Proteger a Cloudflare com o Cloudflare One

Proteger a força de trabalho híbrida crescente

Desde a nossa fundação em 2010, a Cloudflare priorizou o uso de nossos próprios serviços para resolver nossos desafios internos de TI e segurança. Essa abordagem nos ajuda a testar e melhorar os recursos antes de enviá-los aos clientes e tem sido fundamental na forma como a Cloudflare protege nossa própria força de trabalho.

As Cloudflare’s attack surfaces grow with the addition of more employees, customers, and technology, we have an obligation to further strengthen our security posture and equip our IT and security teams with strong visibility and control. In response, we’ve built and adopted services from Cloudflare One, our SASE and SSE platform, to secure access to applications, defend against cyber threats, and protect sensitive data.

A Cloudflare abrange mais de 3.500 pessoas em dezenas de escritórios e locais remotos. Este estudo de caso explora como a Cloudflare usa nossos próprios serviços do Cloudflare One para manter os usuários seguros e produtivos em toda a organização.

“Proteger a Cloudflare com nossos próprios serviços é a maneira mais eficaz não apenas de proteger nossa empresa, mas também de inovar para nossos clientes”, afirma Grant Bourzikas, Chief Security Officer. “Nosso compromisso de proteger a Cloudflare com a Cloudflare ajuda nossa equipe e serviços de segurança a permanecerem à frente da curva à medida que nossa organização continua a crescer em ambição e complexidade.”

Proteger o acesso a aplicativos

Cloudflare follows Zero Trust best practices to secure access to all self-hosted applications for all users, whether remote or in-office. Specifically, we use our own Zero Trust Network Access(ZTNA) service (Cloudflare Access) to verify identity, enforce multi-factor authentication (MFA) with hardware keys, and evaluate device posture for every request. This posture evolved over several years and has enabled Cloudflare to better protect our growing workforce more effectively and advise customers based on our own experiences.

Nossa história da origem do ZTNA: substituir nossa VPN

O interesse da Cloudflare no Zero Trust começou com um problema prático que nossos engenheiros resolveram sozinhos: simplificar o acesso aos ambientes de desenvolvedores sem o incômodo de uma Rede Privada Virtual (VPN).

Em 2015, nas raras ocasiões em que os funcionários trabalharam remotamente, foram forçados a fazer backhaul do tráfego através de um dispositivo de VPN no local para alcançar aplicativos hospedados internamente. A latência e a falta de resposta da VPN frustraram particularmente os engenheiros de plantão, que tiveram que fazer login em horários estranhos para fazer a triagem de problemas urgentes.

Para resolver seus próprios problemas, nossos engenheiros criaram o Cloudflare Access, que começou como um serviço de proxy reverso que roteava solicitações de acesso por meio do data center da Cloudflare mais próximo, em vez de fazer backhaul por meio de hardware de VPN. Para cada solicitação, o Access verificava os usuários com base em nosso provedor de identidade em uma janela do navegador, livrando-os da inconveniência e dos riscos de lembrar as credenciais de login do cliente VPN.

A experiência de autenticação tranquila impulsionou a adoção orgânica do Access para mais aplicativos e reduziu ainda mais a dependência da VPN. Os engenheiros começaram protegendo o Grafana com esse novo fluxo de trabalho de autenticação, seguido por aplicativos web, como nosso pacote Atlassian e, finalmente, até mesmo por recursos não HTTP.

A transição repentina para o trabalho remoto durante a pandemia apenas acelerou a migração de aplicativos para trás do Access. No verão de 2020, as equipes de TI da Cloudflare alcançaram uma redução de aproximadamente 80% no tempo gasto no atendimento de tickets relacionados a VPNs e uma redução de aproximadamente 70% no volume de tickets em comparação com o ano anterior, resultando em uma economia de tempo estimada em US$ 100 mil anualmente.

In early 2021, Cloudflare’s security team mandated that all internally-hosted applications move behind Access, helping us reduce our attack surface with least privilege, default-deny and identity-based controls. Later that year, Cloudflare had deprecated its VPN entirely, and we have translated our experiences into prescriptive guidance for other organizations.

A integração e a demissão de funcionários também ficaram mais simples. Os novos funcionários não precisam mais aprender a configurar uma VPN, economizando mais de 300 horas anuais para as centenas de novas contratações em 2020. Em vez disso, a configuração do acesso aos aplicativos agora é amplamente automatizada por meio da integração da Cloudflare com a ferramenta de infraestrutura como código Terraform.

