Wir freuen uns, heute Cloudflare Magic Transit ankündigen zu können. Magic Transit bietet eine sichere, leistungsstarke und zuverlässige IP-Verbindung zum Internet. Es ist vorkonfiguriert und wird vor Ihrem lokalen Netzwerk bereitgestellt, um vor DDoS-Angriffen zu schützen und die Bereitstellung einer vollständigen Suite virtueller Netzwerkfunktionen zu ermöglichen, einschließlich erweiterter Paketfilterung, Lastverteilung und Tools zur Verwaltung des Datenverkehrs.
Magic Transit basiert auf den Standards und Stammfunktionen der Vernetzung, die Sie kennen, wird aber als Service aus dem globalen Edge-Netzwerk von Cloudflare bereitgestellt. Der Datenverkehr wird vom Cloudflare-Netzwerk mit Anycast und BGP aufgenommen, wobei der IP-Adressbereich Ihres Unternehmens angekündigt und Ihre Netzwerkpräsenz weltweit erweitert wird. Heute umfasst unser Anycast-Edge-Netzwerk 193 Städte in mehr als 90 Ländern auf der ganzen Welt.
Sobald Pakete in unserem Netzwerk ankommen, wird der Datenverkehr auf Angriffe überprüft, gefiltert, gelenkt, beschleunigt und an den Ursprung weitergeleitet. Magic Transit stellt über Generic-Routing-Encapsulation-Tunnel (GRE-Tunnel), Private Network Interconnects (PNI) oder andere Formen des Peerings eine Verbindung zu Ihrer Ursprungsinfrastruktur her.
Unternehmen sind häufig gezwungen, bei der Bereitstellung von IP-Netzwerkdiensten zwischen Leistung und Sicherheit zu wählen. Magic Transit wurde von Grund auf so konzipiert, dass diese Kompromisse minimiert werden: Leistung und Sicherheit sind gemeinsam besser. Magic Transit stellt IP-Sicherheitsdienste in unserem gesamten globalen Netzwerk bereit. Dies bedeutet, dass der Datenverkehr nicht mehr zu einer kleinen Anzahl entfernter „Waschzentren“ umgeleitet wird oder Sie sich auf lokale Hardware verlassen müssen, um Angriffe auf Ihre Infrastruktur abzuwehren.
Wir haben die Grundlagen für Magic Transit schon seit 2010 gelegt, also seit der Gründung von Cloudflare. Das Skalieren und Sichern des IP-Netzwerks, auf dem Cloudflare aufgebaut ist, basiert auf Werkzeugen, deren Erwerb unmöglich oder exorbitant teuer gewesen wäre. Also haben wir die Werkzeuge selbst entwickelt! Wir sind im Zeitalter des softwaredefinierten Netzwerkens und der Virtualisierung der Netzwerkfunktionen aufgewachsen, und die Prinzipien hinter diesen modernen Konzepten prägen alles, was wir tun.
Wenn wir mit Kunden sprechen, die lokale Netzwerke verwalten, hören wir gewisse Dinge immer wieder: Der Aufbau und die Verwaltung ihrer Netzwerke sind teuer und mühsam und diese lokalen Netzwerke werden auf absehbare Zeit bestehen bleiben.
Üblicherweise gehen CIOs, die versuchen, ihre IP-Netzwerke mit dem Internet zu verbinden, in zwei Schritten vor:
Herstellung der Verbindung zum Internet über Transitanbieter (ISPs).
Kaufen, Betreiben und Verwalten von spezifischer Hardware für Netzwerkfunktionen. Wie beispielsweise Hardware für Lastverteilung, Firewalls, DDoS-Abwehrtechnik, WAN-Optimierung und vieles mehr.
Die Wartung jedes dieser Posten kostet Zeit und Geld, ganz zu schweigen von den qualifizierten, teuren Arbeitskräften, die benötigt werden, um sie richtig zu betreiben. Jedes zusätzliche Glied in der Kette erschwert die Verwaltung des Netzwerks.
