Berlangganan untuk menerima pemberitahuan posting baru:

Magic WAN & Magic Firewall: konektivitas jaringan yang aman sebagai layanan

2021-03-22

8 menit dibaca
Postingan ini juga tersedia dalam bahasa English, 繁體中文, 日本語, 한국어, Español, ไทย, dan 简体中文.

Pada Oktober 2020 lalu, kami memperkenalkan Cloudflare One, visi kami untuk masa depan jaringan dan keamanan perusahaan. Sejak saat itu, kami mempertajam fokus untuk menghadirkan lebih banyak produk dari platform ini, dan saat ini kami sangat antusias mengumumkan dua dari aspek paling fundamentalnya: Magic WAN dan Magic Firewall. Magic WAN menyediakan konektivitas dan perutean yang aman dan berkinerja baik untuk keseluruhan jaringan perusahaan Anda yang dapat mengurangi biaya dan kompleksitas operasional. Magic Firewall terintegrasi mulus dengan Magic WAN yang memungkinkan Anda menerapkan kebijakan firewall jaringan di tepi jaringan, di seluruh lalu lintas dari semua entitas di dalam jaringan Anda.

Arsitektur jaringan tradisional tidak menyelesaikan masalah saat ini

Jaringan perusahaan secara historis telah menerapkan salah satu dari beberapa model, yang dirancang untuk memungkinkan aliran informasi yang aman antara kantor dan pusat data, dengan akses ke Internet yang dikunci dan dikelola di perimeter kantor. Saat aplikasi dipindahkan ke cloud dan karyawan pindah keluar kantor, desain ini berhenti bekerja, dan solusi sementara seperti perangkat VPN tidak menyelesaikan masalah utama pada arsitektur jaringan perusahaan.

Dari segi konektivitas, jaringan full mesh MPLS (multiprotocol label switching) harganya mahal dan memakan waktu untuk diterapkan, sulit dipelihara, secara eksponensial sulit untuk diskalakan, dan sering kali memiliki celah besar dalam visibilitas. Arsitektur lain mensyaratkan backhaul lalu lintas melalui lokasi pusat sebelum mengirimnya kembali ke sumbernya, yang menimbulkan kerugian latensi yang tak dapat diterima dan mengharuskan pembelian perangkat keras hub yang mahal untuk kapasitas maksimum dibandingkan pemanfaatan nyata dari perangkat itu. Dan kebanyakan pelanggan yang telah berdiskusi dengan kami sedang berjuang menghadapi hal terburuk dari kedua dunia itu: kombinasi dari beberapa arsitektur yang mustahil untuk dikelola yang disatukan seperlunya saja selama bertahun-tahun atau beberapa dekade. Arsitek keamanan juga berusaha keras menggunakan beberapa model ini - mereka harus menyulap setumpuk unit perangkat keras keamanan dari berbagai vendor dan menyeimbangkan biaya, kinerja, serta keamanan seiring pertumbuhan jaringan mereka.

Pindahkan perimeter jaringan Anda ke tepi jaringan dan amankan sebagai suatu layanan

Dengan Magic WAN, Anda dapat menghubungkan semua sumber lalu lintas - pusat data, kantor, perangkat, properti cloud - secara aman ke jaringan Cloudflare dan membuat konfigurasi kebijakan perutean untuk mengirim bit ke tempat tujuan yang semestinya, semuanya dalam satu solusi SaaS. Magic WAN mendukung berbagai metode akses termasuk terowongan Anycast GRE, Interkoneksi Jaringan Cloudflare, Argo Tunnel, WARP, dan berbagai Mitra Metode Akses Jaringan. Tidak ada lagi biaya MPLS atau waktu tunggu, tidak ada lagi kerugian kinerja dari trombon lalu lintas, dan tidak ada lagi mimpi buruk karena mengelola kekusutan solusi warisan: sebagai gantinya, gunakan jaringan Anycast global Cloudflare sebagai perpanjangan dari jaringan Anda, dan dapatkan kinerja dan visibilitas terpasang yang lebih baik.

Setelah lalu lintas Anda terhubung ke Cloudflare, bagaimana cara mengontrol entitas mana dalam jaringan Anda yang diizinkan untuk berinteraksi satu dengan yang lain, atau dengan Internet? Di sinilah Magic Firewall berperan. Magic Firewall memungkinkan Anda untuk mengelola kebijakan secara terpusat di seluruh jaringan Anda, semuanya di tepi jaringan sebagai suatu layanan. Magic Firewall memberikan pengontrolan yang akurat dalam hal data mana yang diizinkan masuk dan keluar dari jaringan Anda, atau di dalam jaringan Anda. Bahkan lebih dari itu, Anda mendapatkan visibilitas tentang bagaimana secara tepatnya lalu lintas mengalir melalui jaringan Anda dari satu dasbor tunggal.

