Subscribe to receive notifications of new posts:

适用于专用网络的 Cloudflare 应用程序服务:使用钟爱的工具做更多的事情

01/13/2023

8 min read
Cloudflare Application Services for private networks: do more with the tools you already love

十多年来,Cloudflare 的应用服务一直在努力使面向互联网的网站和应用保持安全、快速和可靠。Cloudflare One 为您的整个企业网络提供类似的安全、性能和可靠性优势。今天,我们隆重推出新的集成,使得以新的方式一起使用这些服务成为可能。这些集成为 IT 团队解锁了运营和成本效率,允许他们用更少的工具做更多的事情,并实现了新的用例,如果没有 Cloudflare 的“服务无处不在”架构,这些用例是不可能实现的。

“正如 Canva 简化了平面设计,Cloudflare 也简化了性能与安全性。有了 Cloudflare,我们知道自己的平台是快速、可靠和安全的,因而能专注于产品开发,满怀信心地拓展新市场。” - Jim Tyrrell,基础设施主管,Canva

服务无处不在,现适用于每一个网络

Cloudflare 的基本架构原则之一始终是将我们的网络视为一台同质超级计算机。我们并非在特定地点部署服务,例如,使用我们的部分数据中心来实施 WAF 策略,部分用于 Zero Trust 控制,部分用于流量优化,而是每一台服务器都运行着我们几乎完全相同的全部软件服务堆栈。通过这种方式,数据包到达任何服务器后,都可以单次通过一整套安全过滤器,无需因辗转多个地点而造成性能下降。

在每台服务器上运行的软件都是基于 Linux 的,利用了 Linux 内核核心概念的优势,以便在服务之间创建“连接”。这篇有关我们的 DDoS 缓解服务堆栈的深度剖析解释了一个示例,说明我们如何使用这些工具,在不牺牲性能的情况下路由数据包通过多层保护。这种方法还使我们能够轻松地为数据包和请求添加新的路径,从而实现更深层次的集成,并为从任何来源路由到 Cloudflare 网络或到任何目的地的流量提供新的可能性。让我们详细介绍一下我们正在为私有网络开发的一些新用例。

适用于任何有出站流量应用的 Web 应用程序防火墙

今天,数以百万计的客户信任 Cloudflare 的 WAF 来保护他们暴露在公共互联网上的应用程序——无论是完全公开的应用程序还是通过 Cloudflare Tunnel 连接并带有公共主机名的应用。我们越来越多地听到,出于各种原因,客户非常希望能将我们的 WAF 控制置于任何带有出站或入站流量的应用前。

一些客户希望这样做的目的是执行更强的 Zero Trust 原则:过滤所有流量,甚至是来自“可信”私有网络的请求,就像来自开放的互联网一样。其他客户希望通过网络层入口,例如 GRE 或 IPsec 隧道,或 CNI 将整个数据中心或云资产连接起来。还有一些客户希望在他们的私有应用程序中采用 Cloudflare WAF,而不指定公共主机名。

通过将 Cloudflare WAF与 Cloudflare One 数据平面完全集成,我们很就能够解决所有这些用例:客户能够在 Cloudflare 上构建专用网络,从而为完全私有的流量流创建路径上的 WAF 策略。

适用于内部 API 的 API 安全

在 Web 应用程序之后,我们的客户接下来要解决的下一个攻击面之一是他们的公共 API。Cloudflare 提供的服务可保护公共 API 免受 DDoS、滥用、敏感数据丢失和其他许多攻击手段的影响。但是安全问题并不仅限于公共 API:随着工程组织继续拥抱分布式架构、多云和微分段,CIO 们和提供内部服务的团队也有意保护他们的私有 API。

利用 Cloudflare One,客户可以通过我们的全球网络连接和路由他们的整个专有网络,使私有 API 流量能够经过我们之前为公共 API 提供的同一个安全控制堆栈传输。网络和安全团队将能够将 Zero Trust 原则应用于他们的私有 API 流量,以帮助改善自身的整体安全态势。

适用于私有应用的全球和本地流量管理

到目前为止,我们重点关注的安全控制适用于客户过滤到其应用程序和 API 的恶意流量。但 Cloudflare 的服务并不止步于安全:我们还致力于使连接到互联网的任何资产更快、更可靠。实现这一点的关键工具之一是我们的负载平衡服务套件, 其中包括针对 Cloudflare 反向代理背后任何源服务器的应用层控制,以及针对任何 IP 流量的网络层控制

客户要求以更灵活的新方式来使用我们的流量管理工具:能够为连接到任何出口的流量创建应用层负载平衡策略,例如用于应用程序的 Cloudflare Tunnel,用于 IP 网络的 GRE 或 IPsec 隧道或者 CNI。他们还对将负载平衡策略扩展到本地网络的潜力感到兴奋,除了跨多个“全球”位置之外,还可以跨数据中心或云资产内的服务器管理流量。这些能力将增强任何应用程序的韧性,既对私有应用程序实施更细粒度的控制,也管理任何应用程序的本地流量。这些功能即将推出,敬请关注。

针对私有应用程序的全栈性能优化

Cloudflare 一直高度重视每个请求通过我们网络路由的速度。我们不断开发新的方法,在更接近用户的地方交付内容,自动优化任何类型的流量,并通过最优路径路由数据包,避免互联网上的拥塞和其他问题。Argo Smart Routing 通过应用层优化加速任何反向代理流量,并在网络层使用智能决策加速 IP 数据包,这是利用Cloudflare 广泛的互连性和全球私有骨干网,确保流量尽可能快速、高效地交付。

随着我们更深入地集成 Cloudflare 的私有网络数据平面和我们的应用程序服务,以实现上述安全性和可靠性的好处,对于连接到 Cloudflare 的任何流量,客户将自动能够在 OSI 堆栈的每一层看到 Argo Smart Routing 的好处。

私有 DNS 实现内部网络资源的一站式管理

Cloudflare 业界领先的权威 DNS 保护着数百万个公共互联网域名。任何人都可以在公共互联网查询这些信息,这对大多数组织来说都很好,但有些组织希望能够限制这种访问。使用我们的私有 DNS,客户只有在连接到他们在 Cloudflare 内部定义的 Zero Trust 私有网络时,才能解析对私有域的查询。我们正在使用我们强大的权威 DNS 和 Gateway 过滤服务来构建这个功能,您可以期待 Cloudflare 已经实现的所有其他好处也应用于私有 DNS:支持所有常见的 DNS 记录类型,能够解析到具有重叠 IP 的虚拟网络的 DNS 查询,以及 Gateway DNS 过滤提供的所有其他 Zero Trust 过滤控制。将外部和内部 DNS 的管理整合在一起,提供最快的响应时间、无与伦比的冗余和内置的高级安全性,将极大地简化客户的基础设施,节省时间和运营开销。

新用例与日俱增

欢迎告诉我们您正在使用 Cloudflare 让任何用户、应用程序或网络更快、更安全、更可靠的新方法。申请加入今日宣布的全新集成测试。如果您对想要使用 Cloudflare 解决的新问题有更多想法,请在评论中联系我们。

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
CIO Week (CN)Cloudflare One (CN)Magic WAN (CN)NaaS (CN)简体中文

Follow on X

Annika Garbers|@annikagarbers
Cloudflare|@cloudflare

Related posts