安全網(wǎng)絡(luò)連接即服務(wù),安全即服務(wù)-ESG跨境

安全網(wǎng)絡(luò)連接即服務(wù),安全即服務(wù)

安全網(wǎng)絡(luò)連接即服務(wù)

早在 2020 年 10 月，我們就推出了Cloudflare One，這是我們對未來企業(yè)網(wǎng)絡(luò)和安全的愿景。自那時以來，我們一直專注于交付這個平臺的更多組成部分，今天我們欣然宣布該平臺上兩個最基本的組件：Magic WAN 和 Magic Firewal。Magic WAN 為您的整個企業(yè)網(wǎng)絡(luò)提供安全、高性能的連接和路由，降低成本和操作復(fù)雜性。Magic Firewall 與 Magic WAN 無縫集成，使您能在邊緣執(zhí)行網(wǎng)絡(luò)防火墻策略，覆蓋來自貴組織網(wǎng)絡(luò)內(nèi)部任何實體的流量。

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)無法解決今天的問題

企業(yè)網(wǎng)絡(luò)一向以來采用了少數(shù)幾種模型之一，這些模型設(shè)計為確保辦公室與數(shù)據(jù)中心之間的安全信息流，鎖定對互聯(lián)網(wǎng)的訪問并在辦公室邊界進行管理。隨著應(yīng)用程序上云和員工移出辦公室，這些設(shè)計不再起作用，而類似 VPN 盒子這樣的臨時解決方案不能解決企業(yè)網(wǎng)絡(luò)架構(gòu)的核心問題。

在連接性方面，全網(wǎng)狀 MPLS（多協(xié)議標簽交換）網(wǎng)絡(luò)成本高昂且部署費時，維護不易又極難擴展，而且往往在可見性方面有巨大缺口。其他架構(gòu)需要將流量回傳到中央位置后再發(fā)國際快遞源，導(dǎo)致不可接受的延遲，并必須購置成本高昂的中樞硬件來獲得最大容量，而非按實際使用量配置。我們所接觸的大多數(shù)客戶都在與兩個世界最糟糕的情況作斗爭：多年甚至數(shù)十年來拼湊起來的各種架構(gòu)的組合，根本無法管理。安全架構(gòu)師也在與這些模型作斗爭——隨著網(wǎng)絡(luò)增大，他們不得不應(yīng)對來自不同供應(yīng)商的一大堆安全硬件盒子，并在成本、性能和安全之間進行權(quán)衡。

將您的網(wǎng)絡(luò)邊界移到邊緣并通過服務(wù)確保其安全

通過 Magic WAN，您可安全地將任何流量來源——數(shù)據(jù)中心、辦公室、設(shè)備和云資產(chǎn)——連接到 Cloudflare 的網(wǎng)絡(luò)，并配置路由策略來將數(shù)據(jù)傳輸?shù)剿鼈兯枞サ牡胤剑吭谝粋€ SaaS 解決方案中完成。不再需要投資購置 MPLS 并等待部署，不再蒙受流量“長號”效應(yīng)帶來的性能損失，不再需要經(jīng)歷管理一堆過時解決方案的噩夢：取而代之，使用 Cloudflare 的 Anycast 網(wǎng)絡(luò)來延伸您的網(wǎng)絡(luò)，獲得更佳的性能和內(nèi)建的可見性。

一旦您的流量連入 Cloudflare，如何控制您的網(wǎng)絡(luò)中的哪些實體可彼此交互或與互聯(lián)網(wǎng)交互呢這就是 Magic Firewall 發(fā)揮作用的時候了。Magic Firewall 允許您集中管理您整個網(wǎng)絡(luò)中的策略，全部以服務(wù)的形式在邊緣運行。Magic Firewall 讓您精細地控制哪些數(shù)據(jù)可以進出您的網(wǎng)絡(luò)，或在您的網(wǎng)絡(luò)內(nèi)傳輸。更妙的是，您能通過單一儀表板掌握流量具體如何流經(jīng)您的網(wǎng)絡(luò)。