Magic WAN menyediakan fondasi untuk berbagai paket fungsi yang termasuk dalam Cloudflare One, yang semuanya dibangun dalam perangkat lunak sepenuhnya dari awal untuk disesuaikan skalanya dan berintegrasi dengan mulus. Magic Firewall tersedia secara langsung pada Magic WAN, dan pelanggan dapat dengan mudah mengaktifkan fitur keamanan dan kinerja tambahan Zero Trust seperti Gateway Web Aman dengan isolasi browser jarak jauh, Sistem Deteksi Intrusi, Perutean Cerdas, dll.

“Tim jaringan kami sangat antusias dengan Magic WAN. Cloudflare telah membangun platform global jaringan sebagai layanan yang akan membantu tim jaringan mengelola lingkungan tepi jaringan dan multicloud yang kompleks menjadi jauh lebih efisien. Mengoperasikan WAN global tunggal dengan keamanan terpasang dan fungsionalitas perutean cepat — terlepas dari kantor pusat, pusat data, kantor cabang, atau lokasi pengguna akhir — telah membawa perubahan besar pada teknologi WAN.”— Sander Petersson, Kepala Infrastruktur, FlightRadar24

Seperti apakah ini secara nyata? Mari kita pelajari beberapa cara menggunakan Magic WAN dan Magic Firewall untuk memecahkan masalah dalam jaringan dan keamanan perusahaan dengan contoh pelanggan, Acme Corp.

Ganti MPLS antara kantor cabang & pusat data

Saat ini, Acme Corp memiliki kantor di seluruh dunia yang masing-masing terhubung ke pusat data regional dan saling terhubung satu sama lain dengan MPLS. Setiap pusat data, yang menjadi host aplikasi perusahaan dan setumpuk unit perangkat keras untuk menjaga perangkat tetap aman, juga memiliki konektivitas jalur sewa ke setidaknya satu pusat data lainnya. Acme juga memindahkan beberapa aplikasi ke cloud, dan perusahaan berencana untuk membuat koneksi langsung dari pusat data ke penyedia cloud demi mendorong keamanan dan keandalan.

Seiring pertumbuhan Acme, salah satu titik masalah yang konsisten dihadapi oleh tim jaringannya adalah mengelola dan memelihara konektivitas MPLS yang dimilikinya. Biayanya mahal, dan penerapannya membutuhkan waktu tunggu yang lama sehingga membatasi kecepatan Acme untuk berekspansi ke lokasi baru (terutama negara lain) atau mendukung kantor yang ditambahkan melalui akuisisi. Karyawan di kantor Acme yang terhubung ke penyedia cloud dan apps SaaS mengalami latensi yang membuat frustrasi karena lalu lintas berputar kembali melalui pusat data Acme untuk kebijakan keamanan yang diberlakukan melalui susunan unit perangkat keras sebelum dikirim ke lokasi tujuannya. Lalu lintas antarkantor, seperti telepon IP dan konferensi video, tidak ada kebijakan keamanan yang diterapkan sehingga menimbulkan celah dalam postur keamanan Acme.

Seperti upayanya melakukan transisi ke cloud untuk komputasi dan penyimpanan, Acme ingin bermigrasi dari tautan privat ini dan, sebagai gantinya, memanfaatkan Internet secara aman untuk konektivitas. Acme mempertimbangkan pembuatan terowongan VPN IPSec situs-ke-situs mesh penuh melalui Internet, tetapi kerumitannya membebani tim jaringan Acme seperti halnya penerapan router Acme yang heterogen. Magic WAN siap memenuhi kebutuhan Acme dalam situasinya saat ini, menyederhanakan pengelolaan jaringan, dan memberikan manfaat kinerja langsung, serta memungkinkan transisi bertahap Acme dari MPLS.

