Lange Zeit waren zentrale Appliances beim Härten der Infrastruktur ein wichtiges Element. Doch durch die stärkere Nutzung von Home Office und mobiler Arbeit rücken dezentrale Ansätze in den Fokus. Das cloudbasierte Gateway Cloudflare Zero Trust verspricht, mobile und stationäre Clients zu schützen. Im Test zeigte das Werkzeug, wie gut es Anwender und Geräte absichert.
Cloudflare bietet über 100 verschiedene Services an, zu denen unter anderem ein Content Delivery Network, Internetsicherheitsdienste und verteilte DNS-Dienste zählen. Wir werfen in diesem Test einen Blick auf Cloudflare Zero Trust, das durch die globale Aufstellung von Cloudflare herkömmliche Sicherheitsgrenzen überwindet und das Internet für Teams auf der ganzen Welt schneller und sicherer machen soll. Cloudflare Zero Trust bietet mit "Access" ein Modul, das für SaaS-und eigene gehostete Anwendungen als Identitätsaggregator oder Proxy fungieren kann. Auf diese Weise sind Anmelderichtlinien in Cloudflare hinterlegbar, sodass sich nur Benutzer, die die Kriterien erfüllen, an den Apps anmelden können.
Das Modul "Secure Web Gateway" schützt Benutzer und Geräte. Riskante Websites lassen sich durch Blocklisten auf eine einfache Weise aussperren. Auch erlaubt die Software, den Up- und Download von Dateien zu steuern und durch einen Virenscanner zu prüfen. In bestimmten Lizenzen bietet Cloudflare zudem eine Browser-Isolation, die aktive Webseiteninhalte in einen sicheren, isolierten Browser umleitet. Dies bietet einen erweiterten Schutz vor Zero- Day-Angriffen und Malware. Das Remote- Browsing ist für den Benutzer unsichtbar und es ist weder ein besonderer Brow-ser notwendig noch müssen Anwender ihre Gewohnheiten ändern.
Zugang zu Cloudflare
Eine Testversion gibt es bei Cloudflare nicht, aber mit der kostenlosen Variante lassen sich nahezu alle Funktionen testen. Cloudflare bietet die Lizenzen "Free", "Standard" und "Enterprise" an, wobei sich die freien Funktionen an Unternehmen mit bis zu 50 Nutzern richten. Unterstützung gibt es hier nur durch die Community. Ansonsten sind fast alle Features der größeren Versionen vorhanden. Nur die Remote-Browser-Isolation ist außen vor und steht erst ab der Standardversion zur Verfügung. Darüber hinaus wird das Aktivitätsprotokoll nur für 24 Stunden gespeichert, in der Standardversion hingegen 30 Tage. Schließlich hält die Enterprise- Version die Logdateien sechs Monate vor und erlaubt, diese zu Cloudspeichern oder Security-Information-and-Event-Management- Systemen (SIEMs) zu übertragen. Dieser dient als Domain-Bezeichnung für den Cloudflare-Account, in unserem Fall lautete er "it-admin.cloudflare.de". Der Name kann später in den Einstellungen auch geändert werden. Nach dem Teamnamen galt es, den Nutzungsplan zu bestätigen. Hier wählten wir das kostenlose "Free" aus, im Folgenden mussten wir aber trotzdem Rechnungsdaten und Zahlungsmethode hinterlegen.
Cloudflare bietet über 100 verschiedene Services an, zu denen unter anderem ein Content Delivery Network, Internetsicherheitsdienste und verteilte DNS-Dienste zählen. Wir werfen in diesem Test einen Blick auf Cloudflare Zero Trust, das durch die globale Aufstellung von Cloudflare herkömmliche Sicherheitsgrenzen überwindet und das Internet für Teams auf der ganzen Welt schneller und sicherer machen soll. Cloudflare Zero Trust bietet mit "Access" ein Modul, das für SaaS-und eigene gehostete Anwendungen als Identitätsaggregator oder Proxy fungieren kann. Auf diese Weise sind Anmelderichtlinien in Cloudflare hinterlegbar, sodass sich nur Benutzer, die die Kriterien erfüllen, an den Apps anmelden können.