Das alles kam uns bekannt vor. Wir hatten ein Aha-Erlebnis: Wir hatten die gleichen Probleme bei der Verwaltung unserer Rechenzentrumsnetzwerke, die alle unsere Produkte betreiben. Und wir hatten viel Zeit und Mühe darauf verwendet, Lösungen für diese Probleme zu finden. Jetzt, neun Jahre später, stand uns ein robuster Satz Werkzeuge zur Verfügung, die wir in Produkte für unsere eigenen Kunden umwandeln konnten.
Magic Transit zielt darauf ab, das traditionelle Hardwaremodell des Rechenzentrums in die Cloud zu überführen und den Transit mit der gesamten Netzwerk-„Hardware“ auszustatten, die Sie benötigen, um Ihr Netzwerk schnell, zuverlässig und sicher zu betreiben. Nach der Inbetriebnahme ermöglicht Magic Transit die nahtlose Bereitstellung virtualisierter Netzwerkfunktionen einschließlich Dienste für Routing, DDoS-Abwehr, Firewalling, Lastverteilung und Trafficbeschleunigung.
Magic Transit ist der Zugang Ihres Netzwerks zum Internet
Magic Transit stellt seine Konnektivitäts-, Sicherheits- und Leistungsvorteile zur Verfügung, indem es als „Haustür“ zu Ihrem IP-Netzwerk dient. Das bedeutet, dass es IP-Pakete akzeptiert, die für Ihr Netzwerk bestimmt sind, sie verarbeitet und dann an Ihre Ursprungsinfrastruktur weitergibt.
Die Verbindung zum Internet über Cloudflare bietet zahlreiche Vorteile. Das Grundlegendste davon ist, dass es sich bei Cloudflare um eines der am breitesten vernetzten Netzwerke im Internet handelt. Wir arbeiten mit Betreibern, Internet-Knoten und Peering-Partnern auf der ganzen Welt zusammen, um sicherzustellen, dass jedes Bit, das in unser Netzwerk gebracht wird, unabhängig von seinem Zielort schnell und zuverlässig an diesen gelangt.
Eine Beispielanwendung: Acme Corp
Lassen Sie uns durchgehen, wie ein Kunde Magic Transit einsetzen könnte. Der Kunde Acme Corp. besitzt das IP-Präfix 203.0.113.0/24, das als Adresse eines Stapels Hardware dient, die er in seinem eigenen physischen Rechenzentrum betreibt. Acme meldet derzeit Routen ins Internet von der Ausrüstung am Kundenstandort (CPE, d.h. ein Router am Perimeter ihres Rechenzentrums) an und teilt der Welt mit, dass 203.0.113.0/24 über ihre autonome Systemnummer AS64512 erreichbar ist. Acme verfügt über DDoS-Abwehr- und Firewall-Hardwaregeräte vor Ort.
Acme will eine Verbindung zum Cloudflare Netzwerk herstellen, um die Sicherheit und Leistung des eigenen Netzwerks zu verbessern. Insbesondere war Acme bereits Ziel von Distributed-Denial-of-Service-Angriffen und möchte nachts gut schlafen, ohne sich auf lokale Hardware zu verlassen. Hier kommt Cloudflare ins Spiel.
Die Bereitstellung von Magic Transit vor Acmes Netzwerk ist einfach:
Cloudflare verwendet das Border Gateway Protocol (BGP), um mit der Erlaubnis Acmes Acmes Präfix 203.0.113.0/24 von der Edge von Cloudflare aus anzukündigen.
Cloudflare beginnt mit der Annahme von Paketen, die für das Acme-IP-Präfix bestimmt sind.
Magic Transit wendet DDoS-Abwehr- und Firewall-Regeln auf den Netzwerkverkehr an. Nachdem er vom Cloudflare-Netzwerk aufgenommen wurde, kann der Datenverkehr, der vom HTTPS-Caching und der WAF-Inspektion profitieren würde, auf unsere Layer-7-HTTPS-Pipeline „hochgestuft“ werden, ohne zusätzliche Netzwerk-Etappen zu verursachen.