Dalam contoh penerapan dengan Magic WAN ini, Acme menghubungkan setiap kantor dan VPC ke Cloudflare dengan terowongan Anycast GRE. Dengan arsitektur ini, Acme hanya perlu menyiapkan satu terowongan tunggal untuk setiap situs/koneksi Internet agar secara otomatis menerima konektivitas ke seluruh jaringan global Cloudflare (200 lebih kota di 100 lebih negara di seluruh dunia) - seperti arsitektur hub and spoke, dengan perbedaan hub itu terdapat di mana-mana. Acme juga memilih untuk membangun konektivitas privat khusus dari pusat data mereka dengan Interkoneksi Jaringan Cloudflare, yang memungkinkan pengiriman lalu lintas yang bahkan lebih aman dan andal serta konektivitas yang tinggi ke jaringan/penyedia cloud lain melalui jaringan interkoneksi tinggi dari Cloudflare.

Setelah terowongan ini dibuat, Acme dapat membuat konfigurasi rute yang diizinkan untuk lalu lintas dalam jaringan privatnya (ruang RFC 1918), dan Cloudflare mengirim lalu lintas ke tujuan yang semestinya sehingga memberikan ketahanan dan pengoptimalan lalu lintas. Dengan proses penyiapan yang mudah dan hanya memerlukan beberapa jam, Acme Corp dapat memulai migrasinya dari MPLS. Dan dengan diperkenalkannya kemampuan Cloudflare One baru seperti QoS dan Argo for Networks, kinerja dan keandalan jaringan Acme akan terus membaik.

Mengamankan akses karyawan jarak jauh ke jaringan privat

Ketika karyawan Acme Corp tiba-tiba beralih bekerja secara jarak jauh tahun lalu karena pandemi COVID-19, organisasi TI Acme berusaha keras mencari perbaikan jangka pendek untuk memelihara akses karyawan ke sumber daya internal. VPN warisan Acme tidak mampu melanjutkan - Karyawan Acme yang bekerja dari rumah harus bersusah payah dengan masalah konektivitas, keandalan, dan kinerja karena peralatan dipaksa bekerja melampaui batas kemampuan perancangannya.

Untungnya, ada solusi yang lebih baik! Acme Corp dapat menggunakan Cloudflare for Teams dan Magic WAN untuk menyediakan cara yang aman bagi karyawan dalam mengakses sumber daya di belakang jaringan privat dari perangkat mereka, di mana pun mereka bekerja. Karyawan Acme menginstal klien WARP di perangkat mereka untuk mengirim lalu lintas ke jaringan Cloudflare, di mana lalu lintas tersebut dapat diautentikasi dan dirutekan ke sumber daya privat di pusat data atau VPC yang terhubung ke Cloudflare melalui terowongan GRE (ditunjukkan pada contoh sebelumnya), Argo Tunnel, Interkoneksi Jaringan Cloudflare, atau IPSec (segera hadir). Arsitektur ini memecahkan masalah kinerja dan kapasitas yang dialami Acme dengan VPN warisan - sebagai pengganti mengirim semua lalu lintas melalui satu perangkat titik hambat tunggal, lalu lintas dirutekan ke lokasi Cloudflare terdekat tempat kebijakan diterapkan di tepi jaringan sebelum dikirim melalui jalur yang dioptimalkan ke tujuannya .

Lalu lintas dari perangkat karyawan, pusat data, dan kantor-kantor Acme Corp juga akan dapat diatur oleh Magic Firewall untuk kontrol kebijakan granular yang kuat yang dijalankan di semua "metode akses". Baik karyawan terhubung dari ponsel dan laptop mereka atau bekerja dari kantor Acme, kebijakan yang sama dapat diterapkan di tempat yang sama. Hal itu menyederhanakan konfigurasi dan meningkatkan visibilitas untuk tim TI dan keamanan Acme, yang akan dapat login ke dasbor Cloudflare untuk melihat dan mengontrol kebijakan di satu tempat - suatu perubahan besar dibandingkan dengan mengelola akses karyawan di berbagai VPN, firewall, dan layanan cloud.

Solusi ini memungkinkan Acme untuk beralih dari perangkat VPN, firewall, dan gateway web aman, meningkatkan kinerja, dan memungkinkan pengelolaan kebijakan yang mudah di seluruh lalu lintas dari tempat mana pun karyawannya bekerja.