Das Modul "Secure Web Gateway" schützt Benutzer und Geräte. Riskante Websites lassen sich durch Blocklisten auf eine einfache Weise aussperren. Auch erlaubt die Software, den Up- und Download von Dateien zu steuern und durch einen Virenscanner zu prüfen. In bestimmten Lizenzen bietet Cloudflare zudem eine Browser-Isolation, die aktive Webseiteninhalte in einen sicheren, isolierten Browser umleitet. Dies bietet einen erweiterten Schutz vor Zero- Day-Angriffen und Malware. Das Remote- Browsing ist für den Benutzer unsichtbar und es ist weder ein besonderer Brow-ser notwendig noch müssen Anwender ihre Gewohnheiten ändern.
Zugang zu Cloudflare
Eine Testversion gibt es bei Cloudflare nicht, aber mit der kostenlosen Variante lassen sich nahezu alle Funktionen testen. Cloudflare bietet die Lizenzen "Free", "Standard" und "Enterprise" an, wobei sich die freien Funktionen an Unternehmen mit bis zu 50 Nutzern richten. Unterstützung gibt es hier nur durch die Community. Ansonsten sind fast alle Features der größeren Versionen vorhanden. Nur die Remote-Browser-Isolation ist außen vor und steht erst ab der Standardversion zur Verfügung. Darüber hinaus wird das Aktivitätsprotokoll nur für 24 Stunden gespeichert, in der Standardversion hingegen 30 Tage. Schließlich hält die Enterprise- Version die Logdateien sechs Monate vor und erlaubt, diese zu Cloudspeichern oder Security-Information-and-Event-Management- Systemen (SIEMs) zu übertragen. Dieser dient als Domain-Bezeichnung für den Cloudflare-Account, in unserem Fall lautete er "it-admin.cloudflare.de". Der Name kann später in den Einstellungen auch geändert werden. Nach dem Teamnamen galt es, den Nutzungsplan zu bestätigen. Hier wählten wir das kostenlose "Free" aus, im Folgenden mussten wir aber trotzdem Rechnungsdaten und Zahlungsmethode hinterlegen.
Cloudflare Zero Trust
Produkt
Sicherheitswerkzeug als Clouddienst, das einen erhöhten Schutz beim Zugriff auf SaaSDienste und selbst gehostete Anwendungen ermöglicht und über einen Webfilter-Gateway die Clients remote und im Büro absichert.
Unterschieden wird bei Zero Trust zwischen den Free-, Standard- und Enterprise-Lizenzen. Die Standard-Version kostet 7 US-Dollar je Monat und Nutzer. Zero Trust Access und Gateway sind auch einzeln und unabhängig buchbar, die Kosten liegen bei 3 beziehungsweise 5 US-Dollar je Monat und Anwender.
Systemanforderungen
Keine, da die Anwendung direkt in der Cloud läuft.
Der WARP-Client steht für Windows ab Version 8.1, für macOS ab Mojave, für iOS 11+ und für Android 5.0+ zur Verfügung. Unterstützt werden auch Chromebooks, die nach 2019 hergestellt wurden sowie verschiedene Linux- Versionen.
Nach der Registrierung empfing uns eine sehr aufgeräumte Umgebung. Das zentrale Menü auf der linken Seite setzt sich aus den Einträgen "Home", "Analytics", "Gateway", "Access", "My Team", "Logs" und "Settings" zusammen. Im unteren Bereich des Menüs gibt es den "Support", durch den der Nutzer schnell zur Dokumentation und zur Community gelangt.
Beim ersten Start verlangte der Home- Bildschirm zunächst einige wichtige Links für die ersten Schritte. Im Anschluss zeigt er uns Informationen zu den Aktivitäten der letzten Stunden beziehungsweise Tage. Dazu zählen unter anderem die Anzahl der Nutzer und DNS-Anfragen sowie Informationen zu blockierten Anfragen. Beim Versuch, den Filter auf sieben Tage oder mehr zu ändern, wurden wir auf die eingeschränkte Lizenz und die Verfügbarkeit dieser Funktion in einem höheren Plan hingewiesen.
Der Hauptmenüpunkt "Analytics" soll einen tieferen Blick in das eigene Netzwerk ermöglichen und gliedert sich in "Access" und "Gateway". Im ersten Bereich finden sich Informationen zu den genutzten Apps. Hier lässt sich nachvollziehen, welche Applikation einzelne User nutzen und welche App aus dem Bereich der "Shadow- IT" vorhanden ist. Für bekannte Anwendungen finden sich hier weitere Login- Informationen. Unter "Gateway" erhielten wir Informationen zu erlaubten und blockierten Anfragen. Grundsätzlich ist die Anzahl der Reports überschaubar. Bei einigen steht noch eine Detailansicht bereit, die aber keine umfangreichen Filter an Bord hat. Cloudflare verweist in diesem Bereich noch auf die "GraphQL Analytics API", um die Analytics-Daten tiefgreifender abzufragen.
Bild 1: Das Cloudflare-Zero-Trust-Portal zeigt im Home Screen übersichtlich wichtige Informationen zu den DNS-Anfragen – anpassen lässt es sich aber nicht.
Gateway schnell eingerichtet
Um Standorte abzusichern, mussten wir im Bereich "Gateway" zunächst eine "Location" definieren. Dabei handelt es sich in der Regel um physische Einheiten wie Büros oder Geschäfte. Ist ein Standort definiert, muss nach Möglichkeit der DNS-Server des Routers angepasst werden, sodass alle Anfragen über Cloudflare laufen. Dadurch greifen dann unabhängig vom Client die definierten DNS-Regeln, was auf einfache Art und Weise eine zusätzliche Sicherheit schafft.
Eine Lokation war über "Add a Location" schnell eingerichtet. Der Assistent fragte den Namen des Standorts ab und zeigt die öffentliche IP-Adresse an, von der zukünftige Anfragen gefiltert werden. Nach dem Hinzufügen erhielten wir eine Beschreibung zum Ändern der DNS-Server, damit Cloudflare diese bearbeitet. Wie bereits beschrieben, waren am Client keine weiteren Eingriffe nötig. Es greifen aber nur DNSRichtlinien und keine HTTP-Richtlinien, die den Verkehr tiefergehend überwachen.
Unabhängig vom WARP-Client, auf den wir später noch näher eingehen, bietet Cloudflare in der Enterprise-Version einen Proxy-Dienst für Browser. Hier lässt sich im Bereich Gateway ein "Proxy Endpoint" erstellen. Die Dokumentation hilft im Anschluss auch beim Erzeugen einer PAC-Datei, die Browsern den Weg zum konfigurierten Proxy aufzeigt. In diesem Fall wird auch HTTP-Traffic überwacht.
Umfassende, einfach zu bedienende Regelwerke
Im nächsten Punkt "Policies" unter dem Eintrag "Gateway" definierten wir die Filterrichtlinien. Mit Secure-Web-Gateway-Richtlinien lässt sich der ausgehende Datenverkehr sehr einfach überwachen. Es stehen drei verschiedene Richtlinientypen zur Verfügung: DNS-Richtlinien prüfen zunächst DNS-Anfragen, sodass die Auflösung von Domains auf den Geräten blockiert wird. Die Netzwerkrichtlinien überwachen einzelne TCP/UDP/GRE-Pakete, was uns erlaubte, den Zugriff auf bestimmte IP-Adressen und Ports zu blockieren.
HTTP-Richtlinien prüfen HTTP-Anfragen und stoppen den Zugriff auf bestimmte Webinhalte. Die URL-Filterung basiert dabei auf einer Datenbank, in der URLs je nach Thema und Status blockiert oder erlaubt sind. Da sich auf diese Weise böswillige Seiten filtern lassen, trägt die Funktion auch zum Schutz von Cyberangriffen bei. Netzwerk- und HTTP-Richtlinien greifen nur bei aktivem WARP-Client.
Eine HTTP-Richtlinie war in den "Policies" unter dem Punkt "HTTP" schnell eingerichtet. Sie besteht aus einer "Action" sowie einer "Expression", die den Geltungsbereich der Richtlinie bestimmt. Über "Action" definierten wir, ob das Ereignis blockiert oder erlaubt werden soll. Beim Erstellen einer neuen Regel mussten wir zunächst einen Namen festlegen und in einem Beschreibungsfeld lassen sich noch weitere Details dokumentieren. Bei der "Expression" waren wir aufgefordert, einen "Selektor" und einen "Operator" auszuwählen und einen Wert in das Feld "Value" einzutragen.
Um zum Beispiel Webseiten der Kategorie "Hacking" auszuschließen, wählten wir als "Selector" "Content Category" und als Operator "in". Im Feld "Value" wurden uns dann die verschiedenen Inhaltskategorien angezeigt, über die wir zur Kategorie "Hacking" gelangten. Damit die Seiten nicht mehr aufgerufen werden können, setzten wir die "Action" auf "Block". Als zusätzliche Option konnten wir noch einen Hinweistext festlegen, der auf der Seite mit der Fehlermeldung bei den Nutzern erscheint. Nach dem Speichern war die Richtlinie noch nicht direkt aktiv. Hierfür mussten wir in den "Settings" unter dem Eintrag "Network" die Punkte "Proxy" und "TLS Decryption" aktivieren. Mit einer kurzen Verzögerung wurden unsere Testaufrufe im Anschluss blockiert. Zukünftig greifen hier auch spezielle DLP-Richtlinien, die verhindern sollen, dass Unbefugte Dateien mit bestimmten Schlüsselphrasen an fremde Cloud-Storage-Anbieter hochladen. Aktuell ist diese Funktion allerdings noch im Beta-Stadium und bedarf einer Registrierung.
Ähnlich der HTTP-Richtlinien arbeiten auch die DNS- und Network-Policies. In unserem Testen konnten wir über einen DNS-Filter bequem Cloudspeicher blockieren. Auch eine Netzwerkrichtlinie zum Filtern des FTP-Verkehrs funktionierte in unserem Test ohne großen Aufwand. Sind mehrere Regeln vorhanden, lässt sich das Abarbeiten über die Reihenfolge und damit die Priorisierung steuern. Insgesamt sind die Regeln sehr einfach zu konfigurieren und durch eine vorgelagerte Authentifizierung des Nutzers lassen sich auch Ausnahmen für bestimmte Anwender oder Gruppen schaffen.
Bild 2: Neben HTTP- stehen DNS- und Netzwerkrichtlinien zur Verfügung, die IT-Verantwortlichen erlauben, den Datenverkehr sehr einfach zu überwachen.
Komfortable externe Authentifizierung
Um Richtlinien für bestimmte Benutzer und Gruppen zu steuern, integriert Cloudflare Identity Provider und erlaubt auch, verschiedene Provider parallel zu nutzen. Neben Azure AD und Google lassen sich Facebook, LinkedIn, Centrify und eine Menge weiterer Anbieter einbinden. Wir wollten dies mit dem Azure Active Directory testen. Hierzu mussten wir zunächst unter "Settings" und "Authentication" eine neue Login-Methode über den Button "Add new" hinzufügen. In der anschließenden Übersicht wählten wir "Azure" und im folgenden Fenster wurden links die benötigten Daten abgefragt und rechts eine Anleitung angezeigt, wie das "Azure AD" vorzubereiten ist.
Zunächst mussten wir im Azure AD im Bereich "App-Registrierung" eine neue Registrierung durchführen. Hierfür wählten wir "Neue Registrierung" aus. Im nächsten Schritt trugen wir den Anwendungsnamen und die "Cloudflare Team Domain" ein. Die nun folgende Seite zeigte uns die Details der Seite und die "Application ID" sowie die "Directory ID" konnten wir bereits in Cloudflare übernehmen. Als Nächstes mussten wir noch einen neuen Clientschlüssel im Punkt "Zertifikate & Geheimnisse" erstellen. Dieser wurde ebenfalls in Cloudflare übernommen. Im Azure AD fügten wir zum Schluss unter dem Eintrag "API-Berechtigungen" die notwendigen Rechte hinzu. Bevor die Berechtigungen zur Anwendung kommen, musste die Administrationszustimmung über den Button "Administrationszustimmung" eingeholt werden. Im Anschluss konnten wir erfolgreich einen Verbindungstest durchführen.
