自从三周前退出beta版以来，Cloudflare Access已成为我们增长最快的订阅服务。每天，越来越多的团队使用访问技术，将他们的VPN抛在脑后，从世界任何地方快速、安全地连接到应用程序。我们从很多团队那里听说了他们是如何使用Access的。每个团队在从VPN转向零信任模型时都有独特的需要考虑。在零信任框架中，每个请求都必须证明给定的应用程序应该信任其尝试访问安全工具。在这篇文章中，我们将重点介绍一些组正在使用的解决方案，这些解决方案用于过渡到Cloudflare访问。解决方案1：与外部合作伙伴协作Cloudflare Access与流行的身份提供者（idp）集成，因此您的团队可以访问内部应用程序，而无需添加更多凭证。然而，团队很少孤立地工作。他们经常依赖外部合作伙伴，他们也需要获得共享工具。如何向外部合作伙伴授予和管理权限会带来安全风险。仅仅因为你和第三方合作并不意味着他们应该拥有你的IdP的证书。他们通常需要访问一些工具，而不是所有的内部资源。我们听说Access客户越来越多地使用一次性Pin功能来解决这个问题。使用一次性Pin，您可以向第三方用户授予访问权限，而无需将他们添加到您的IdP中。当外部用户输入电子邮件地址并在收件箱中收到一次性代码时，您的内部团队将继续使用他们的IdP凭据进行身份验证。以下是您的团队如何进行设置：在本例中，我们将Okta配置为我们的IdP。我们还启用了One Time Pin作为附加登录方法。现在这两个登录选项都可用，我们可以决定谁应该能够访问我们的应用程序。我们将从创建一个新的访问组开始。访问组定义一组用户。我们将为该组命名为"第三方合作伙伴"，并包括需要许可的个人的电子邮件地址。列表完成后，可以保存组。由于访问组可以跨策略重用，因此在此列表中添加或删除用户将应用于使用"第三方伙伴"组的所有策略。现在我们已经保存了一个访问组，我们可以返回到管理面板，并基于该组成员资格构建一个策略。首先，我们需要确保我们的内部团队能够收到申请。为此，我们将创建一个"允许"决策，并包括以@widgetcorp.tech公司域。由于该域与我们的Okta帐户绑定，我们的内部团队可以继续使用Okta来访问该工具。接下来，对于外部团队，我们需要在相同的策略中使用第二个Include规则。对于此规则，请从下拉选项中选择"访问组"。一旦选中，我们就可以选择在上一步中保存的"第三方合作伙伴"组。这将允许属于该组的任何用户访问该应用程序。现在，当用户试图访问应用程序时，他们会看到两个选项。内部团队可以继续使用Okta登录。第三方合作伙伴可以选择一次性Pin选项。当他们选择一次性Pin时，系统会提示他们输入电子邮件地址。Access将向其收件箱发送一次性代码。如果他们是授权用户，如访问组列表所定义的，他们可以跟踪电子邮件中的链接或输入代码来访问应用程序。解决方案2：需要特定网络对于某些应用程序，您需要确保您的最终用户都是已批准列表的一部分，并且来自已知的连接，如安全的办公网络。使用此需求构建规则会为每个请求添加额外的审查层。团队正在使用Access通过创建包含多个规则的策略来实施更全面的需求。您可以通过创建如下策略为特定应用程序设置此设置。首先，创建一个新的访问组。列出您需要的地址或范围。添加多个时，请使用Include规则，这意味着用户必须来自列表中的一个地址。您可以给组一个类似"Office Networks"的标题并保存它。接下来，创建一个新策略。首先，允许用户使用其IdP凭据进行身份验证，方法是包括您的团队的电子邮件域或IdP中的组名。其次，添加一个规则，要求请求来自您在访问组中定义的网络。在本例中，想要访问站点的用户首先需要使用您配置的IdP进行身份验证。此外，Access将检查以确保其请求来自您在"Require"行下面的第二个规则中配置的IP范围。解决方案3：使用Argo Tunnel实现本地应用有些应用程序过于敏感，无法通过防火墙端口和访问控制列表（ACL）公开到公共internet。乍一看，这些工具似乎注定要在本地运行，当您的团队成员不在办公室时需要VPN。Cloudflare访问仍然有帮助。当您将访问与Cloudflare Argo Tunnel相结合时，您可以避免VPN的麻烦，同时通过安全的Internet连接使您的本地应用程序可供最终用户使用。Argo Tunnel将您的web服务器安全地暴露到Internet，而无需打开防火墙端口或需要ACL配置。Argo隧道确保请求在到达web服务器之前通过Cloudflare进行路由。要配置Argo隧道，首先需要在Cloudflare中创建一个区域作为web服务器的主机名。Argo隧道为该主机名创建一个DNS条目，以便访问者可以找到它。接下来，用新的访问策略锁定主机名。一旦您准备好了，您可以按照这里的说明继续在您的web服务器上安装Argo隧道。有了Access和Argo Tunnel，团队可以让他们的内部应用程序感觉和操作起来像SaaS产品。下一步是什么？听到顾客如何使用我们的产品，我们总是很兴奋。反馈有助于我们迭代并为您的团队构建更好的解决方案。我们要感谢我们的Access beta用户以及早期采用者的意见。我们很高兴继续改进访问，以便您的团队可以继续从您的VPN过渡。