在 Cloudflare Gateway 中宣布租戶控制

我們在工作中使用的工具開始看起來像我們在個人生活中使用的應用程序。我們使用 Google Workspace 為我們的工作發送電子郵件，並在 Gmail 中回覆個人筆記。我們從我們團隊的 Dropbox 下載 PDF，然後將圖像上傳到我們的個人帳戶。這可能會導致混亂和錯誤——當我們忘記退出當天的遠程工作時，情況會變得更糟。

今天，我們很高興地宣布 Cloudflare Gateway 中的租戶控制，這是一項有助於保持工作正常進行的新功能。組織可以將 Cloudflare Gateway 部署到他們的公司設備並應用規則，確保員工只能登錄到他們需要的工具的公司版本。現在，團隊可以防止用戶登錄流行應用程序的錯誤實例。更重要的是，他們可以確保公司數據保留在公司帳戶中。

Cloudflare 網關通過將所有離開設備的流量發送到 Cloudflare 的網絡進行過濾，從而提供免受 Internet 威脅的安全性。組織通過部署 WARP 代理將流量發送到 Cloudflare，這是一個基於 WireGuard 的客戶端，基於我們流行的消費者應用程序的反饋構建。

Cloudflare Gateway 可以以多種模式部署，但大多數客戶從 DNS 過濾開始，它只向 Cloudflare 發送 DNS 查詢。Cloudflare 運行世界上最快的 DNS 解析器 1.1.1.1，在此基礎上，我們構建了一個 DNS 過濾解決方案，幫助防止用戶訪問包含惡意軟件或提供網絡釣魚攻擊的網站。

當組織準備為其部署增加更多安全性時，他們還通過添加 HTTP 過濾來超越 DNS 過濾。Cloudflare 檢查離開設備的 HTTP 流量，這提供了更精細的控制，而不僅僅是對目標和流量內部發生的事件進行 DNS 過濾，例如阻止文件上傳到某些目標。

客戶使用 HTTP 過濾來過濾和控制 SaaS 應用程序的使用。例如，如果您的團隊使用 OneDrive，您可以阻止所有文件上傳到 Google Drive 以避免數據離開您控制的租戶。Cloudflare 提供了構成應用程序的主機名和 URL 的分類，並且只需單擊兩次即可構建規則。但是，如果您沒有使用兩個不同的應用程序——您使用的是同一個應用程序的兩個不同實例，會發生什麼？

現在，您可以使用 Cloudflare Gateway 中的網關 HTTP 策略啟用租戶控制。管理員可以首先在網關中添加一種新類型的規則，提示他們輸入 SaaS 應用程序提供的特定值。例如，管理員可以為其 Microsoft 365部署收集租戶 ID。

啟用規則後，Cloudflare Gateway 將附加特定標頭，如果啟用，則將特定租戶 ID 作為附加標頭的一部分附加到您的請求中。根據 SaaS 應用程序，這些將阻止所有消費者或個人使用或阻止所有不屬於該租戶 ID 的帳戶的登錄。SaaS 應用程序知道它依賴於強制執行此規則的特定標頭，並在收到時做出相應的響應。

傳統上，這些標頭由企業 VPN 或本地維護的代理服務器注入，並通過回程用戶流量進行訪問。Cloudflare Gateway 在我們靠近您用戶的數據中心為客戶提供過濾和檢查，結合我們加速流量的能力，將您的用戶運送到他們的目的地，而不會影響傳統回程方法的性能。

您可以立即在 Cloudflare for Teams 儀表板中開始配置這些規則。要使用 Gateway 實施租戶控制，您可以在 Teams 儀表板中配置 HTTP 策略。例如，您可以使用以下策略（GSuite 使用“X-GooGApps-Allowed-Domains”標頭）阻止用戶使用他們的個人帳戶向 GSuite 進行身份驗證並將文檔上傳到 Google Drive 帳戶：

當請求被網關的防火牆過濾時，允許的請求被代理到各自的上游伺服器。在將它們發送到上游之前，我們預處理請求並附加我們自己的跟踪標頭——這些包括對調試有用的東西，比如請求 ID 標頭。現在，您可以指定要添加到這些請求中的自己的自定義標頭，這使客戶能夠對其組織實施租戶控制。