Applied Systems

整合员工、应用和网络领域的安全，加速数字化转型

Applied Systems 成立于 1983 年，为保险行业构建 SaaS 解决方案。该公司总部位于芝加哥，在美国、英国、加拿大、西欧和印度拥有超过 2500 名员工。Applied Systems 是保险行业的全球领军企业，为各种规模的独立保险经纪公司提供服务，包括国际和大型企业公司，以及本地机构和中小型企业。

Applied Systems 因其在保险科技领域的开创性方法而获得全球认可，包括在 2022 年被 Insurance Times 评为英国最佳经纪软件管理公司，并在 2023 年美国 Golden Bridge 商业和创新奖中获得其所属类别的第一名。

挑战：加速数字化转型

安全一直是 Applied Systems 的头等大事。该公司必须为其保险客户保护大量财务数据、支付记录、个人身份信息(PII)以及其他受监管和敏感的信息类别。

自 2019 年引入新的首席执行官和高管团队以来，Applied Systems 越来越重视数字化转型计划，以帮助其为更大、要求更高的企业客户提供服务。首席信息安全官 Tanner Randolph 于 2021 年上任，意味着重新评估 Applied Systems 的技术架构，寻求变得更加敏捷、高效和安全的机会。

他说："Applied 正在进行一段旅程。我们正在迅速转变为一个云原生公司。 当我加入时，公司使用来自不同安全供应商（例如 Zscaler 和 Cisco）的各种组件，以及到我们数据中心的各种网络路径。在过去的几年里，我们高度专注于围绕统一的安全和网络堆栈进行整合。”

2022 年起，Applied Systems 开始将大量安全和网络功能整合到 Cloudflare，包括：

• 公共网站和应用安全保护和性能提升
• Secure and scalable connectivity across network infrastructure
• 员工和内部资源的 Zero Trust 安全态势

他继续说道：“通过将控制集中到 Cloudflare 而不是多个供应商系统的多个控制平面，我的团队可以专注于推动业务发展。据我所知，能够这样说的安全团队并不多。”

保护网站和应用

评估 Cloudflare 的一个主要动力是为了现代化客户的软件体验，特别因为他们正在将功能从 Applied Systems的传统厚客户端应用迁移到 SaaS 环境。

Randolph 表示：“我们希望与一家云原生且理解云原生客户期望的供应商建立合作伙伴关系。这样，我们的最新应用始终可以向客户提供卓越和安全的体验。”

Applied Systems 已经部署了 Cloudflare 的应用服务，包括Web 应用程序防火墙(WAF)，内容分发网络(CDN)，DDoS 缓解和速率限制，以阻止恶意流量并提高其应用的性能。据 Randolph 介绍，Cloudflare 的可靠性帮助简化了将Applied Systems 的 Web 应用程序迁移到云端的过程。

他说：“Cloudflare 在保护我们的应用程序免受恶意流量侵害和降低整体延迟方面表现出色和一致。”

保护网络连接

To support its business growth and ambitions, Applied Systems has streamlined its architecture for network connectivity with Cloudflare, specifically implementing Magic Transit and Cloudflare Network Firewall, a firewall-as-a-service. Together, as the company has grown, these services have accelerated network traffic, protected against threats (including L3 DDoS attacks), and enabled administrators to apply security filters when necessary.

Randolph 说道：“Cloudflare 与我们一同扩展 —— 这是我们最大的胜利。随着我们最大的客户切换到我们的云原生部署，Cloudflare 可以处理增加的流量，而无需我们添加网络设备或购买额外的带宽。使用我们以前的供应商将使我们的成本增加一倍以上。”

Applied Systems has been particularly agile in expanding and layering firewall policies. Its first firewall policies were basic — like blocking traffic from certain geographies. Over time, however, Applied Systems has begun writing its own firewall rules based on log data analyzed in its SIEM and automating the deployment of those custom rules by leveraging Cloudflare’s API-based integration with Terraform, the infrastructure-as-code tool.