Mit der neu eingerichteten Authentifizierungsmöglichkeit legten wir im nächsten Schritt die Regeln für die Geräteanmeldung fest. Hierüber lässt sich steuern, welche Benutzer im Unternehmen in der Lage sind, Geräte mit Cloudflare Zero Trust zu verbinden. Dafür war zunächst die Anmeldemethode auszuwählen, mit der sich die Benutzer authentifizieren sollen. Die Konfiguration erfolgte unter "Settings" und "WARP Client" im Bereich "Device enrollment permissions". Hier legten wir eine neue Regel an und gewährten allen Azure-Nutzern den Zugriff. Ein Filtern nach Gruppen, IP-Ranges und vielen anderen Optionen ist möglich.
Mit dem WARP-Client schnell zu Zero Trust
Locations lassen sich bereits durch DNSRichtlinien absichern, der vollumfängliche Schutz eines Endgeräts erfordert aber den WARP-Client. Verfügbar ist dieser für Windows, macOS, Linux, iOS, Android und ChromeOS. Der Download erfolgt über das Cloudflare-Portal unter dem Punkt "Settings" und "Download". Bevor es aber an die Installation ging, mussten wir zunächst das Cloudflare-Stammzertifikat an die Clients verteilen. Dies ist nötig, damit auch eine HTTPS-Überwachung problemlos funktioniert. Das Zertifikat befindet sich ebenfalls in den "Downloads". Auf unserem Windows-Testclient mussten wir das Zertifikat zunächst zu den vertrauenswürdigen Stammzertifizierungsstellen hinzufügen. Die Hilfe beschreibt dabei auch ausführlich, wie das Zertifikat unter macOS oder iOS zu installieren ist. Weitaus hilfreicher wäre aber eine Beschreibung, wie es sich an alle Clients automatisch verteilen lässt.
Nach dem Einrichten des Zertifikats installierten wir den WARP-Client. Das Setup ist unspektakulär und die Installation ging schnell vonstatten. Anschließend erfolgte die Registrierung über den WARP-Client. Unter Windows klickten wir auf das Icon und bestätigten eine kurze Beschreibung zum Client und die Zustimmung zum Datenschutz, bevor wir über das Zahnrad die Registrierung des Nutzers durchführten. Hierfür mussten wir den Teamnamen und dann unsere Azure-Anmeldedaten eingeben. Im Anschluss erhielten wir eine Erfolgsmeldung. Über den WARP-Client konnten wir dann eine sichere Zero-Trust- Verbindung starten und die Clientanbindung war abgeschlossen. Der Netzwerkverkehr wurde damit umgelenkt, überwacht und wir erhielten über das Dashboard Detailinformationen. Die Einrichtung verlief auch mit einem macOS-Client und einem iPhone ohne Probleme.
Neben der manuellen Installation des WARP-Clients verweist die Hilfe auch auf eine Installation über MDM-Tools wie Intune und JAMF. Die dahinterliegende Anleitung beschreibt aber nur sehr knapp, wie eine unbeaufsichtigte Installation erfolgt.
Gezielte Steuerung dank WARP-Client
Bis hierhin mussten wir die Verbindung via WARP-Client händisch starten. Dies ließ sich aber in den "Settings" des "WARP Clients" im Cloudflare-Portal ändern. So bot uns die "Auto Connect"-Option die Möglichkeit, automatisch eine Verbindung aufzubauen. Über "Lock WARP Switch" lässt sich dann noch steuern, ob ein Nutzer eine WARP-Verbindung trennen darf. Die Kombination des Lock-Switch mit dem Auto-Connect bietet eine gute Absicherung des Clients und verhindert, dass der Webtraffic an Cloudflare vorbeigeht.
