizieren den HTTPS-Traffic und blockieren den Zugriff auf bestimmte Websites, die von unserem Sicherheitsteam als böswillig eingestuft wurden. Sie führen Antiviren-Scans durch und wenden identitätsbewusste Browsing-Richtlinien an.
• Selektive Isolierung des Internet-Browsings  – Bei isolierten Browsing-Sitzungen wird der gesamte Webcode im Cloudflare-Netzwerk ausgeführt, weit entfernt von lokalen Geräten. Das isoliert die Nutzer von nicht vertrauenswürdigem und böswilligem Inhalt. Heute sind soziale Medien, Nachrichtenkanäle, private E-Mail und andere potenziell riskante Internetkategorien isoliert. In die letztgenannte Kategorie fallen beispielsweise neu erschienene Domains. Cloudflare ist hervorragend in der Lage, sie angesichts des hohen Volumens an von uns aufgelösten DNS-Abfragen (im Durchschnitt zwei Milliarden Abfragen pro Tag) zu identifizieren.
• Standortbasierte Protokollierung  – Wenn wir sehen, woher ausgehende Anfragen kommen, können unsere Sicherheitsteams die geografische Verteilung unserer Mitarbeitenden besser verstehen, einschließlich unserer Präsenz in Hochrisikogebieten.

„Heute hat Cloudflare einen nutzer- und gerätespezifischen Überblick über alle unsere Mitarbeitenden, was uns hilft, unser Risiko umfassender zu bewerten“, sagt der Director of Security Derek Pitts. „Während sich unser Risikoprofil weiterentwickelt, kalibrieren unsere Sicherheitsteams unsere Internet-Browsing-Kontrollen, um sicherzustellen, dass Bedrohungen bei minimalen Auswirkungen auf die Produktivität der Nutzer bekämpft werden.“

Erfahren Sie mehr über dieses Kapitel unserer Geschichte in unserem Blogbeitrag.

Posteingänge mit Cloud-E-Mail-Sicherheit schützen

Anfang 2020 erlebte Cloudflare einen Anstieg von Phishing-Versuchen. Unser E-Mail-Provider (Google Workspace) verfügte zwar über einen leistungsstarken Spam-Filter für seine native Webanwendung, hatte jedoch Probleme mit fortgeschrittenen Bedrohungen wie der Kompromittierung von Geschäfts-E-Mails (BEC). und anderen Methoden des Zugriffs auf E-Mails, z. B. über eine mobile iOS-App. Als das Phishing-Volumen zunahm, verbrachten unsere IT-Teams außerdem zu viel Zeit mit manuellen Untersuchungen – etwa fünfzehn bis dreißig Minuten für einfache Angriffe und noch länger für ausgefeiltere Attacken.

To address this issue, Cloudflare implemented cloud email security – at that time a third-party vendor – alongside Google Workspace. Within 30 days, we blocked 90,000 total attacks, leading to a significant and prolonged drop in phishing emails. Plus, the low false positive rate reduced the time spent on investigations, and security teams benefited from a wider array of insights, including the most-targeted employees.

“In fact, the technology was so effective at launch, that our CEO reached out to our Chief Security Officer to inquire if our email security was broken,” wrote John Graham-Cumming, Cloudflare’s Chief Technology Officer, “Our CEO hadn’t seen any phishing attempts reported by our employees for many weeks, a rare occurrence. It turns out our employees weren’t reporting any phishing attempts, because the technology was catching all phishing attempts before they reached our employee’s inboxes.”

Aufgrund dieser positiven Erfahrungen hat Cloudflare Anfang 2022 Area 1 übernommen und in Cloudflare One integriert. So können wir und unsere Kunden ein proaktiveres Sicherheitsniveau über mehrere Kanäle hinweg aufbauen.

