Mit Cloudflare One können Kunden ihre Unternehmensnetzwerke auf einem schnelleren und sichereren Internet aufbauen. Hierzu verbinden sie beliebige Quellen oder Ziele und konfigurieren Routing-, Sicherheits- und Performance-Richtlinien von einem zentralen Verwaltungsbereich aus. Heute freuen wir uns, ein weiteres Puzzlestück ankündigen zu können, das Unternehmen auf ihrem Weg von der traditionellen Netzwerkarchitektur zu Zero Trust unterstützt: die Möglichkeit, den Datenverkehr von Benutzergeräten, auf denen unser schlanker Roaming-Agent (WARP) installiert ist, zu jedem Netzwerk zu leiten, das mit unseren Magic IP-Layer-Tunneln (Anycast GRE, IPsec, oder CNI) verbunden ist. Von dort aus können Benutzer im Laufe der Zeit auf Zero Trust upgraden und so einen einfachen Weg vom traditionellen Castle-and-Moat-Modell zur Architektur der nächsten Generation finden.

Die Zukunft der Unternehmensnetzwerke

Die Kunden, mit denen wir sprechen, beschreiben drei verschiedene Architekturphasen für ihre Unternehmensnetzwerke. Diese spiegeln die Verschiebungen wider, die wir bei Storage und Compute gesehen haben, allerdings mit einer Verzögerung von 10 bis 20 Jahren. Klassische Netzwerke („Generation 1“) existierten innerhalb der Mauern eines Rechenzentrums oder einer Zentrale. Die Geschäftsanwendungen wurden auf firmeneigenen Servern gehostet und der Zugriff erfolgte über ein privates LAN oder WAN mit Hilfe von Perimeter-basierten Sicherheits-Appliances. Anwendungen wurden in die Cloud verlagert, immer mehr Mitarbeiter arbeiten außerhalb des Büros: So wurden Technologien der „2. Generation“ wie SD-WAN und virtualisierte Appliances eingeführt, um den zunehmend fragmentierten und internetabhängigen Datenverkehr zu bewältigen. Zurück bleibt ein frustrierender Flickenteppich aus alten und neuen Technologien, Lücken in der Transparenz und Sicherheit und Kopfschmerzen für überlastete IT- und Netzwerkteams.

Wir sind felsenfest überzeugt, dass es eine bessere Zukunft gibt: die von Gartner als SASE beschriebene Architektur, bei der sich die Sicherheits- und Netzwerkfunktionen von physischen oder virtuellen Appliances auf echte Cloud-native Dienste verlagern. Diese Dienste werden nur Millisekunden von den Benutzern und Anwendungen entfernt bereitgestellt, unabhängig davon, wo auf der Welt sie sich befinden. Dieses neue Paradigma bedeutet weitaus sicherere, leistungsfähigere und zuverlässigere Netzwerke, die den Nutzern ein besseres Erlebnis bieten und die Gesamtbetriebskosten senken. Die IT wird nicht mehr als Kostenstelle und Engpass für geschäftliche Veränderungen angesehen, sondern als Motor für Innovation und Effizienz.

Generation 1: Castle and Moat; Generation 2: Virtualized Functions; Generation 3: Zero Trust Network

1. Generation: Burg und Burggraben; 2. Generation: Virtualisierte Funktionen; 3. Generation: Zero Trust-Netzwerk

Doch transformativer Wandel geschieht nicht über Nacht. Für viele Unternehmen, insbesondere für diejenigen, die von einer alten Architektur auf eine neue umsteigen, wird es Monate oder Jahre dauern, bis die 3. Generation vollständig eingeführt ist. Die gute Nachricht ist: Cloudflare steht bereit, um Ihnen zu helfen und eine Brücke von Ihrer aktuellen Netzwerkarchitektur zu Zero Trust zu schlagen, ganz gleich, an welchem Punkt des Weges Sie sich befinden.

Welcher Weg hat uns hierher geführt?

Cloudflare One ist unsere kombinierte Zero Trust Network-as-a-Service-Plattform. Sie ermöglicht es Kunden, sich mit unserem globalen Netzwerk von jeder Traffic-Quelle oder jedem Ziel mit einer Vielzahl von „On-Ramps“ zu verbinden, je nach Ihren Bedürfnissen. Um einzelne Geräte zu verbinden, können Benutzer den WARP Client installieren. Dieser agiert als Forward-Proxy, um den Datenverkehr zum nächstgelegenen Cloudflare-Standort zu tunneln, unabhängig davon, wo sich die Benutzer auf der Welt befinden. Cloudflare Tunnel ermöglicht es Ihnen, eine sichere, nur ausgehende Verbindung zwischen Ihren Ursprungsservern und Cloudflare herzustellen, indem Sie einen schlanken Daemon installieren.