Acme will, dass Cloudflare Generic Routing Encapsulation (GRE) nutzt, um den Datenverkehr vom Cloudflare-Netzwerk zurück zum Rechenzentrum von Acme zu tunneln. GRE-Tunnel werden von Anycast-Endpunkten zurück zum Standort von Acme initiiert. Durch die Magie von Anycast sind die Tunnel ständig und gleichzeitig mit Hunderten von Netzwerkstandorten verbunden. So wird sichergestellt, dass die Tunnel stets verfügbar und widerstandsfähig gegen Netzwerkausfälle sind, die traditionell erstellte GRE-Tunnel zum Absturz bringen würden.
Cloudflare schickt Pakete, die für Acme gedacht sind, durch diese GRE-Tunnel.
Lassen Sie uns einen genaueren Blick darauf werfen, wie die DDoS-Abwehr in Magic Transit funktioniert.
Magic Transit schützt Netzwerke vor DDoS-Angriffen
Kunden, die Cloudflare Magic Transit einsetzen, erhalten sofort Zugriff auf dasselbe DDoS-Schutzsystem auf IP-Ebene, das in den letzten 9 Jahren auch das Cloudflare-Netzwerk geschützt hat. Es ist dasselbe Abwehrsystem, das einen 942-Gbit/s-Angriff in Sekundenschnelle gestoppt hat. Es ist dasselbe Abwehrsystem, das wusste, wie Memcached-Amplification-Angriffe gestoppt werden können, und zwar schon Tage bevor ein 1,3-Tbit/S-Angriff für den Ausfall von GitHub – das nicht von Cloudflare geschützt wurde – sorgte. Es ist dieselbe Abwehr, der wir jeden Tag vertrauen, um Cloudflare zu schützen, und jetzt schützt sie auch Ihr Netzwerk.
Cloudflare hat Layer 7 HTTP- und HTTPS-Anwendungen historisch vor Angriffen auf allen Schichten des OSI-Layer-Modells geschützt. Der DDoS-Schutz, den unsere Kunden kennen und lieben, beruht auf einer Kombination von Techniken und kann in einige komplementäre Abwehrmaßnahmen unterteilt werden:
Anycast und eine Netzwerkpräsenz in 193 Städten auf der ganzen Welt ermöglichen es unserem Netzwerk, in die Nähe von Benutzern und Angreifern zu gelangen, sodass wir den Datenverkehr in der Nähe der Quelle aufnehmen können, ohne eine signifikante Latenz zu erzeugen.
Unsere Netzwerkkapazität von 30+ Tbit/S ermöglicht es uns_, sehr viel_ Datenverkehr in der Nähe der Quelle aufzunehmen. Das Cloudflare-Netzwerk verfügt über eine größere Kapazität, um DDoS-Angriffe zu stoppen, als Akamai Prolexic, Imperva, Neustar und Radware zusammen.
Unser HTTPS-Reverse-Proxy absorbiert Angriffe auf L3 (IP-Schicht) und L4 (TCP-Schicht), indem er Verbindungen trennt und sie in Richtung Ursprung wieder herstellt. Das verhindert, dass die verdächtigsten Paketübertragungen jemals in die Nähe des Ursprungsservers eines Kunden gelangen.
Layer-7-Abwehr und Rate Limiting stoppen Angriffswellen auf der HTTPS-Anwendungsschicht.
Wenn Sie sich die obige Beschreibung genau ansehen, fällt Ihnen vielleicht Folgendes auf: Unsere Reverse-Proxy-Server schützen unsere Kunden durch das Trennen von Verbindungen, aber unser Netzwerk und unsere Server werden weiterhin von den L3- und L4-Angriffen getroffen, die wir für unsere Kunden stoppen. Wie schützen wir unsere eigene Infrastruktur vor diesen Angriffen?