Magic WAN 為 Cloudflare One所包含的一整套功能組件提供了基礎(chǔ)，這些功能組件都是在軟件中從零構(gòu)建的，可無縫擴展和集成。Magic Firewall 在 Magic WAN 可供直接使用，客戶能輕松啟用額外的零信任安全和性能特性，例如我們包含遠程瀏覽器隔離的安全 Web 網(wǎng)關(guān)（SWG）、IDS、Smart Routing 等。

云采用日漸興盛，加上人們最近向遠程工作轉(zhuǎn)移，導(dǎo)致互聯(lián)網(wǎng)、SaaS 和 IaaS 流量增多，給 MPLS 等傳統(tǒng)網(wǎng)絡(luò)架構(gòu)造成巨大壓力。對于希望提高運營敏捷性和降低總體擁有成本的組織而言，提供全球規(guī)模的WAN 架構(gòu)、集成的企業(yè)網(wǎng)絡(luò)安全功能以及與遠程用戶的直接安全連接，這一切至關(guān)重要。

— Ghassan Abdo，IDC Research 全球電信、虛擬化和 CDN 副總裁

具體是怎樣的呢讓我們通過示例客戶 Acme Corp 探索如何使用 Magic WAN 和 Magic Firewall 來解決企業(yè)網(wǎng)絡(luò)和安全方面的問題。

取代分支機構(gòu)與數(shù)據(jù)中心之間的 MPLS

今天，Acme Corp 在世界各地設(shè)有辦公室，各自通過 MPLS 連接到區(qū)域數(shù)據(jù)中心及與彼此連接。每個數(shù)據(jù)中心都運行著企業(yè)應(yīng)用程序，通過一堆硬件盒子來保障其安全，也租用專線連接到至少另一個數(shù)據(jù)中心。Acme 也在將部分應(yīng)用程序遷移到云，并計劃建立從數(shù)據(jù)中心到云提供商的直接連接，以便提高安全性和可靠性。

隨著 Acme 發(fā)展，其網(wǎng)絡(luò)團隊最一致的痛點之一是管理和維護其 MPLS 連接性。MPLS 成本高昂且部署費時，限制了 Acme 擴張到新地點（尤其是國際上）或?qū)νㄟ^收購而增加的辦公室提供支持的速度。Acme 辦公室中連接到云提供商和 SaaS 應(yīng)用程序的員工面臨令人沮喪的延遲，因為流量必須先擠過 Acme 數(shù)據(jù)中心由一堆硬件盒子執(zhí)行的安全策略，然后才能發(fā)國際快遞目的地。辦公室之間的流量，例如 IP 電話和視頻會議，沒有應(yīng)用任何安全策略，代表了 Acme 安全態(tài)勢中的一個缺口。

就在 Acme 努力遷移到云計算和云儲存之際，該公司希望擺脫這些專用鏈接，改為以安全的方式利用互聯(lián)網(wǎng)來建立連接。他們考慮在互聯(lián)網(wǎng)上建立全網(wǎng)狀站到站 IPSec VPN 隧道，但其復(fù)雜性使其網(wǎng)絡(luò)團隊和異構(gòu)路由器部署均捉襟見肘。Magic WAN 已經(jīng)準備好滿足他們今天的需求，簡化網(wǎng)絡(luò)管理并立即帶來性能裨益，并使 Acme 能逐步擺脫 MPLS。

在這個 Magic WAN 示例部署中，Acme 通過 Anycast GRE 隧道將每個辦公室和 VPC 連接到 Cloudflare。通過這個架構(gòu)，Acme 只需要為每個站點/互聯(lián)網(wǎng)連接建立單一隧道，就能自動獲得對 Cloudflare 整個全球網(wǎng)絡(luò)（遍布全球 100 多個國家的 200 多個城市）的連接——就像輪輻式架構(gòu)，只是這個中心點無處不在。Acme 也選擇使用 Cloudflare Network Interconnect 從其數(shù)據(jù)中心建立專用連接，通過 Cloudflare 高度互聯(lián)的網(wǎng)絡(luò)實現(xiàn)甚至更加安全和可靠的流量交付和對其他網(wǎng)絡(luò)/云提供商的更佳連接性。