他说：“我们看到威胁流量显著减少。能够编写针对我们所有数据中心的通用规则是非常棒的。采用 DevOps 最佳实践并利用自动化使我们在使用 Cloudflare 推出更改时非常高效。”

采用 Zero Trust 并替代 Zscaler 和 Cisco

Randolph 加入时，采用 Zero Trust架构是首要任务。

以往 Applied Systems 使用 Zscaler 和 Cisco 的服务，具体而言，使用 Zscaler Internet Access 处理面向互联网的出站连接，使用 Cisco AnyConnect VPN 访问内部应用程序。Randolph 称，管理这些不同的点解决方案给他的团队带来了复杂性和可见性缺口，并且随着公司的持续增长，长期来看预计将变得。

他还提到了每种服务的一些痛点： 开发人员经常抱怨 Zscaler 阻止了关键的工作网站并影响了生产力，作为回应，Applied Systems 开始放宽策略并接受比期望更多的风险。 Cisco AnyConnect VPN不仅对终端用户来说速度缓慢，而且向员工授予对整个网络的访问权限，而不是验证对特定应用的每个请求，因而造成了过多风险。

Replacing these vendors with Cloudflare Zero Trust has helped Applied to unify security controls across web, cloud, and private app environments.

“我们收到了关于 Cloudflare Zero Trust 的好评 —— — 它更容易部署，更适用于我们的员工。在相同的可用时间内，我们大幅提高了组织的安全性。”

用例：默认拒绝访问自托管应用

Specifically, Cloudflare’s Zero Trust Network Access (ZTNA) service has helped Applied Systems implement more granular policies across its self-hosted applications and infrastructure for all 2500+ employees.

Randolph 说道：“Cloudflare 帮助我们将安全态势从默认允许转变为默认拒绝。我们实施了态势检查，可以根据你所在用户组、使用设备等信息来授予访问权限。”

安全团队可以灵活地应用更严格或更宽松的控制，以满足不同的用户需求，并贴合应用的风险级别。例如，在个人设备上部署了 Cloudflare 设备客户端的员工仍然可以访问他们的人力资源门户，提交休假请求，但开发人员必须在受管设备上，并通过更严格的检查，才能访问风险相对较高的生产环境。

用例：保护新兴 AI 工具和数据

Cloudflare Zero Trust 还 Applied Systems 保护用户在 ChatGPT 等新兴人工智能(AI)工具中与敏感数据的交互和使用方式。

具体来说，Applied 在一个 Cloudflare 隔离浏览器中运行 ChatGPT 的公共实例。通过在 Cloudflare 网络上运行这个 ChatGPT 工具的所有 Web 代码，Randolph 的安全团队可以控制用户在工具中如何操作数据——包括限制下载、上传、复制粘贴等。

Randolph说道：“我们希望员工能够充分利用人工智能，同时确保数据的安全。我们阻止用户将敏感数据从其他应用复制粘贴到我们隔离的 ChatGPT 实例中，以防公司的许多信息暴露给该工具。”

隔离 ChatGPT 帮助该公司在试验该工具时更加安全，这反过来又让 Applied Systems 有信心在 Slack 中构建和改进自己的实例。这个用例反映了 Randolph 有关数据保护的整体方法：安全控制应该是“务实的”，不应以牺牲员工生产力为代价。

他说：“我们把这个理念带到电子邮件上。人们希望能够查看他们的个人邮件，但他们不一定需要能够在他们的个人邮件中复制/粘贴、上传/下载。”

部署 Cloudflare服务，如电子邮件安全、云访问安全代理(CASB)和数据丢失预防(DLP)，将帮助 Randolph 和团队继续扩展对更多环境和数据的控制和可见性。公司不仅要保护信息，还要遵守美国和全球不断演变的监管法规。

他表示：“当客户问及我们的合规情况时，我们只需要告诉客户的首席信息安全官，我们是 Cloudflare 的客户，并说明我们正在使用的产品。这往往已经回答了他们一般会问到的问题。”

下一步

投资新的安全控制与投资高质量的 IT 和安全体验是相辅相成的。为此，Applied Systems 是 Cloudflare Digital Experience Monitoring (DEX)的早期采用者之一。DEX 对整个组织的最终用户和设备连接、应用性能和网络连接提供历史和实时可见性。

Randolph说：“我们掌握的信息越多，我们的团队就越能有效地交付信息技术，保持高效工作。像 Cloudflare DEX 这样的工具有潜力为我们提供可见性和洞察力，以推动未来的开发决策。”

与 Cloudflare 合作

In just a few years, Applied Systems has already made significant progress consolidating and modernizing security across its employees, applications, and network with Cloudflare.

随着时间的推移，与 Cloudflare 在多种部署类型上的紧密合作帮助增强了响应能力和客户支持质量，特别是当 Cloudflare 的团队越来越熟悉 Applied 的架构时。

Randolph说：“我每个月都可以看到产品和支持的质量在发生变化。通过 Cloudflare 的支持，我的团队可以有效地工作，并专注于我们的安全策略。”