Gatebot ist eine Software-Suite, die auf jedem unserer Server in jedem unserer Rechenzentren in 193 Städten ausgeführt wird und den Datenverkehr der Angriffe ständig analysiert und blockiert. Ein Teil der Schönheit von Gatebot besteht in dessen einfacher Architektur. Es verharrt ruhig in Wartestellung und erfasst Musterpakete, wenn sie von der Netzwerkkarte in den Kernel und weiter in den Userspace gelangen. Gatebot hat keine Lern- oder Aufwärmphase. Sobald es einen Angriff erkennt, weist es den Kernel des Computers, auf dem es ausgeführt wird, an, das Paket zu löschen, seine Entscheidung zu protokollieren und fortzufahren.
Wenn Sie Ihr Netzwerk vor einem DDoS-Angriff schützen wollen, haben Sie bislang möglicherweise eine spezielle Hardware erworben, die am Perimeter Ihres Netzwerks eingesetzt wird. Diese Hardware (nennen wir sie die „Die DDoS-Abwehrbox“) war sehr teuer, ist hübsch anzusehen (so hübsch, wie eine 2U-Hardware nur sein kann) und erfordert viel wiederkehrenden Aufwand und Geld, damit sie funktioniert, ihre Lizenz auf dem neuesten Stand bleibt und ihr Angriffserkennungssystem genau und aktuell gehalten wird.
Zum einen müsste sie sorgfältig überwacht werden, um sicherzustellen, dass zwar Angriffe gestoppt werden, nicht aber der legitime Datenverkehr. Zum anderen hätten Sie Pech gehabt, wenn es einem Angreifer gelänge, genügend Datenverkehr zu generieren, um die Transitverbindungen Ihres Rechenzentrums mit dem Internet zu sättigen. Keine Hardware in Ihrem Rechenzentrum kann Sie vor einem Angriff schützen, der genügend Datenverkehr erzeugt, um die Verbindungen von der Außenwelt zum Rechenzentrum selbst zu verstopfen.
Zunächst erwog Cloudflare den Kauf einer bzw. mehrerer solcher „ DDoS-Abwehrboxen“, um unsere verschiedenen Netzwerkstandorte zu schützen, entschied sich aber schnell dagegen. Der Kauf von Hardware hätte erhebliche Kosten und Komplexität verursacht. Darüber hinaus macht das Kaufen, Installieren und Verwalten von spezialisierten Hardwareteilen ein Netzwerk schwer skalierbar. Es musste einen besseren Weg geben. Wir wollten dieses Problem ausgehend von den Grundprinzipien und mithilfe moderner Technologie selbst lösen.
Damit unser moderner Ansatz zur DDoS-Abwehr funktioniert, mussten wir eine Reihe von Tools und Techniken entwickeln, um höchst leistungsstarke Netzwerke auf generischen x86-Servern unter Linux zum Laufen zu bringen.
Das Herzstück unserer Netzwerkdatenebene bilden der eXpress Data Path (XDP) und der erweiterte Berkeley Packet Filter (eBPF) sowie eine Reihe von APIs, mit denen wir höchst leistungsstarke Netzwerkanwendungen im Linux-Kernel erstellen können. Meine Kollegen haben ausführlich darüber geschrieben, wie wir XDP und eBPF einsetzen, um DDoS-Angriffe zu stoppen:
XDP-basierte DoS-Abwehr (Präsentation)
XDP in der Praxis: Integration von XDP in unsere DDoS-Abwehr-Pipeline(PDF)
Schließlich hatten wir ein DDoS-Abwehrsystem entwickelt, das:
Von unserem gesamten Netzwerk bereitgestellt wird und sich über 193 Städte auf der ganzen Welt erstreckt. Anders formuliert: Unser Netzwerk funktioniert nicht gemäß dem Konzept der „Waschzentren“, sondern jeder einzelne unserer Netzwerkstandorte wehrt die ganze Zeit über kontinuierlich Angriffe ab. Das bedeutet eine schnellere Abwehr von Angriffen und minimale Latenz für Ihre Benutzer.
Außergewöhnlich schnell reagiert und die meisten Angriffe in 10 Sekunden oder weniger abwehrt.
In unserem Hause erstellt wurde, was uns nicht nur einen tiefen Einblick in seine Eigenschaften gibt, sondern auch die Fähigkeit, schnell neue Abwehrmaßnahmen zu entwickeln, wenn wir neue Angriffstypen sehen.