“Ao substituir nossa VPN e adotar o Zero Trust internamente, nossos colegas agora têm uma maneira mais rápida, segura e simples de se conectar a aplicativos e permanecer produtivos”, afirma Derek Pitts, Director of Security. “Com nosso serviço ZTNA, a Cloudflare não precisa fazer nenhuma escolha entre aprimorar a segurança ou criar uma experiência do usuário incrível.”

MFA com chave de hardware e impedir um ataque de phishing direcionado

Desde a implementação interna do ZTNA, a Cloudflare adotou o MFA. A jornada começou permitindo o MFA com chaves de software, como senhas de uso único baseadas em tempo (TOTPs), entregues por texto, e-mail e aplicativos. A partir de 2018, a equipe de segurança da Cloudflare começou a distribuir chaves de hardware e a permiti-las como uma forma opcional de autenticação em aplicativos específicos.

A maior mudança nesta abordagem de MFA começou em fevereiro de 2021, quando os ataques de engenharia social contra funcionários, incluindo chamadas que se faziam passar pela TI da Cloudflare, se tornaram mais frequentes. Em resposta, a Cloudflare começou a exigir autenticação de chaves de hardware compatíveis com FIDO2 para todos os aplicativos e usuários, uma abordagem mais resistente ao phishing. Seja em laptops corporativos ou em dispositivos móveis pessoais, todos os funcionários devem agora acessar sua chave de segurança validada pelo FIPS do YubiKey para acessar um aplicativo, e todas as outras formas de MFA foram desativadas. Este método também aproveita uma criptografia mais forte por meio do protocolo padrão WebAuthn.

Essa abordagem fundamental foi posta à prova em agosto de 2022, quando a Cloudflare frustrou um ataque de phishing direcionado que violou com sucesso outras grandes empresas. Setenta e seis funcionários da Cloudflare receberam textos aparentemente legítimos que levaram a uma página de login falsa do Okta. Os agentes da ameaça inseriam quaisquer credenciais coletadas no site de login real do provedor de identidade em tempo real para solicitar um código TOTP de volta ao usuário. Para organizações que dependiam de códigos TOTP, assim que um funcionário inserisse esse TOTP na página de login falsa, os agentes da ameaça iniciavam um conteúdo de phishing para controlar remotamente a máquina do funcionário.

Embora alguns funcionários da Cloudflare tenham inserido suas credenciais, a abordagem da Cloudflare evitou que os invasores assumissem o controle de qualquer máquina. Depois de identificar o ataque, a Cloudflare tomou várias medidas adicionais para neutralizar o risco:

• Bloqueamos o domínio de phishing com nosso próprio gateway seguro da web (SWG).
• Isolated access to all newly registered domains with our remote browser isolation (RBI) service
• Colaboramos com parceiros do setor para desligar a infraestrutura do invasor.
• Eliminamos sessões ativas através do ZTNA e redefinimos credenciais comprometidas.
• Verificamos identidades e dispositivos com autenticação de dois fatores não verificada de acordo com nossos registros de atividades.
• Bloqueamos IPs usados pelo agente da ameaça para ter acesso a qualquer serviço da Cloudflare.

Ao todo, as múltiplas camadas de segurança da Cloudflare, com uma forte MFA como primeira linha de defesa, frustraram esse ataque sofisticado.

Para saber mais sobre este capítulo da história, leia nosso post no blog e o resumo da solução sobre o incidente.

Ampliar as verificações de postura do dispositivo

A Cloudflare tem um forte foco em ampliar as verificações de postura do dispositivo entre usuários e aplicativos, usando contexto de software próprio e de terceiros.

Hoje, o cliente de dispositivo da Cloudflare encaminha o tráfego de proxies por meio de conexões de saída criptografadas e é implementadopor meio de nosso gerenciador de dispositivos móveis para todos os notebooks corporativos. Os funcionários também podem usar dispositivos móveis pessoais que atendam a determinados critérios de segurança, incluindo a inscrição em nosso gerenciamento de endpoints. O dispositivo cliente agora é necessário para acessar alguns recursos internos críticos para notebooks corporativos e em breve será necessário para acesso a partir de dispositivos móveis pessoais.

A Cloudflare também executa o software Falcon da Crowdstrike para proteção de endpoints em todos os dispositivos corporativos e cria políticas de acesso condicional que incorporam a telemetria da Crowdstrike. Especificamente, o acesso aos recursos só é concedido se a pontuação Zero Trust Assessment (ZTA) da Crowdstrike, um número que representa a integridade de um dispositivo em tempo real, estiver acima de um limite mínimo. Esta integração ZTNA é apenas uma das várias facetas da colaboração contínua entre a Cloudflare e a Crowdstrike.

