告诉我这听起来是否熟悉：来自公司网络内部的任何连接都是可信的，来自外部的任何连接都是不可信的。这是当今大多数企业使用的安全策略。一旦网关被攻破，或者说一旦防火墙被攻破，攻击者就很容易进入防火墙。威廉·沃比的CC BY-SA 2.0图像传统的安全边界模型还有第二个问题。它要么要求员工在公司网络上（即在办公室工作），要么使用VPN，这会降低工作速度，因为每次页面负载都会额外往返于VPN服务器。在经历了所有这些麻烦之后，VPN上的用户仍然非常容易受到网络钓鱼、on-path和SQL注入攻击。几年前，谷歌率先为自己的员工开发了一个名为BeyondCorp的解决方案。他们没有将内部应用程序保存在内部网上，而是在互联网上进行访问。网络内外没有概念。网络不是什么坚固的堡垒，一切都在互联网上，没有任何连接是可信的。每个人都必须证明自己是自己所说的人。Cloudflare的使命一直是使互联网巨头的工具民主化。今天，我们将发布Cloudflare Access:Cloudflare Access：一种针对云和本地应用程序的无外围访问控制解决方案。它就像BeyondCorp，但你不必是谷歌的雇员就可以使用它。Cloudflare访问是如何工作的？Access充当统一的反向代理，通过确保每个请求都是：Authenticated:Access与大多数主要身份提供商（如Google、Azure Active Directory和Okta）集成，这意味着您可以将现有的身份提供商快速连接到Cloudflare，并使用已经创建的组和用户来访问您的web应用程序。您还可以将TLS与客户端身份验证一起使用，并将连接限制为仅限于具有唯一客户端证书的设备。Cloudflare将确保连接设备具有由公司CA签名的有效客户端证书，然后Cloudflare将验证用户凭据以授予对内部应用程序的访问权限。授权：该解决方案允许您通过为已使用标识提供程序创建的组和个人用户配置访问策略来轻松保护应用程序资源。例如，您可以确保只有您的公司员工可以访问您的内部看板板，或者锁定您的wordpress站点的wp管理员。加密：由于Cloudflare使用HTTPS使所有连接安全，因此不需要VPN。对于所有被一位环游世界的高管批评VPN让互联网变得多么缓慢的IT管理员来说，接入是完美的解决方案。它使您能够通过仪表板和API提供以下功能来控制和监视对应用程序的访问：轻松更改访问策略修改会话持续时间撤消现有用户会话集中记录审核和更改日志想要更快的连接来取代你的VPN吗？尝试将Access与Argo配对。如果您想在内部应用程序之前使用访问，但又不想将该应用程序开放到整个internet，则可以将访问与Argo Tunnel相结合。Argo Tunnel将使Cloudflare成为您应用程序的internet连接，因此您甚至不需要公共IP。如果您想在遗留应用程序之前使用访问权限，并保护该应用程序不受遗留软件中未修补的漏洞的影响，您只需单击启用Web应用程序防火墙，Cloudflare将检查数据包并阻止利用漏洞攻击的包。Cloudflare Access允许员工从任何设备、任何地点和任何类型的网络连接到公司应用程序。访问由Cloudflare的120多个数据中心组成的全球网络提供了足够的冗余和DDoS保护，并靠近您的员工或公司办公室。开始：Access需要5-10分钟来设置，并且最多可以为一个用户免费试用（除此之外，每个座位每月3美元，您可以联系销售人员以获得批量折扣）。Cloudflare Access目前已完全面向我们的企业客户提供，并为我们的免费、专业和商业计划客户提供开放测试版。要开始，请转到Cloudflare仪表板的"访问"选项卡。