Im Bereich der "Network-Setting" lassen sich in Cloudflare noch die "Split Tunnels"- Einstellungen vornehmen, sodass wir hier definieren konnten, welcher Netzwerkverkehr nicht durch den WARPClient gehen soll. Über den Button "Directly Route Office 365 Traffic" hatten wir die Option, für Office 365 Ausnahmen in der "Split Tunnel"-Konfiguration zu hinterlegen. Uns bot sich auch die Option, eine vordefinierte Ausnahmerichtlinie für den Office-365-HTTP-Verkehr zu erstellen, sodass dieser aus der Überwachung fällt. Die Regel entsteht automatisch beim Einsatz des Buttons "Bypass Decryption of Office 365 Traffic".
Sollte neben dem WARP-Client noch eine weitere VPN-Anwendung vorhanden sein, ist darauf zu achten, dass diese keine DNSAufgaben übernimmt. Auch mussten wir für die VPN-Adressen eine Ausnahme in der Split-Tunnel-Konfiguration in Cloudflare konfigurieren, damit die Clients sich nicht in die Quere kommen.
Unzureichendes Reporting
Im Bereich "My Team" lassen sich die überwachten Clients und Nutzer prüfen. Hier finden sich Informationen zum letzten Kontakt und den Aktivitäten. Die Filtermöglichkeiten in der "User"- Übersicht beschränken sich beim Benutzer auf den Status "All", "Active" oder "Removed". Darüber hinaus ist ein Export der Benutzer inklusive einiger Details in eine CSV-Datei verfügbar. Aufgefallen ist uns dabei, dass die Anzahl der je Nutzer aktiven Geräte nicht mit der Anzahl der in Cloudflare aufgeführten Geräte übereinstimmte.
Bei den "Devices" lässt sich neben dem Status noch der Benutzer und der letzte Kontakt filtern. Eine Exportmöglichkeit gibt es hier nicht. Positiv fanden wir das Administrationslog im Menüpunkt "Logs". Hier boten sich uns sämtliche Aktivitäten der Administratoren, die wir nach dem Administrator, dem Produkt, "Access" oder "Gateway" sowie dem Änderungsdatum sortieren konnten. Jedoch stand auch hier wieder keine Exportmöglichkeit zur Verfügung. Im Bereich "Access" und "Gateway" lassen sich die Aktivitäten gut nachvollziehen und in "Gateway" direkt einsehen, was zugelassen und was blockiert wurde. Das Log wird dabei nur 24 Stunden vorgehalten, was in unserem Test die größte Einschränkung war, gerade weil es keine Export- beziehungsweise Benachrichtigungsfunktion gibt. Gewünscht hätten wir uns erweiterte Möglichkeiten des Berichtswesens. Blockiert zum Beispiel der Virenscanner eine Datei, zeigt sich dies aktuell nur im HTTPGateway- Log. Ein Hinweis an den Administrator ist an keiner Stelle vorgesehen. Das betrifft auch das Hinzufügen von neuen Geräten, sofern die Nutzer dies selbstständig dürfen. Hier ist etwas mehr Gesprächsbereitschaft wünschenswert.
Fazit
Cloudflare hat uns im Test überzeugt: Es war sehr schnell eingerichtet und die Filtermöglichkeiten an verteilten Clients überzeugten auf ganzer Linie. Gerade wenn der lokale Virenscanner nicht zu einer vollumfänglichen Sicherheitslösung gewachsen ist und nicht der gesamte Datenverkehr über die eigene VPN-Infrastruktur geroutet werden soll, bietet sich Cloudflare Zero Trust an, um die Sicherheit aller Clients zu gewährleisten.
So urteilt IT-Administrator
Bewertung
Sicherheitsfilter
8
Firewall
8
Reporting
5
Inbetriebnahme
7
VPN per WARP
8
Die Details unserer Testmethodik finden Sie unter www.it-administrator.de/testmethodik
Dieses Produkt eignet sich
optimal
in kleinen bis mittelgroßen Unternehmen, die aktuell keine Filterlösung im Einsatz haben.
bedingt,
wenn es bereits zentrales Sicherheitswerkzeug gibt, aber hierfür der Netzwerkverkehr umständlich über VPN geroutet werden muss.
nicht,
sofern bereits der lokale Virenscanner oder ein anderes Tool die Filteraufgaben am Client übernimmt.