Sécuriser Cloudflare grâce à Cloudflare One

Sécuriser des effectifs hybrides en croissance

Depuis la fondation de Cloudflare en 2010, nous avons priorisé l'utilisation de nos propres services pour résoudre nos problèmes internes d'informatique et de sécurité. Cette approche nous permet de tester et d'améliorer les fonctionnalités avant de les proposer aux clients, mais joue également un rôle fondamental dans la manière dont nous sécurisons nos propres collaborateurs.

As Cloudflare’s attack surfaces grow with the addition of more employees, customers, and technology, we have an obligation to further strengthen our security posture and equip our IT and security teams with strong visibility and control. In response, we’ve built and adopted services from Cloudflare One, our SASE and SSE platform, to secure access to applications, defend against cyber threats, and protect sensitive data.

Cloudflare comprend plus de 3 500 collaborateurs travaillant dans des dizaines de bureaux et d'emplacements distants. Cette étude de cas explore la manière dont Cloudflare s'appuie sur ses propres services Cloudflare One pour préserver la sécurité et la productivité de ses utilisateurs à l'échelle de l'entreprise.

« La sécurisation de Cloudflare à l'aide de nos propres services est non seulement le moyen le plus efficace de protéger notre activité, mais également d'innover pour nos clients », déclare Grant Bourzikas, Chief Security Officer. « Notre engagement à protéger Cloudflare à l'aide des solutions Cloudflare aide notre équipe de sécurité et nos services à conserver une longueur d'avance tandis que notre entreprise continue de croître, tant en termes d'ambitions que de complexité. »

Sécuriser l'accès aux applications

Cloudflare follows Zero Trust best practices to secure access to all self-hosted applications for all users, whether remote or in-office. Specifically, we use our own Zero Trust Network Access(ZTNA) service (Cloudflare Access) to verify identity, enforce multi-factor authentication (MFA) with hardware keys, and evaluate device posture for every request. This posture evolved over several years and has enabled Cloudflare to better protect our growing workforce more effectively and advise customers based on our own experiences.

La genèse de notre ZTNA : remplacer notre VPN

L'intérêt de Cloudflare pour le Zero Trust a commencé par un problème pratique que nos techniciens ont résolu d'eux-mêmes : la rationalisation de l'accès aux environnements de développement, sans les tracas liés à l'utilisation d'un réseau privé virtuel (Virtual Private Network, VPN).

En 2015, lors des rares cas où les collaborateurs étaient en télétravail, ces derniers étaient contraints de rediriger le trafic via un VPN physique sur site pour joindre les applications hébergées en interne. La latence et le manque de réponse du VPN contrariaient tout particulièrement les techniciens d'astreinte, qui devaient se connecter à des heures inhabituelles pour traiter des problèmes sensibles au facteur temps.

Pour résoudre leur propre problématique, nos techniciens ont développé Cloudflare Access, qui a débuté sous la forme d'un service de proxy inverse orientant les requêtes d'accès vers le datacenter Cloudflare le plus proche, plutôt que de rediriger le trafic via un VPN physique. Pour chaque requête, Access vérifiait l'identité des utilisateurs en se basant sur les données de notre fournisseur d'identité au sein d'une fenêtre de navigateur. Cette opération les libérait des désagréments et des risques liés au fait d'avoir à se souvenir d'identifiants pour le client du VPN.

L'expérience d'authentification fluide proposée par la solution a entraîné l'adoption organique d'Access sur un plus grand nombre d'applications et a permis de réduire davantage la dépendance au VPN. Les techniciens ont commencé à protéger Grafana à l'aide de cette nouvelle procédure d'authentification, puis les applications web, comme notre suite Atlassian, avant de finir par protéger même les ressources non HTTP.

Le passage soudain au télétravail lors de la pandémie n'a fait qu'accélérer cette migration des applications derrière Access. Peu avant l'été 2020, les équipes informatiques de Cloudflare avaient atteint une réduction d'environ 80 % du temps passé à traiter les tickets liés au VPN et de près de 70 % du volume de tickets par rapport à l'année précédente. Les économies de temps réalisées étaient alors estimées à 100 000 USD annuels.

