挑战：从本地安全设备过渡到基于云的零信任解决方案

从早期开始，One Mount Group就优先投资于云基础设施和SaaS工具。但该公司保留了本地VPN，以支持对企业资源的远程访问。随着公司发展，远程工作成为常态，这种设备带来的困扰变得难以忽视。

对于One Mount的IT人员来说，VPN配置和故障排除非常耗时，而且运行不可靠或很慢，特别是前往SaaS应用程序的流量。对特定应用程序或用户组施加控制可能会非常繁琐，以至于管理员有时会授予“所有权限”，导致组织面临横向移动的威胁。

从长远来看，One Mount Group认识到，必须减少这种过度的信任，并采用默认拒绝的最佳实践，以便组织能更好地接纳远程工作和自带设备（BYOD）模式。

One Mount Group自成立以来一直使用Cloudflare的性能服务来保护其外部Web资产，它看到了通过实施Cloudflare的零信任平台将安全性扩展到其内部运营的机会。具体来说，这个名为Cloudflare零信任的平台包括一个零信任网络访问解决方案，用于保护跨云、本地和SaaS环境的应用程序，以及一个安全Web网关解决方案，以保护用户免受Internet上的威胁。

此外，为了方便代码定制，以进一步增强性能和安全性，One Mount添加了Cloudflare Workers，它为开发人员提供了一个无服务器执行环境，使他们能够在边缘使用自定义代码创建全新的应用程序，或增强现有应用程序，但不需配置或维护基础设施。

Cloudflare为One Mount提供零信任的坚实基础

Cloudflare零信任保护远程连接并为One Mount提供零信任的坚实基础

One Mount通过保护内部基于web的应用程序来开始它的零信任之旅，随着时间的推移，它逐步将保护扩大到更多种类和数量的应用程序。最近增加的是，利用Cloudflare的正向代理能力来简化对传统资源的身份验证，例如文件共享，这些资源此前只能在One Mount的办公室内部的“网络上”访问。

今天，One Mount为数百名员工、自由职业者和承包商保护数百个应用程序，并预计在短期内完全停止使用VPN。展望未来，该组织的目标是，通过Cloudflare支持的基础设施即代码方法，使保护应用程序所需的几乎全部工作流程自动化。

网络安全总监Ph?m Anh Liêm表示：“采用零信任是一个非常简单的选择。我们的愿景是成为一家‘全互联网公司，一切都在云端。我们不想被企业网络世界所限制。因此，Cloudflare的零信任平台非常适合我们。”

One Mount特别看重Cloudflare同时引入多个身份提供商（IdP）的灵活性。Cloudflare使构建基于组和身份的策略变得简单明了，与VPN繁琐、容易出错的配置过程相比更是如此。

Liêm说：“Cloudflare为我们节省了很多时间。每当我们构建一个新的应用程序，基于我们选择的IdP添加保护非常简单轻松。”

IdP集成的灵活性也扩展到与端点保护（EPP）软件的集成。具体来说，One Mount使用Cloudflare与其首选EPP提供商的集成来设置设备感知、最低权限访问策略。通过使用这种集成来扩展可见性和安全性，One Mount能够完全接纳BYOD。

Liêm表示：“有这么多远程工作人员，你不可能信任每一台设备，所以我们需要确保每个进入我们系统的请求都经过正确因素的验证，然后才允许访问。”

One Mount正通过应用过滤器和扩展对其用户出站连接的可见性，将这种零信任方法扩展到互联网浏览。在使用Cloudflare前，用户仅在本地办公室工作时才会受到保护，免受恶意软件和危险互联网目的地的侵害。

Liêm表示：“我们希望员工在任何时间、任何地点都能安全地上网，而不仅仅在公司网络上才如此。”随着公司发展，One Mount很高兴能与Cloudflare一起扩展其基于云的零信任方法。

Cloudflare Workers助力One Mount轻松解难

Cloudflare Workers使One Mount能够通过在边缘运行自定义代码来轻松解决复杂问题。

One Mount使用Cloudflare Workers无服务器平台用于各种用例，包括减轻后端处理负荷、处理不常见但大容量的任务，以及为动态访问控制、动态IP允许列表和欺诈检测构建外围安全解决方案。几乎所有这些用例对公司的内部运营都是至关重要的。

Ph?m Anh Liêm指出：“Workers提供了处理我们最困难用例所需的基本元素。这是我们无服务器解决方案的最佳选择。”One Mount将Workers与Cloudflare WAF和DDoS缓解集成在一起，以预防特别促销期间的欺诈。

Cloudflare Workers使One Mount能够轻松地利用离最终用户最近的点的处理能力来运行逻辑，然后使用Cloudflare WAF来阻止滥用活动——完全不用考虑扩展底层基础设施。如果没有Workers，One Mount将很难在不影响用户体验的情况下在后台设计、实施和自动扩展这些保护。

Ph?m Anh Liêm指出：“Workers让我们的开发人员编写代码并立即看到结果。这大大降低了我们的开发和运营成本，显著改变了我们构建产品的方式。”

客户感言

“我们是越南首批提供完全公有云托管数字金融服务的公司之一，Cloudflare是实现我们零信任愿景的关键合作伙伴。”

Ph?m Anh Liêm

网络安全总监