一旦建立了這些隧道，Acme 就能為其私有網(wǎng)絡(luò)（RFC 1918 空間）中的流量配置允許的路線，Cloudflare 將流量引導(dǎo)至需要前往的地方，提供彈性和流量優(yōu)化。只用完成數(shù)小時的簡單設(shè)置過程，Acme Corp 就能開始從 MPLS 遷移出來。隨著 QoS 和 Argo for Networks 等 Cloudflare One 新功能的引入，Acme 的網(wǎng)絡(luò)性能和可靠性將繼續(xù)提高。

保護遠程員工對私有網(wǎng)絡(luò)的訪問

去年 Acme Corp 員工因新冠疫情而突然轉(zhuǎn)移到遠程工作時，Acme 的 IT 部門匆忙尋找短期應(yīng)對措施來維持員工對內(nèi)部資源的訪問。他們的傳統(tǒng) VPN 不堪使用——由于設(shè)備負荷超過設(shè)計極限，居家工作的 Acme 員工遭遇到了連接性、可靠性和性能問題。

值得慶幸的是，有一個更好的解決方案使用 Cloudflare for Teams 和 Magic WAN，無論員工在何處工作，Acme Corp 都能為他們訪問私有網(wǎng)絡(luò)內(nèi)部的資源提供一種安全的方式。Acme 員工在其設(shè)備上安裝 WARP 客戶端，以便將流量發(fā)國際快遞 Cloudflare 網(wǎng)絡(luò)，在此經(jīng)過驗證后路由到通過 GRE 隧道（如上例所示）、Argo Tunnel、Cloudflare Network Interconnect 或 IPSec（即將推出）連接到 Cloudflare 的數(shù)據(jù)中心或 VPC 上的私有資源。此架構(gòu)解決了 Acme 使用其傳統(tǒng) VPN 時遭遇的性能和容量問題——它并非通過單一阻塞點發(fā)快遞所有流量，而是將流量路由到距離最近的 Cloudflare 節(jié)點，在邊緣應(yīng)用策略后通過一條優(yōu)化路徑發(fā)國際快遞目的地。

來自 Acme Corp 員工設(shè)備、數(shù)據(jù)中心和辦公室的流量也將能由 Magic Firewall 應(yīng)用策略，對所有“入口”執(zhí)行強大、精細的策略控制。因此，無論員工從其手機或筆記本電腦接入，還是在 Acme 辦公室工作，都可在相同的地方應(yīng)用相同的策略。這簡化了配置，并為 Acme IT 和安全團隊改善了可見性，他們可以登錄到 Cloudflare 儀表板并從一個地方查看和控制策略——與管理各種 VPN、防火墻和云服務(wù)上的員工訪問相比，這是顛覆性的變化。

這個解決方案允許 Acme 從其 VPN、防火墻和安全 web 網(wǎng)關(guān)設(shè)備轉(zhuǎn)移出來，改善性能，并輕松地管理來自員工任何工作地點的流量。

將網(wǎng)絡(luò)和安全功能遷移到邊緣

一向以來，Acme 依賴于實體辦公室和數(shù)據(jù)中心內(nèi)的硬件設(shè)備堆棧來保障網(wǎng)絡(luò)安全，并掌握網(wǎng)絡(luò)上的動態(tài)：專門的防火墻檢查進出流量，入侵檢測系統(tǒng)和 SIEM。隨著其組織遷移到云并重新思考遠程工作的未來，Acme 安全團隊在尋找可持續(xù)的解決方案，以便提高安全性，甚至超越其傳統(tǒng)城堡加護城河”架構(gòu)中的可能性。

在前面，我們已經(jīng)介紹了 Acme 如何配置 Magic WAN 來從辦公室、數(shù)據(jù)中心、云資產(chǎn)和設(shè)備向 Cloudflare 的網(wǎng)絡(luò)發(fā)快遞流量。一旦這些流量通過 Cloudflare，就能輕松地添加訪問控制和過濾功能，以便增強或替代本地安全硬件，這一切都可以通過單一控制面板交付和管理。

通過 Magic Firewall，客戶獲得在邊緣運行的單一防火墻即服務(wù)，替代在分支機構(gòu)或數(shù)據(jù)中心安裝的笨重硬件。Magic Firewall 不但允許他們輕松管理配置，也能簡化合規(guī)審計。

要控制訪問，客戶可部署策略，確定具體哪些流量可前往何處。例如，Acme 希望流量通過端口 80 和 443 從互聯(lián)網(wǎng)流向數(shù)據(jù)中心內(nèi)的 web 服務(wù)器，但希望鎖定 SSH 訪問僅限于分支機構(gòu)內(nèi)的特定私有網(wǎng)絡(luò)。

如果 Acme 希望進一步鎖定網(wǎng)絡(luò)，他們可采用一種零信任訪問模型，使用 Access and Gateway 來在通過 Cloudflare 的全部流量中控制誰能及如何訪問什么內(nèi)容。隨著 Cloudflare 推出新的過濾和控制功能，例如我們即將發(fā)布的 IDS/IPS 和 DLP 解決方案，只需點擊幾下鼠標，Acme 就能啟用它們并進一步增強安全性。

Acme 的長期目標是將全部安全和性能功能轉(zhuǎn)移到云，作為服務(wù)使用。Magic WAN 為這一遷移鋪平了道路，允許他們在淘汰傳統(tǒng)硬件的同時逐步深化其安全態(tài)勢。

數(shù)字化轉(zhuǎn)型向傳統(tǒng)網(wǎng)絡(luò)架構(gòu)發(fā)起了挑戰(zhàn)，導(dǎo)致笨拙的“螺栓固定式”安全實踐全然不適用于當今的全球企業(yè)。隨著越來越多智能移向邊緣，企業(yè)必須利用現(xiàn)代 WAN 技術(shù)來提供廣泛的、以云交付的內(nèi)置安全服務(wù)。如今，企業(yè)真正需要的是具有強大安全性的快速邊緣全局連接。

— Christopher Rodriguez，IDC Research 網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理

Cloudflare 網(wǎng)絡(luò)成為貴組織網(wǎng)絡(luò)的擴展

和我們的許多產(chǎn)品一樣，Cloudflare One 最初是針對我們在擴大和保護自身網(wǎng)絡(luò)時所遭遇問題的一套解決方案。Magic WAN 和 Magic Firewall 讓我們能夠?qū)⑦^去 10 年謹慎架構(gòu)決策的益處帶給客戶：

全球規(guī)模，接近用戶： 不管您的辦公室、數(shù)據(jù)中心和用戶在哪里，我們都近在咫尺。通過我們的 CDN 服務(wù)，我們努力建立了到最終用戶的良好連接性，對于居家工作并需要與貴公司網(wǎng)絡(luò)建立良好連接的員工而言，這也帶來了好處。這也意味著，我們能在接近來源的邊緣阻止威脅，而不用承擔惡意流量令容量有限的本地設(shè)備不堪重負的風險。

與硬件和運營商無關(guān)：使用您現(xiàn)有的任何硬件與我們連接，從我們的多樣化運營商連接性所提供的韌性中獲益。

從頭構(gòu)建，協(xié)同工作：我們的產(chǎn)品是在軟件中從零開發(fā)的，以便能輕松集成。在我們的產(chǎn)品構(gòu)建和發(fā)展過程中，我們不斷思考它們能如何集成來互相促進。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。