De modo geral, a segurança da Cloudflare obtém registros detalhados em todas as solicitações de acesso a todos os recursos (até mesmo registros de comandos SSH). Essa ampla visibilidade entre identidades e dispositivos nos ajuda a investigar incidentes com maior agilidade.

Defesa contra ameaças cibernéticas

We also deploy Cloudflare One services internally to defend against cyber threats. Examples include using our SWG and RBI to secure Internet browsing and using our email security service to protect inboxes from phishing attacks.

“Os serviços do Cloudflare One nos protegem durante todo o ciclo de vida do ataque, reduzindo nossa superfície de ataque, mitigando ameaças baseadas na internet, restringindo movimentos laterais e evitando roubo de dados ou financeiros”, afirma Bourzikas. “Implementar nossa segurança da web e de e-mail nos últimos anos nos ajudou a obter proteções consistentes e visibilidade em nossa crescente força de trabalho híbrida.”

Proteger a navegação na internet para usuários e escritórios remotos

A Cloudflare começou a usar nosso próprio SWG (também conhecido como Gateway) quando enfrentou um desafio semelhante ao de nossos clientes: proteger uma força de trabalho contra um aumento nas ameaças on-line após mudar para o trabalho remoto durante a pandemia.

Nossa primeira prioridade foi implementar a filtragem de DNS para impedir que os usuários acessassem domínios prejudiciais ou indesejados da internet com base em categorias de segurança e conteúdo, o que foi alcançado nas seguintes fases, um ano após a mudança para o trabalho remoto:

• Filtragem de DNS para todos os locais de escritórios. A configuração levou apenas alguns dias e exigiu apenas o direcionamento do tráfego de DNS dos roteadores do escritório para nossa rede. Essa filtragem baseada em localização protegeu alguns usuários que ainda desempenhavam funções críticas para a empresa no local, ajudou nossos administradores a ajustar as configurações de políticas e ainda está em vigor hoje.
• Implantar o dispositivo cliente da Cloudflare. Encaminhar o tráfego de proxy por meio do cliente do dispositivo fornece a base para controles de segurança e visibilidade específicos do usuário e do dispositivo, incluindo a criptografia de todas as conexões de saída com a internet.
• Filtragem de DNS para todos os usuários remotos. No início de 2021, a Cloudflare havia estabelecido políticas consistentes de filtragem de DNS e experiências de internet para usuários remotos e do escritório.

À medida que a Cloudflare se estabeleceu em um trabalho híbrido mais rotineiro, nossas equipes de segurança se beneficiaram de controles e visibilidade adicionais para o tráfego de internet com proxy direto, incluindo:

• Controles granulares de HTTP – Nossas equipes de segurança inspecionam o tráfego HTTPS para bloquear o acesso a sites específicos identificados como maliciosos por nossa equipe de segurança, realizam verificações antivírus e aplicam políticas de navegação com reconhecimento de identidade.
• Isolamento seletivo da navegação na internet – Em sessões de navegação isoladas, todo o código da web é executado na rede da Cloudflare, longe de dispositivos locais, isolando os usuários de qualquer conteúdo não confiável e malicioso. Hoje, as redes sociais, os meios de comunicação, o e-mail pessoal e outras categorias potencialmente arriscadas da internet estão isoladas. Domínios recém-vistos, por exemplo, se enquadram nessa última categoria, e a Cloudflare se destaca em identificá-los, dado o alto volume de consultas de DNS que resolvemos (mais de 2 bilhões de consultas por dia, em média).
• Registro baseado em geografia - Ver a origem das solicitações de saída ajuda nossas equipes de segurança a entender a distribuição geográfica de nossa força de trabalho, incluindo nossa presença em áreas de alto risco.

“Hoje, a Cloudflare tem visibilidade específica de usuários e dispositivos para todos os nossos funcionários, o que nos ajuda a avaliar nossos riscos de forma mais abrangente”, afirma Derek Pitts, Director of Security. “À medida que nosso perfil de risco evolui, nossas equipes de segurança calibram nossos controles de navegação na internet para garantir que as ameaças sejam mitigadas com impacto mínimo na produtividade do usuário.”

Para saber mais sobre este capítulo da história, leia nosso post no blog.

Proteger caixas de entrada com segurança de e-mail em nuvem

No início de 2020, a Cloudflare sofreu um aumento nas tentativas de phishing. Nosso provedor de e-mail (Google Workspace) era forte na filtragem de spam para seu aplicativo web nativo, mas enfrentava ameaças avançadas, como comprometimento de e-mail empresarial (BEC) e outros métodos de acesso a e-mail, como um aplicativo móvel iOS. Além disso, à medida que o volume de phishing aumentava, as nossas equipas de TI gastavam demasiado tempo em investigações manuais, cerca de 15 a 30 minutos para ataques simples, e ainda mais tempo para ataques mais sofisticados.

