适用于托管服务提供商的 Cloudflare Zero Trust(二)
如何与托管服务提供者合作?
更为紧密及高效的协作:Zero Trust ❤️ Tenant Platform
为了让 MSP 更容易管理数百万个帐户,并实施适当的访问控制和策略管理,我们将 Cloudflare Gateway 与现有的 Tenant 平台集成了一个可提供 parent-child 配置的新特性。这允许 MSP 合作伙伴创建和管理帐户,设置全局企业安全策略,并允许在单个业务部门或团队级别进行适当的管理或覆盖。
Tenant 平台允许 MSP 自行创建数百万个最终客户帐户,以支持其特定的启动和配置。这也确保了客户之间所有权的适当分离,并允许最终客户在需要时直接访问 Cloudflare 仪表板。
所创建的每个帐户都是一个单独的容器,其中包含 MSP 每个最终客户的订阅资源(Zero Trust 策略、区域、Worker 等)。客户管理员可以根据需要受邀对每个帐户进行自助服务管理,而 MSP 保留对每个帐户所启用的功能的控制。
MSP 现在能够大规模地设置和管理帐户,我们将探索与 Cloudflare Gateway 的集成如何让他们管理这些帐户的扩展 DNS 过滤策略。
分层 Zero Trust 帐户
每个 MSP 最终客户的独立帐户准备就绪后,MSP 可完全管理部署,也可提供受 Cloudflare 配置 API 支持的自助门户。支持配置门户还意味着您永远不希望您的最终用户阻止对此域的访问,因此 MSP 可以在其所有最终客户帐户加入时向其添加隐藏策略,这将是一个简单的一次性 API 调用。尽管每当他们需要向上述策略推送更新时就会出现问题,但现在这意味着他们必须为每个 MSP 最终客户更新一次策略,对于某些 MSP,这可能意味着超过 100 万次 API 调用。
为了将其转换为单次 API 调用,我们引入了顶级帐户(即 parent 帐户)的概念。此 parent 帐户允许 MSP 设置全局策略,这些策略在后续 MSP 最终客户策略(即子帐户策略)之前应用于所有 DNS 查询。这种结构有助于确保 MSP 可以为其所有子帐户设置自己的全局策略,同时每个子帐户可以进一步过滤其 DNS 查询以满足他们的需求,而不会影响任何其他子帐户。
这也并不限于策略,每个子账户都可以创建自己的自定义阻止页面,上传自己的证书以显示这些阻止页面,并通过 Gateway 地点设置自己的 DNS 端点(IPv4、IPv6、DoH 和 DoT)。此外,由于这些
登录后可查看完整内容,参与讨论!
立即登录