In early 2021, Cloudflare’s security team mandated that all internally-hosted applications move behind Access, helping us reduce our attack surface with least privilege, default-deny and identity-based controls. Later that year, Cloudflare had deprecated its VPN entirely, and we have translated our experiences into prescriptive guidance for other organizations.

Le processus d'intégration (onboarding) et de débarquement (offboarding) des collaborateurs était également devenu plus simple. Les nouveaux collaborateurs n'ont désormais plus à apprendre à configurer un VPN et nous économisons un peu plus de 300 heures chaque année pour les centaines de nouveaux venus en 2020. La configuration de l'accès aux applications est désormais en grande partie automatisée via l'intégration à Terraform, l'outil d'infrastructure en tant que service.

« Après le remplacement de notre VPN et l'adoption du Zero Trust en interne, nos collègues disposent désormais d'un moyen plus rapide, plus sûr et plus simple de se connecter aux applications et de rester productifs », précise Derek Pitts, Director of Security. « Grâce à son service ZTNA, Cloudflare n’a pas à faire de compromis entre l’amélioration de la sécurité et la proposition d’une expérience utilisateur exceptionnelle. »

MFA par clé physique et protection contre une attaque de phishing ciblée

Depuis le déploiement du ZTNA en interne, Cloudflare a adopté la MFA. Ce parcours a débuté par le déploiement de la MFA à l'aide de clés logicielles, comme les mots de passe temporaires à usage unique (Time-Based One Time Passwords, TOTP) transmis par SMS, par e-mail et via des applications. À partir de 2018, l'équipe de sécurité de Cloudflare a commencé à distribuer des clés physiques et à les autoriser comme moyen facultatif d'authentification sur un ensemble d'applications spécifiques.

Le plus grand changement au sein de cette approche MFA est survenu en février 2021, lorsque les attaques par ingénierie sociales à l'encontre de nos collaborateurs (notamment en se faisant passer pour des membres de l'équipe informatique de Cloudflare) sont devenues plus fréquentes. En réponse, Cloudflare a commencé à exiger l'authentification par clés physiques conformes à la norme FIDO2 pour l'ensemble des applications et des utilisateurs, soit une approche plus résistante au phishing. Que ce soit sur un ordinateur portable de l'entreprise ou sur leurs appareils mobiles personnels, tous les collaborateurs doivent désormais utiliser leur clé de sécurité YubiKey validée par la FIPS pour se connecter à une application. Toutes les autres formes de MFA ont été désactivées. Cette méthode tire également parti du chiffrement plus puissant proposé via le protocole de la norme WebAuthn.

Cette approche par clé physique a été mise à l'épreuve en août 2022, lorsque Cloudflare a déjoué une attaque de phishing ciblée qui avait réussi à percer la sécurité d'autres grandes entreprises. 76 collaborateurs de Cloudflare avaient alors reçu des SMS d'apparence légitime conduisant à une fausse page de connexion Okta. Les acteurs malveillants saisissaient, en temps réel, les identifiants récoltés sur le site de connexion du fournisseur d'identité afin de provoquer l'envoi d'un code TOTP à l'utilisateur. Pour les entreprises qui s'appuyaient sur des codes TOTP, lorsqu'un collaborateur saisissait ce code sur la fausse page de connexion, les pirates se trouvaient alors en mesure de lancer un contenu de phishing qui leur permettait de contrôler à distance l'appareil de ce collaborateur.

Même si quelques rares collaborateurs ont saisi leurs identifiants, l'approche de Cloudflare a empêché les acteurs malveillants de s'emparer d'une quelconque machine. Après l'identification de l'attaque, Cloudflare a pris quelques mesures supplémentaires pour neutraliser ce risque. Nous avons ainsi :

• Bloqué le domaine de phishing à l'aide de notre propre passerelle web sécurisée (Secure Web Gateway, SWG).
• Isolated access to all newly registered domains with our remote browser isolation (RBI) service
• Collaboré avec des partenaires du secteur pour abattre l'infrastructure des acteurs malveillants.
• Mis fin aux sessions actives via le ZTNA et réinitialisé les identifiants compromis.
• Analysé les identités et les appareils présentant une authentification à deux facteurs non vérifiée en fonction de nos journaux d'activité.
• Empêché les adresses IP utilisées par les acteurs malveillants d'accéder à un quelconque service Cloudflare.