Letztes Jahr haben wir angekündigt, dass Sie den privaten Datenverkehr von WARP-registrierten Geräten an Anwendungen weiterleiten können, die mit Cloudflare Tunnel verbunden sind. Dadurch wird der private Netzwerkzugang für alle TCP- oder UDP-Anwendungen ermöglicht. Dies ist die Best-Practice-Architektur, die wir für den Zero Trust-Netzwerkzugang empfehlen. Wir haben jedoch auch von Kunden mit älteren Architekturen gehört, dass Sie sich Optionen wünschen, die einen schrittweisen Übergang ermöglichen.

Für Konnektivität auf Netzwerkebene (OSI Layer 3) bieten wir standardbasierte GRE- oder IPsec-Optionen à la Cloudflare: Diese Tunnel sind Anycast, d.h. ein Tunnel aus Ihrem Netzwerk verbindet sich automatisch mit dem gesamten Netzwerk von Cloudflare in mehr als 250 Städten. Dies sorgt für Redundanz und vereinfacht die Netzwerkverwaltung. Kunden haben auch die Möglichkeit, Cloudflare Network Interconnect zu nutzen, das eine direkte Verbindung zum Cloudflare-Netzwerk über eine physische oder virtuelle Verbindung an über 1.600 Standorten weltweit ermöglicht. Diese Layer 1 bis 3 On-Ramps ermöglichen es Ihnen, Ihre öffentlichen und privaten Netzwerke mit Cloudflare zu verbinden, und zwar mit vertrauten Technologien, die Ihren gesamten IP-Traffic automatisch schneller und ausfallsicherer machen.

Jetzt kann der Datenverkehr von WARP-registrierten Geräten automatisch zu jedem Netzwerk geleitet werden, das mit einer On-Ramp auf IP-Ebene verbunden ist. Diese zusätzliche „Installation“ für Cloudflare One erhöht die Flexibilität der Benutzer bei der Anbindung an die bestehende Netzwerkinfrastruktur. Dadurch können Unternehmen im Laufe der Zeit von der traditionellen VPN-Architektur zu Zero Trust mit Konnektivität auf Anwendungsebene übergehen.

Wie funktioniert's?

Benutzer können den WARP-Client auf jedem Gerät installieren, um den Datenverkehr an den nächstgelegenen Cloudflare-Standort zu routen. Wenn das Gerät in einem Cloudflare-Konto mit Zero Trust und aktiviertem privatem Routing registriert ist, wird sein Datenverkehr von dort aus an den dedizierten, isolierten Netzwerk-„Namespace“ des Kontos weitergeleitet. Dabei handelt es sich um eine logische Kopie des Linux-Netzwerkstacks, die speziell für einen einzelnen Kunden bestimmt ist. Dieser Namespace, der auf jedem Server in jedem Cloudflare-Rechenzentrum existiert, enthält die gesamte Routing- und Tunnelkonfiguration für das angeschlossene Netzwerk eines Kunden.

Sobald der Datenverkehr in einem Kunden-Namespace angekommen ist, wird er über die konfigurierten GRE-, IPsec- oder CNI-Tunnel an das Zielnetzwerk weitergeleitet. Kunden können die Routenpriorisierung konfigurieren, um den Datenverkehr über mehrere Tunnel auszugleichen und automatisch auf den gesündesten Datenverkehrspfad von jedem Cloudflare-Standort umzuschalten.

Auf dem Rückweg wird der Datenverkehr von den Kundennetzwerken zu Cloudflare ebenfalls über Anycast an den nächstgelegenen Cloudflare-Standort weitergeleitet. Dieser Standort unterscheidet sich jedoch von dem der WARP-Sitzung. Daher wird der Return-Traffic an den Server weitergeleitet, auf dem die WARP-Sitzung aktiv ist. Dazu nutzen wir einen neuen internen Dienst namens Hermes, der die gemeinsame Nutzung von Daten auf allen Servern in unserem Netzwerk ermöglicht. So wie unser Quicksilver-Dienst Schlüsselwertdaten aus unserer Kerninfrastruktur in unserem gesamten Netzwerk verteilt, ermöglicht Hermes es Servern, Daten zu schreiben, die von anderen Servern gelesen werden können. Wenn eine WARP-Sitzung aufgebaut wird, wird ihr Standort in Hermes geschrieben. Und wenn Return-Traffic empfangen wird, wird der Standort der WARP-Sitzung aus Hermes gelesen und der Traffic entsprechend getunnelt.

Was kommt als Nächstes?

Diese On-Ramp-Methode ist ab heute für alle Cloudflare One-Kunden verfügbar. Wenden Sie sich an Ihr Account-Team, um die Einrichtung vorzunehmen! Wir freuen uns darauf, weitere Funktionen hinzuzufügen, um unseren Kunden den Übergang zu Zero Trust noch einfacher zu machen. Dazu gehören das Schichten zusätzlicher Sicherheitsrichtlinien über den angeschlossenen Netzwerkverkehr und die Service-Erkennung, die Unternehmen dabei hilft, Anwendungen für die Migration zu Zero Trust-Konnektivität zu priorisieren.