Als Dienst bereitgestellt wird und horizontal skalierbar ist. Das Hinzufügen von neuer x86-Hardware, auf der unser DDoS-Software-Stack ausgeführt wird, in einem Rechenzentrum (oder das Hinzufügen eines weiteren Netzwerkstandorts), bringt sofort mehr DDoS-Abwehrkapazität online.
Gatebot wurde entwickelt, um die Cloudflare-Infrastruktur vor Angriffen zu schützen. Und heute können sich Kunden, die ihre eigenen IP-Netzwerke und Infrastrukturen betreiben, als Teil von Magic Transit für den Schutz ihres Netzwerks auf Gatebot verlassen.
Magic Transit stellt Ihre Netzwerkhardware in die Cloud
Wir haben erläutert, wie Cloudflare Magic Transit Ihr Netzwerk mit dem Internet verbindet und wie es Sie vor DDoS-Angriffen schützt. Wenn Sie Ihr Netzwerk auf die altmodische Art und Weise betrieben haben, müssen Sie ab diesem Punkt keine Firewall-Hardware mehr kaufen, und auch keine weitere Hardware zur Lastverteilung.
Mit Magic Transit ist diese Hardware überflüssig. Wir haben eine lange Erfolgsbilanz bei der Bereitstellung gemeinsamer Netzwerkfunktionen (Firewalls, Load Balancer usw.) als Dienste. Bis jetzt haben sich Kunden, die unsere Dienste nutzen, auf DNS verlassen, um den Datenverkehr zu unserer Edge zu leiten, danach übernehmen unsere Layer 3- (IP), Layer 4- (TCP und UDP) und Layer 7-Stapel (HTTP, HTTPS und DNS) und bieten unseren Kunden Leistung und Sicherheit.
Magic Transit ist für die Abwicklung Ihres gesamten Netzwerks konzipiert, erzwingt jedoch keinen einheitlichen Ansatz bezüglich dessen, welche Dienste für welchen Teil Ihres Datenverkehrs angewendet werden. Um Acme, unseren Beispielkunden von oben, noch einmal zu besuchen: Dort wurde 203.0.113.0/24 in das Cloudflare-Netzwerk gebracht. Das entspricht 256 IPv4-Adressen, von denen einige (z. B. 203.0.113.8/30) möglicherweise vor Load Balancer und HTTP-Servern stehen, andere vor Mail-Servern und sonstigen benutzerdefinierten, UDP-basierten Anwendungen.
Jeder dieser Teilbereiche kann unterschiedliche Anforderungen an die Sicherheit und die Verwaltung des Datenverkehrs stellen. Magic Transit ermöglicht es Ihnen, bestimmte IP-Adressen mit einer eigenen Service-Suite zu konfigurieren oder die gleiche Konfiguration auf große Teile (oder alle) Ihres Blocks anzuwenden.
Im obigen Beispiel möchte Acme, dass für den Block 203.0.113.8/30, der HTTP-Dienste enthält, vor denen ein herkömmlicher Hardware-Load-Balancer steht, stattdessen der Cloudflare Load Balancer bereitgestellt wird, außerdem der HTTP-Datenverkehr mit Cloudflares WAF analysiert wird und Inhalte von unserem CDN zwischengespeichert werden. Mit Magic Transit ist die Nutzung dieser Netzwerkfunktionen ganz einfach – mit wenigen Klicks in unserem Dashboard oder API-Aufrufen wird Ihr Datenverkehr auf einer höheren Schicht der Netzwerkabstraktion verarbeitet, mit all den Vorteilen, die Lastverteilung, Firewall und Caching-Logik auf Anwendungsebene bieten.
Dies ist nur ein Beispiel für eine Anwendung durch einen Kunden. Wir haben mit mehreren Kunden zusammengearbeitet, die nur eine reine IP-Durchleitung und die DDoS-Abwehr für bestimmte IP-Adressen wollten. Wollen Sie das? Aber gerne!
Magic Transit läuft im gesamten globalen Netzwerk von Cloudflare. Oder: nie wieder waschen!