Dans l'ensemble, les multiples couches de sécurité de Cloudflare (avec notre robuste MFA en tant que première ligne de défense) ont permis de déjouer cette attaque sophistiquée.

Pour en savoir plus sur cet épisode, consultez notre article de blog et notre présentation de solution traitant de l'incident.

Étendre les mesures de contrôle du niveau de sécurité des appareils

Cloudflare se concentre fortement sur l'extension des mesures de contrôle du niveau de sécurité des appareils à l'ensemble des utilisateurs et des applications, en s'appuyant sur le contexte issu de logiciels propriétaires et tiers.

Aujourd'hui, le client sur appareil de Cloudflare transfère le trafic en proxy via des connexions sortantes chiffrées. Ce client est déployé par l'intermédiaire de notre gestionnaire d'appareils mobile à l'ensemble des ordinateurs portables fournis par l'entreprise. Les collaborateurs peuvent également utiliser les appareils mobiles personnels qui répondent à certains critères de sécurité, comme l'inscription à notre service de gestion des points de terminaison. Le client sur appareil est désormais requis pour accéder à certaines ressources internes essentielles sur les ordinateurs portables de l'entreprise et sera bientôt exigé pour l'accès sur les appareils mobiles personnels.

Cloudflare utilise également le logiciel Falcon de Crowdstrike pour assurer la protection des points de terminaison sur l'ensemble des appareils de l'entreprise et élabore des politiques d'accès conditionnel incorporant les données télémétriques de Crowdstrike. De manière plus spécifique, l'accès n'est accordé aux ressources que si le score d'évaluation Zero Trust de Crowdstrike (Zero Trust Assessment, ZTA), un chiffre représentant l'intégrité d'un appareil en temps réel, se situe au-dessus d'un seuil minimum. Cette intégration du ZTNA ne constitue qu'une des nombreuses facettes de la collaboration en coursentre Cloudflare et Crowdstrike.

Dans l'ensemble, la sécurité de Cloudflare a bénéficié d'une journalisation détaillée de chaque requête d'accès à chaque ressource (même la journalisation des commandes SSH). Cette visibilité étendue sur l'ensemble des identités et des appareils nous aide à enquêter sur les incidents avec une agilité supérieure.

Se défendre contre les cybermenaces

We also deploy Cloudflare One services internally to defend against cyber threats. Examples include using our SWG and RBI to secure Internet browsing and using our email security service to protect inboxes from phishing attacks.

« Les services de Cloudflare One nous protègent sur l’ensemble du cycle de vie d'une menace en réduisant notre surface d'attaque, en atténuant les menaces véhiculées via Internet, en limitant les mouvements latéraux et en empêchant le vol de données ou de données financières », précise Bourzikas. « La superposition de nos solutions de sécurité du web et du courrier électronique ces dernières années nous a aidés à atteindre une grande cohérence en termes de protection et de visibilité pour l'ensemble de nos collaborateurs, de plus en plus ancrés dans le travail hybride. »

Protéger la navigation Internet pour les utilisateurs et les bureaux distants

Cloudflare a commencé à utiliser sa propre solution SWG (également connue sous le nom de Gateway) lorsque l'entreprise a été confrontée à un défi similaire à celui de ses clients : la sécurisation des collaborateurs contre la hausse des menaces en lignes après le passage au télétravail lors de la pandémie.

Notre priorité première consistait à déployer le filtrage DNS afin d'empêcher les utilisateurs de joindre les domaines Internet dangereux ou indésirables en fonction de catégories de sécurité et de contenu. Nous avons atteint cet objectif au cours des phases suivantes, dans l'année qui a suivi le passage au télétravail :

• Filtrage DNS dans tous les bureaux. Effectuée en seulement quelques jours, la configuration ne nous demandait que de faire pointer le trafic DNS issu des routeurs sur site vers notre réseau. Ce filtrage à l'échelon local protégeait la poignée d'utilisateurs qui exerçaient toujours des fonctions stratégiques sur site, tout en aidant également nos administrateurs à affiner la configuration des politiques. Il est toujours en place à l'heure actuelle.
• Déploiement de notre client sur appareil. Le transfert du trafic en proxy via le client sur appareil pose les fondations de mesures de sécurité et de visibilité spécifiques aux utilisateurs et aux appareils, notamment le chiffrage de chaque connexion sortante vers Internet.
• Filtrage DNS pour l'ensemble des collaborateurs en télétravail. Au début de l'année 2021, Cloudflare avait configuré des politiques de filtrage DNS et une expérience Internet cohérentes pour l'ensemble des utilisateurs, sur site et en télétravail.

Alors que Cloudflare s'installait dans une nouvelle routine autour du travail hybride, nos équipes de sécurité bénéficiaient de la visibilité et des mesures de contrôle déployées sur le trafic Internet transféré en proxy, notamment les suivantes :

• Mesures de contrôle HTTP détaillées  : nos équipes de sécurité inspectent le trafic HTTPS afin de bloquer l'accès aux sites web spécifiquement identifiés comme malveillants par ces dernières, procèdent à des analyses antivirus et appliquent des politiques de navigation sensibles à l'identité.
• Isolement sélectif de la navigation Internet  : au sein des sessions de navigation isolées, l'ensemble du code web s'exécute sur le réseau Cloudflare, à bonne distance des appareils locaux. Les utilisateurs sont ainsi isolés du contenu non approuvé et malveillant. De nos jours, les éléments isolés sont les réseaux sociaux, les sites d'actualités, les comptes e-mail personnels et les autres catégories Internet potentiellement à risque. Les domaines nouvellement observés, par exemple, tombent dans cette dernière catégorie et Cloudflare excelle dans l'identification de ces derniers grâce au gigantesque volume de requêtes DNS que nous résolvons (plus de 2 milliards chaque jour en moyenne).
• Journalisation en fonction de la géolocalisation  : le fait de savoir d'où les requêtes sortantes proviennent aide nos équipes de sécurité à comprendre la répartition géographique de nos collaborateurs, ainsi que notre présence dans les régions à haut risque.

« Aujourd'hui, Cloudflare dispose d'une visibilité spécifique aux utilisateurs et aux appareils sur l'ensemble de ses collaborateurs. Celle-ci nous aide a évaluer nos risques de manière plus globale », explique Derek Pitts, Director of Security. « Lorsque notre profil de risque évolue, nos équipes de sécurité calibrent nos mesures de contrôle de la navigation Internet afin de s'assurer que les menaces soient atténuées avec le moins d'impact possible sur la productivité des utilisateurs. »

Pour en savoir plus sur ce sujet, consultez notre article de blog.

Protéger vos boîtes e-mail grâce à une solution de sécurité du courrier électronique dans le cloud

Au début 2020, Cloudflare a observé une hausse subite des tentatives de phishing. Notre fournisseur de messagerie (Google Workspace) disposait d'une puissante fonction de filtrage anti-spam sur son application web native, mais éprouvait des difficultés avec les menaces avancées, comme la compromission du courrier électronique professionnel (Business Email Compromise, BEC), et les autres méthodes d'accès aux e-mails, comme une application mobile iOS. En outre, face à l'augmentation du volume des attaques de phishing, nos équipes informatiques consacraient trop de temps aux investigations manuelles (entre 15 et 30 minutes pour les attaques simples et bien plus longtemps pour les attaques plus sophistiquées).

To address this issue, Cloudflare implemented cloud email security – at that time a third-party vendor – alongside Google Workspace. Within 30 days, we blocked 90,000 total attacks, leading to a significant and prolonged drop in phishing emails. Plus, the low false positive rate reduced the time spent on investigations, and security teams benefited from a wider array of insights, including the most-targeted employees.

“In fact, the technology was so effective at launch, that our CEO reached out to our Chief Security Officer to inquire if our email security was broken,” wrote John Graham-Cumming, Cloudflare’s Chief Technology Officer, “Our CEO hadn’t seen any phishing attempts reported by our employees for many weeks, a rare occurrence. It turns out our employees weren’t reporting any phishing attempts, because the technology was catching all phishing attempts before they reached our employee’s inboxes.”