Beispielsweise nutzt die Isolierung von E-Mail-Links die Funktionen der Remote-Browserisolierung und der E-Mail-Sicherheit, um potenziell verdächtige Links in einem isolierten Browser zu öffnen. Dies neutralisiert den Schadcode und verhindert, dass Nutzer riskante Aktionen auf der Website durchführen, etwa durch Einschränkung von Tastatureingaben und Kopieren/Einfügen. Cloudflare setzt diese Funktionalität unter anderem ein, um Deferred Phishing-Angriffe zu vereiteln, die sonst den üblichen Erkennungsmethoden entgehen. Dies hilft, unsere Sicherheitsteams zu schützen und Phishing-Vorfälle zu untersuchen.

„Die E-Mail-Sicherheit von Cloudflare fängt Phishing-Versuche ab, bevor sie die Posteingänge unserer Mitarbeitenden erreichen“, sagt der Director of Security Derek Pitts. „E-Mail ist nach wie vor einer der beliebtesten Angriffsvektoren, und es ist beruhigend zu wissen, dass unser Dienst so effektiv und für unsere Belegschaft einfach zu verwalten ist.“

Sensible Daten schützen

Limiting who can access what apps with Zero Trust policies and defending against phishing and ransomware threats helps Cloudflare prevent data exfiltration. We are further mitigating the risks of data leaks with services like our cloud access security broker (CASB) and data loss prevention (DLP) to detect sensitive data.

• Risiken des Verlusts der Vertraulichkeit von Daten in SaaS-Apps kontrollieren. Dazu gehört das Scannen unserer SaaS-Suiten über APIs (wie Google Workspace, GitHub und Salesforce) nach sensiblen Daten und Fehlkonfigurationen, die ein Risiko für Datenlecks darstellen, und das anschließende Ergreifen von Korrekturmaßnahmen auf der Grundlage vordefinierter Anweisungen gemäß den SWG-Richtlinien.
• Die Bewegung sensibler Daten erkennen und kontrollieren. Dazu gehören proprietäre und regulierte Datenklassen wie Anmeldeinformationen und Geheimnisse, Finanzdaten und Gesundheitsinformationen.

Um mehr darüber zu erfahren, wie Cloudflare One mit dem Thema Datenschutz umgeht, lesen Sie gerne unseren Blogbeitrag.

Unsere Kultur „Sicherheit an erster Stelle“

Die genannten Sicherheitsleistungen verdanken ihren Wert vor allem den Menschen und Prozessen, die an ihrer Umsetzung beteiligt sind. Insbesondere sind die bisher erreichten Meilensteine der allgemeinen Firmenkultur „Sicherheit an erster Stelle“ zu verdanken. Diese Kultur basiert auf dem Grundsatz „Sicherheit ist Teil der Arbeit aller“.

Cloudflare betreibt beispielsweise ein eigenes internes Security Incident Response Team (SIRT), das rund um die Uhr im Einsatz ist, und fordert alle Angestellten auf, verdächtige Aktivitäten frühzeitig und häufig zu melden. Dieser transparente Ansatz, der auf dem Prinzip „Siehst du was, sagst du was“ basiert, bildet eine erste Verteidigungslinie und eine positive Feedbackschleife: Diese Berichte von vorderster Front verbessern unser Vorgehen. Die Führungskräfte akzeptieren und erwarten, dass sich mehr als 90 % der Meldungen von Mitarbeitenden an das SIRT als harmlos erweisen, denn bei echten Cyberangriffen – wie dem gezielten Phishing-Vorfall im Jahr 2022 – ist eine rechtzeitige Warnung entscheidend. Dieser Ansatz ohne Schuldzuweisungen gilt auch für die Meldung von Fehlern bei der internen Bereitstellung unserer eigenen Dienste und trägt zu deren Optimierung bei.

„Die Kultur ‚Sicherheit an erster Stelle‘ von Cloudflare macht meine Arbeit einfacher“, sagt Bourzikas. „Unsere Mitarbeitenden legen Wert darauf, die bestmögliche Sicherheitserfahrung zu erhalten, was wiederum unseren Teams hilft, bessere Dienste für unsere Kunden zu entwickeln. Dieses Engagement bei der Weiterentwicklung der Funktionen und Dienste unserer Cloudflare One-Plattform ist von entscheidender Bedeutung“.