适用于托管服务提供商的 Cloudflare Zero Trust(二)
如何与托管服务提供者合作?
更为紧密及高效的协作:Zero Trust ❤️ Tenant Platform
为了让 MSP 更容易管理数百万个帐户,并实施适当的访问控制和策略管理,我们将 Cloudflare Gateway 与现有的 Tenant 平台集成了一个可提供 parent-child 配置的新特性。这允许 MSP 合作伙伴创建和管理帐户,设置全局企业安全策略,并允许在单个业务部门或团队级别进行适当的管理或覆盖。
Tenant 平台允许 MSP 自行创建数百万个最终客户帐户,以支持其特定的启动和配置。这也确保了客户之间所有权的适当分离,并允许最终客户在需要时直接访问 Cloudflare 仪表板。
所创建的每个帐户都是一个单独的容器,其中包含 MSP 每个最终客户的订阅资源(Zero Trust 策略、区域、Worker 等)。客户管理员可以根据需要受邀对每个帐户进行自助服务管理,而 MSP 保留对每个帐户所启用的功能的控制。
MSP 现在能够大规模地设置和管理帐户,我们将探索与 Cloudflare Gateway 的集成如何让他们管理这些帐户的扩展 DNS 过滤策略。
分层 Zero Trust 帐户
每个 MSP 最终客户的独立帐户准备就绪后,MSP 可完全管理部署,也可提供受 Cloudflare 配置 API 支持的自助门户。支持配置门户还意味着您永远不希望您的最终用户阻止对此域的访问,因此 MSP 可以在其所有最终客户帐户加入时向其添加隐藏策略,这将是一个简单的一次性 API 调用。尽管每当他们需要向上述策略推送更新时就会出现问题,但现在这意味着他们必须为每个 MSP 最终客户更新一次策略,对于某些 MSP,这可能意味着超过 100 万次 API 调用。
为了将其转换为单次 API 调用,我们引入了顶级帐户(即 parent 帐户)的概念。此 parent 帐户允许 MSP 设置全局策略,这些策略在后续 MSP 最终客户策略(即子帐户策略)之前应用于所有 DNS 查询。这种结构有助于确保 MSP 可以为其所有子帐户设置自己的全局策略,同时每个子帐户可以进一步过滤其 DNS 查询以满足他们的需求,而不会影响任何其他子帐户。
这也并不限于策略,每个子账户都可以创建自己的自定义阻止页面,上传自己的证书以显示这些阻止页面,并通过 Gateway 地点设置自己的 DNS 端点(IPv4、IPv6、DoH 和 DoT)。此外,由于这些帐户与非 MSP Gateway 帐户完全相同,因此对于每个父或子帐户的策略、位置或列表的默认限制而言,没有任何下限。
下一步
综上所述,在确保当今各种规模和发展阶段的企业及组织可拥有多样化的生态系统方面,MSP 发挥了关键作用。各种规模的公司都发现自己面临着同样复杂的威胁形势,并面临着在有限的资源和有限的安全工具下维持适当的安全态势和管理风险的挑战。MSP 提供了额外的资源、专业知识和先进的安全工具,可以帮助这些公司降低风险。Cloudflare 致力于让 MSP 更容易有效地为客户提供 Zero Trust 解决方案。
鉴于 MSP 对我们客户的重要性和我们合作伙伴网络的持续增长,我们计划在 2023 年推出一系列新特性,并在此基础上更好地支持我们的 MSP 合作伙伴。首先,我们路线图上的一个关键项目是:开发一个重新设计的租户管理仪表板,以改进帐户和用户管理。其次,我们希望在整个 Zero Trust 解决方案集上扩展我们的多租户配置,以便让 MSP 更容易大规模实施安全的混合办公解决方案。
最后,为了更好地支持层级访问,我们计划扩展 MSP 合作伙伴目前可用的用户角色和访问模型,以允许他们的团队更轻松地支持和管理他们的各种帐户。Cloudflare 一直以其易用性为荣,我们的目标是让 Cloudflare 成为全球服务和安全提供商的首选 Zero Trust 平台。
在整个 CIO Week 期间,我们已经谈到合作伙伴如何帮助他们的客户实现安全态势的现代化,与经历了混合办公和混合多云基础设施转型的全球趋势保持一致。归根结底,Cloudflare Zero Trust 的力量在于它是一个可组合、统一的平台,将产品、功能和我们的合作伙伴网络结合在一起。
随时欢迎与我们取得联络,获取更多相关资讯:网页链接