À la lumière de cette expérience positive, Cloudflare a acquis Area 1 début 2022 et a intégré sa solution à Cloudflare One, afin de permettre à nos clients et à nous-mêmes d'adopter une stratégie de sécurité plus proactive sur plusieurs canaux.

Pour prendre un exemple, l'isolement des liens contenus dans les e-mails s'appuie sur le service RBI et notre fonctionnalité de sécurité du courrier électronique pour ouvrir les liens potentiellement suspects au sein d'un navigateur isolé. Cette approche permet de neutraliser le code malveillant et d'empêcher les utilisateurs d'accomplir des actions risquées sur une page web grâce à diverses techniques, comme la limitation des entrées au clavier et du copier/coller. Parmi d'autres applications, Cloudflare emploie cette fonctionnalité pour faire obstacle aux attaques de phishing différées qui échappent aux mesures de détection habituelles, afin d'aider nos équipes de sécurité à rester protégées pendant qu'elles enquêtent sur les incidents de phishing.

« La solution de sécurité du courrier électronique de Cloudflare intercepte les tentatives de phishing avant qu'elles ne puissent atteindre la boîte e-mail de nos collaborateurs », déclare Derek Pitts, Director of Security. « Le courrier électronique continue d'être l'un des vecteurs d'attaque les plus populaires. De même, le fait de savoir que notre service est aussi efficace et facile à gérer pour nos collaborateurs me procure une certaine tranquillité d'esprit. »

Protéger les données sensibles

Limiting who can access what apps with Zero Trust policies and defending against phishing and ransomware threats helps Cloudflare prevent data exfiltration. We are further mitigating the risks of data leaks with services like our cloud access security broker (CASB) and data loss prevention (DLP) to detect sensitive data.

• Gérer les risques d'exposition des données dans les applications SaaS . Cette approche implique d'analyser nos suites SaaS à l'aide d'une API (comme Google Workspace, GitHub et Salesforce) à la recherche de données sensibles et d'erreurs de configuration présentant un risque de fuites et d'agir en fonction de conseils normatifs afin de corriger ces problèmes par l'intermédiaire de politiques SWG.
• Détecter et contrôler les mouvements des données sensibles . Les données concernées comprennent les catégories de données propriétaires et régulées, comme les identifiants, les secrets, les données financières et les informations médicales.

Pour en savoir plus sur l'approche de Cloudflare One envers la protection des données, consultez notre article de blog.

Notre culture axée sur la sécurité

Les services de sécurité mentionnés plus haut sont aussi précieux que les collaborateurs et les processus impliqués dans leur mise en œuvre. Dans un registre plus particulier, les étapes que nous avons franchies jusqu'ici sont à mettre au crédit de la culture de notre entreprise, globalement axée sur la sécurité et fondée sur le précepte qui veut que « la sécurité fait partie du travail de chacun ».

Pour prendre un exemple, Cloudflare emploie sa propre équipe interne d’intervention en cas d’incident de sécurité (Security Incident Response Team, SIRT), disponible 24 h/24, 7 j/7, et encourage l'ensemble de ses collaborateurs à signaler les activités suspectes, le plus tôt et le plus souvent possible. Cette approche articulée autour du concept de « problème remarqué, problème signalé » crée une première ligne de défense et une boucle de rétroaction positive. En effet, ces rapports de première ligne nous permettent d'améliorer nos procédures. La direction accepte et s'attend à ce que plus de 90 % des signalements de collaborateurs à l'équipe SIRT s'avèrent anodins, car les alertes en temps opportun sont essentielles lorsque de réelles cyberattaques surviennent (comme lors de l'incident dû à l'attaque de phishing ciblée en 2022). Cette approche proactive et « exempte de toute recherche de responsabilité » s'applique également au signalement de bugs dans le cadre du développement en interne de nos services, afin de renforcer ces derniers dans le processus.

« La culture axée sur la sécurité de Cloudflare facilite mon travail », affirme Bourzikas. « En s'investissant afin de s'assurer qu'ils disposent de l'expérience de sécurité la plus qualitative possible, nos collaborateurs aident à leur tour nos équipes à développer de meilleurs services pour nos clients. Cet engagement restera essentiel tant que nous continuerons à étendre les fonctionnalités et les services de notre plateforme Cloudflare One. »