To address this issue, Cloudflare implemented cloud email security – at that time a third-party vendor – alongside Google Workspace. Within 30 days, we blocked 90,000 total attacks, leading to a significant and prolonged drop in phishing emails. Plus, the low false positive rate reduced the time spent on investigations, and security teams benefited from a wider array of insights, including the most-targeted employees.

“In fact, the technology was so effective at launch, that our CEO reached out to our Chief Security Officer to inquire if our email security was broken,” wrote John Graham-Cumming, Cloudflare’s Chief Technology Officer, “Our CEO hadn’t seen any phishing attempts reported by our employees for many weeks, a rare occurrence. It turns out our employees weren’t reporting any phishing attempts, because the technology was catching all phishing attempts before they reached our employee’s inboxes.”

Diante dessa experiência positiva, a Cloudflare adquiriu o Area 1 no início de 2022 e o integrou ao Cloudflare One, permitindo que nossos clientes e nós mesmos adotássemos uma postura de segurança mais proativa em vários canais.

Por exemplo, o isolamento de link de e-mail usa RBI e funcionalidade de segurança de e-mail para abrir links potencialmente suspeitos em um navegador isolado. Isso neutraliza o código malicioso e evita que os usuários realizem ações arriscadas na página web por meio de táticas como restringir entradas do teclado e copiar e colar. Entre outras aplicações, a Cloudflare usa essa funcionalidade para impedir ataques de phishing diferidos que evitam detecções típicas, ajudando a manter nossas equipes de segurança seguras enquanto investigam incidentes de phishing.

“A segurança de e-mail da Cloudflare detecta tentativas de phishing antes que elas cheguem às caixas de entrada de nossos funcionários”, afirma Derek Pitts, Director of Security. “O e-mail continua a ser um dos vetores de ataque mais populares e fico tranquilo sabendo que nosso serviço é tão eficaz e simples de ser gerenciado por nossa equipe.”

Proteger dados confidenciais

Limiting who can access what apps with Zero Trust policies and defending against phishing and ransomware threats helps Cloudflare prevent data exfiltration. We are further mitigating the risks of data leaks with services like our cloud access security broker (CASB) and data loss prevention (DLP) to detect sensitive data.

• Gerenciar riscos de exposição de dados em aplicativos SaaS . Isso inclui verificar nossos pacotes SaaS através de API (como Google Workspace, GitHub e Salesforce) em busca de dados confidenciais e configurações incorretas que possam causar vazamentos e, em seguida, agir de acordo com as orientações prescritivas para remediar por meio de políticas de SWG.
• Detectar e controlar a movimentação de dados confidenciais . Isso inclui classes de dados proprietários e regulamentados, como credenciais e segredos, dados financeiros e informações de saúde.

Para saber mais sobre a abordagem do Cloudflare One para proteção de dados, leia nosso post no blog.

Nossa cultura de segurança em primeiro lugar

Os serviços de segurança mencionados anteriormente são tão valiosos quanto as pessoas e os processos envolvidos na sua implementação. Em particular, os marcos que atingimos até agora são um crédito para a cultura geral de segurança em primeiro lugar da nossa organização, que está enraizada no princípio de que “a segurança faz parte do trabalho de todos”.

Por exemplo, a Cloudflare opera sua própria equipe interna de resposta a incidentes de segurança (SIRT) 24 horas por dia, 7 dias por semana e incentiva todos os funcionários a relatar atividades suspeitas com antecedência e frequência. Esta abordagem transparente de “ver algo, dizer algo” cria uma primeira linha de defesa e um ciclo de feedback positivo: estes relatórios provenientes da linha da frente melhoram a nossa abordagem. A liderança aceita e espera que mais de 90% dos relatórios dos funcionários ao SIRT se revelem benignos, porque quando ocorrem ataques cibernéticos reais, como aconteceu com o incidente de phishing direcionado de 2022, alertas oportunos são essenciais. Além disso, esta abordagem proativa “isenta de culpa” aplica-se à comunicação de erros na implementação interna dos nossos próprios serviços, ajudando a fortalecê-los no processo.

“A cultura de segurança em primeiro lugar da Cloudflare facilita meu trabalho”, diz Bourzikas. “Nossos funcionários investem para garantir experiências de segurança da mais alta qualidade, o que, por sua vez, ajuda nossas equipes a criar melhores serviços para nossos clientes. Esse compromisso é fundamental à medida que continuamos a ampliar recursos e serviços com nossa plataforma Cloudflare One.”