Cloudflare был разработан так, чтобы быть простым в использовании даже для самых маленьких клиентов, но также критически важно, чтобы он масштабировался для удовлетворения потребностей крупнейших предприятий. В то время как небольшие клиенты могут работать в одиночку или в небольшой команде, на предприятиях часто работают тысячи пользователей, использующих возможности Cloudflare для разработчиков, безопасности и сетей. Такой масштаб может добавлять сложности, поскольку эти пользователи представляют множество команд и рабочих функций.
Корпоративные клиенты часто используют несколько Учетных записей Cloudflare для сегментирования своих команд (обеспечивая большую автономию и разделение ролей), но это может создать новый набор проблем для администраторов, фрагментируя их контроль.
Именно поэтому сегодня мы запускаем нашу новую функцию Организации в бета-режиме — чтобы предоставить администраторам единое место для управления пользователями, конфигурациями и просмотра аналитики во многих учетных записях Cloudflare.
Принцип минимальных привилегий
Принцип минимальных привилегий является одним из движущих факторов, по которым предприятия используют несколько учетных записей. Хотя система ролевого управления доступом (RBAC) Cloudflare теперь предлагает детализированные разрешения для многих ресурсов, перечисление всех ресурсов по одному может быть громоздким. Вместо этого мы видим, что предприятия используют несколько учетных записей, чтобы ресурсы каждой команды управлялись только этой командой. Это позволяет органический рост внутри учетной записи: они могут добавлять новые ресурсы по мере необходимости, не предоставляя права администратора слишком широко.
Хотя несколько учетных записей отлично подходят для ограничения разрешений для большинства пользователей внутри организации, они усложняют ситуацию для администраторов, поскольку администраторов необходимо добавлять в каждую учетную запись и предоставлять соответствующие разрешения для выполнения таких задач, как отчетность или настройка политик. Эта ситуация хрупка, так как другие администраторы могут их удалить.
Организации
Мы разработали Cloudflare Организации, имея в виду эти сценарии. Организации добавляют новый уровень в иерархию, чтобы администраторы могли управлять набором учетных записей вместе. Организации построены на основе системы Tenant, которую мы создали для поддержки потребностей экосистемы партнеров Cloudflare. Это обеспечивает прочную основу для множества новых функций, созданных нами с учетом потребностей предприятий.
Функции
Список учетных записей
Список учетных записей является ядром организации. Это простой список всех учетных записей, подключенных к организации. «Супер-администратор Организации» — это новая роль пользователя, управляемая на уровне организации; пользователи с этой ролью могут добавлять больше учетных записей в список, если они также являются Супер-администраторами этой учетной записи.
Супер-администраторы Организации
Супер-администраторы Организации имеют права Супер-администратора для каждой учетной записи в организации. Им не требуется членство в каких-либо дочерних учетных записях, и они не будут отображаться в интерфейсе на уровне учетной записи. Супер-администратор Организации — это первая из многих ролей, которые мы планируем добавить на уровне организации в течение года.
Эта функция стала кульминацией крупного проекта внутренней разработки (innersource), который мы провели внутри организации, чтобы удалить устаревшие пути кода и консолидировать каждую проверку авторизации в нашей системе ролей с областью видимости домена. Мы добавили почти 133 000 строк нового кода и удалили около 32 000 строк старого кода в поддержку этого, сделав это одним из самых масштабных изменений в нашей системе разрешений за всю историю. Это фундаментальное улучшение облегчит добавление дополнительных ролей в будущем как на уровне организации, так и на уровне учетной записи. Мы также добились 27% улучшения производительности в проверке разрешений при вызовах перечисления, таких как /accounts или /zones, которые ранее вызывали проблемы у пользователей, имеющих доступ к тысячам учетных записей.
Аналитика
Супер-администраторы Организации могут просматривать сводную панель с аналитикой об их HTTP-трафике со всех учетных записей и зон. Аналитика HTTP-трафика — это первая из многих аналитических панелей, которые мы ожидаем выпустить в течение года, добавляя эту функцию для большего количества продуктов.
Общие конфигурации
Управление общими политиками по всей вашей организации позволяет одной команде централизованно управлять такими функциями, как WAF (брандмауэр веб-приложений) или политики Gateway. Супер-администраторы Организации получат возможность делиться набором политик из одной учетной записи с остальными учетными записями в организации. Это означает, что любые пользователи в исходной учетной записи с разрешением на управление этими конфигурациями могут обновлять наборы политик. Таким образом, аналитики безопасности могут централизованно обновлять правила WAF для всего предприятия, не будучи администраторами организации или администраторами других учетных записей в организации.
Дорожная карта
Мы ограничили первоначальный запуск Организаций только корпоративными клиентами, но в ближайшие месяцы расширим его на всех клиентов, начиная с клиентов с оплатой по факту использования. Мы также будем работать над расширением этой функциональности для нашей партнерской экосистемы, но сначала нам нужно решить для них ряд особых сценариев.
В дорожной карте в этой области запланировано гораздо больше. Следите за журналом изменений, чтобы быть в курсе предстоящих возможностей:
- Журналы аудита на уровне организации
- Отчеты по биллингу на уровне организации
- Дополнительные аналитические отчеты на уровне организации
- Дополнительные роли пользователей организации
- Самостоятельное создание учетных записей
Поэтапный запуск с приоритетом безопасности
Организации будут запускаться в публичной бета-версии в течение следующих нескольких дней для корпоративных клиентов. При внедрении Организаций наши собственные ключевые требования заключаются в том, чтобы мы не повышали привилегии для каких-либо пользователей и чтобы клиенты создавали только по одной организации каждый. Чтобы выполнить эти требования, мы решили не выполнять обратное заполнение и не создавать организации от вашего имени, а вместо этого используем процесс самостоятельного приглашения.
Если вы являетесь Супер-администратором корпоративной учетной записи и никто другой не создал организацию для вашей компании, то вы увидите приглашение создать организацию в панели управления Cloudflare. После создания организации вы можете добавлять учетные записи в организацию, если вы также являетесь супер-администратором этой учетной записи.
Если другой пользователь в вашей компании уже заявил права на организацию, то он может либо пригласить вас в качестве Супер-администратора Организации, чтобы вы могли добавить свои учетные записи в организацию, либо вы можете пригласить его в качестве Супер-администратора вашей учетной записи, чтобы он мог добавить вашу учетную запись в организацию. Этот процесс гарантирует, что ни один пользователь никогда не получит разрешение на доступ к учетной записи Cloudflare, если Супер-администратор не участвовал в его одобрении. Служба поддержки Cloudflare не будет вносить изменения в конфигурацию от имени клиентов, поэтому планируйте работу с другими администраторами для завершения внутреннего развертывания Организаций.
Начало работы
Если вы являетесь Супер-администратором корпоративной учетной записи, заявите права на организацию вашей компании сейчас. За использование Организаций не взимается дополнительная плата. Вы можете найти более подробную информацию о том, как начать работу, в Панели управления на новой вкладке «Организации» или в наших документах для разработчиков.