Wenn Sie Ihr Netzwerk mit Cloudflare Magic Transit verbinden, erhalten Sie Zugriff auf das gesamte Cloudflare-Netzwerk. Das bedeutet, dass alle unsere Netzwerkstandorte zu Ihren Netzwerkstandorten werden. Unsere Netzwerkkapazität wird zu Ihrer Netzwerkkapazität und steht Ihnen zur Verfügung, um Ihre Erlebnisse zu unterstützen, Ihre Inhalte bereitzustellen und Angriffe auf Ihre Infrastruktur abzuwehren.
Wie umfangreich ist das Cloudflare-Netzwerk? Wir sind weltweit in 193 Städten vertreten, auf die eine Netzwerkkapazität von mehr als 30 Tbit/S verteilt ist. Cloudflare erreicht innerhalb von 100 Millisekunden 98 % der mit dem Internet verbundenen Bevölkerung in den Industrieländern und 93 % der mit dem Internet verbundenen Bevölkerung weltweit (zur Veranschaulichung: ein Augenzwinkern dauert 300–400 Millisekunden).
Die Gebiete auf der Welt, die innerhalb von 100 Millisekunden von einem Cloudflare-Rechenzentrum erreicht werden.
So wie wir unsere eigenen Produkte im eigenen Haus entwickelt haben, haben wir auch unser Netzwerk im eigenen Haus aufgebaut. Jedes Produkt läuft in jedem Rechenzentrum, d. h. unser gesamtes Netzwerk stellt alle unsere Dienste bereit. Das wäre vielleicht nicht der Fall, wenn wir unser Produktportfolio stückweise durch Akquisition zusammengestellt oder nicht diese umfassende Vision gehabt hätten, als wir begannen, unsere aktuelle Palette von Diensten aufzubauen.
Das Endergebnis für die Kunden von Magic Transit: eine Netzwerkpräsenz rund um den Globus, sobald Sie an Bord kommen. Voller Zugang zu einer Vielzahl von Diensten weltweit. Alle mit Blick auf Latenz und Leistung bereitgestellt.
In den kommenden Wochen und Monaten werden wir noch viel mehr technische Details darüber mitteilen, wie wir Magic Transit bereitstellen.
Magic Transit senkt die Gesamtbetriebskosten
Herkömmliche Netzwerkdienste sind nicht billig. Sie erfordern hohe Kapitalaufwendungen im Voraus, Investitionen in Personal und laufende Wartungsverträge, um funktionsfähig zu bleiben. Ebenso wie unser Produkt technisch revolutionär sein soll, wollen wir auch die traditionellen Kostenstrukturen für Netzwerke zerstören.
Magic Transit wird als Service bereitgestellt und abgerechnet. Sie zahlen für das, was Sie nutzen, und können jederzeit Dienste hinzufügen. Ihr Team wird Ihnen für die einfache Verwaltung danken; Ihr Management für die einfache Buchhaltung. In unseren Ohren klingt das ziemlich gut!
Magic Transit ist jetzt verfügbar
Wir haben in den letzten neun Jahren hart daran gearbeitet, unsere Netzwerk, die Verwaltungstools und die Netzwerkfunktionen als Service so weit zu bringen, wie sie heute sind. Wir freuen uns, die Tools, die wir jeden Tag verwenden, in die Hände unserer Kunden zu legen.
Das bringt uns zur Namensgebung. Als wir es Kunden vorführten, war das am häufigsten zu hörende Wort „Wow“. Als wir nachfragten, was sie damit meinten, sagten fast alle: „Das ist so viel besser als jede Lösung, die wir bisher gesehen haben. Es ist wie Zauberei!“ Also schien es naheliegend, wenn auch ein bisschen kitschig, dass wir dieses Produkt danach benennen, was es ist: Magic Transit.
Wir denken, dass das alles ziemlich magisch ist, und wir sind überzeugt, dass es Ihnen auch so gehen wird. Nehmen Sie heute noch Kontakt mit unserem Enterprise Sales-Team auf: