去年十月，我们发布了 Cloudflare One，这款综合的云端网络即服务解决方案，不仅安全、快速、可靠，还定义了企业网络的未来。Cloudflare One 由两个组件构成：一是 Magic WAN 和 Magic Transit 等网络服务，用来保护数据中心和分支机构并将其连接到互联网；二是 Cloudflare for Teams，用来保护公司应用程序和设备，并在用户通过互联网工作时为其保驾护航。今天，我们很高兴公布我们与 VMware Carbon Black、CrowdStrike 和SentinelOne的全新集成，配合我们现有的 Tanium 集成。CloudFlare for Teams 客户现在可以利用这些集成，根据其设备发出的安全信号来限制对其应用程序的访问。

　　使用 Cloudflare for Teams 保护应用程序

　　COVID-19 疫情爆发以来，许多人开始远程工作。员工离开了办公室，但他们所使用的网络和应用程序却没有离开。很快，VPN 因为要回传流量而开始不堪重负，重新配置防火墙也成为 IT 的通宵梦魇。

　　这种情况加快了许多组织采用基于零信任的网络架构的步伐。零信任意味着不信任对公司资源的各个连接请求，对其进行拦截，并且仅在满足管理员定义的条件时才授予访问权限。Cloudflare for Teams 正是这样做的。用运行于全球 200 多个地点的网络取代传统 VPN，并且通过身份提供商验证用户的身份并交叉检查对所请求应用程序的权限。只有当用户成功通过身份验证并具有足够特权时，才会被授予访问权限。结果：应用性能因为我们的全球网络而得到提升，而且安全模型仰仗的是身份验证而非盲目信任。

　　BYOD — Bring Your Own Destruction

　　远程办公给公司出了又一个难题。工作与休闲时间之间的界限越来越模糊，用户开始将各种各样的设备用于工作，包括他们的个人设备。个人设备或不安全的设备通常更容易面临恶意软件之类的威胁，原因很简单，它们不在反恶意软件或更精良的终端安全提供商的保护范围内。使用不安全的设备访问公司电子邮件、将代码部署到生产系统或访问含有敏感信息的应用程序会带来风险，并可能导致违反公司的合规性准则，或者更加糟糕，一旦受感染设备传播恶意软件，就会危及整个系统的安全。

　　基于设备安全的新策略

　　即日起，Cloudflare for Teams 客户可以配置新的策略，根据终端安全供应商提供的设备安全指令，允许或拒绝与其应用程序的连接。终端安全、设备安全、设备运行状况或设备状态这类词语本意相同，通常可以互换——它们是指有助于确定特定设备（例如笔记本电脑或手机）是否安全的一组指令。其中包括各种指令和属性，例如操作系统版本、上次修补日期、磁盘加密状态、已安装应用程序清单、反恶意软件或端点安全提供商的状态以及上次扫描恶意软件的日期。

　　了解这些指令，尤其是所有公司发放设备（也称为设备群）所发出的这些指令非常重要，它可以帮助安全和 IT 团队查找过时且需要修补的设备，或者在发生恶意软件感染并需要补救时进行查找。使用 Cloudflare for Teams，这些指令也可以用于制定网络访问决策。例如，要限制非公司发放设备访问敏感应用程序，可以创建一个访问策略，将设备序列号与公司设备清单进行比较。只有当序列号匹配时，才授予用户访问权限。

　　我们的 WARP 客户端已经可以检查其中某些属性，例如序列号和设备位置，并确保使用 WARP 对流量进行加密。利用我们的全新集成，客户可以先要求设备运行 CrowdStrike 或 VMware Carbon Black 代理等终端保护平台，然后再允许该设备访问受 Cloudflare 保护的资源，这样就增加了一道安全屏障。将 WARP 发出的指令与我们合作伙伴的终端安全平台发出的指令结合在一起，我们就可以确保设备受到公司许可并且没有恶意软件，进而达到安全设备的标准。