Migrasi fungsi jaringan dan keamanan ke tepi jaringan

Secara historis, Acme mengandalkan tumpukan alat perangkat keras di kantor fisik dan pusat data untuk melaksanakan keamanan jaringan dan mendapatkan visibilitas pada hal yang terjadi di jaringan: firewall khusus untuk memeriksa lalu lintas masuk atau keluar, sistem deteksi intrusi, dan SIEM. Saat organisasinya beralih ke cloud dan merencanakan kembali masa depan bekerja jarak jauh, tim keamanan Acme mencari solusi berkelanjutan yang meningkatkan keamanan, bahkan melampaui hal yang dulu dimungkinkan dalam arsitektur tertutup tradisionalnya.

Sebelumnya, kita telah melihat cara Acme membuat konfigurasi Magic WAN untuk mengirim lalu lintas dari kantor, pusat data, properti cloud, dan perangkat ke jaringan Cloudflare. Setelah lalu lintas ini mengalir melalui Cloudflare, mudah untuk menambahkan kontrol akses dan fungsi penyaringan guna menambah atau mengganti perangkat keras keamanan di tempat pengguna, yang semuanya dikirim dan dikelola melalui satu panel pengamatan tunggal.

Dengan Magic Firewall, pelanggan mendapatkan sebuah firewall sebagai layanan tunggal yang berjalan di tepi jaringan, menggantikan perangkat janggal yang telah dipasang pelanggan di kantor cabang atau pusat data. Magic Firewall memungkinkan pelanggan mengelola konfigurasi dengan mudah dan juga menyederhanakan audit kepatuhan.

Untuk mengontrol akses, pelanggan dapat menerapkan kebijakan yang menentukan secara tepat lalu lintas mana yang diizinkan dan untuk menuju ke mana. Misalnya, Acme menginginkan lalu lintas mengalir dari Internet ke server web mereka di dalam pusat data pada port 80 dan 443, tetapi ingin mengunci akses SSH hanya untuk jaringan privat tertentu di dalam kantor cabang.

Jika Acme ingin meningkatkan penguncian jaringannya, mereka dapat menggunakan model akses Zero Trust dengan Access dan Gateway untuk mengontrol siapa dapat mencapai apa, dan caranya, di semua lalu lintasnya yang mengalir melalui jaringan Cloudflare. Seiring langkah Cloudflare merilis fungsi penyaringan dan kontrol baru, seperti solusi mendatang kami yaitu IDS/IPS dan DLP, Acme dapat mengaktifkan keduanya untuk lebih meningkatkan keamanan dengan hanya beberapa klik.

Tujuan jangka panjang Acme adalah mengalihkan semua fungsi keamanan dan kinerja ke cloud, yang digunakan sebagai suatu layanan. Magic WAN menyediakan jalur mulus untuk migrasi ini yang memungkinkan Acme secara bertahap memperdalam postur keamanannya sambil memberhentikan perangkat keras warisannya.

Peningkatan penggunaan cloud disertai perubahan baru-baru ini ke pekerja jarak jauh telah meningkatkan volume lalu lintas Internet, SaaS, dan IaaS yang sangat membebani arsitektur jaringan tradisional seperti MPLS. Arsitektur WAN yang menawarkan fungsi keamanan jaringan perusahaan yang terintegrasi dan berskala global, serta konektivitas ke pengguna jarak jauh yang aman dan langsung adalah kunci bagi organisasi yang ingin meningkatkan kelincahan operasionalnya dan menurunkan total biaya kepemilikan.— Ghassan Abdo, Wakil Presiden Riset IDC, WW Telecom, Virtualization & CDN

Jaringan Cloudflare sebagai perpanjangan jaringan Anda

Seperti kebanyakan produk kami, Cloudflare One dimulai sebagai kumpulan solusi untuk masalah yang kami alami dalam mengembangkan dan mengamankan jaringan kami sendiri. Magic WAN dan Magic Firewall memungkinkan kami memperluas manfaat keputusan arsitektur kami yang cermat selama sepuluh tahun terakhir kepada pelanggan:

  • Berskala global & dekat dengan jaringan pengguna: di mana pun kantor, pusat data, dan pengguna Anda berada, kami selalu dekat. Kami telah bekerja keras untuk membangun konektivitas tinggi ke jaringan pengguna karena bisnis CDN kami, yang bermanfaat langsung kepada pekerja jarak jauh yang membutuhkan konektivitas tinggi dari rumah mereka ke jaringan Anda. Ini juga berarti kami dapat menghentikan ancaman di tepi jaringan, dekat dengan sumbernya, daripada mengalami risiko lalu lintas berbahaya membanjiri perangkat di tempat pengguna yang terbatas kapasitasnya.

  • Bisa digunakan untuk semua perangkat keras dan operator: gunakan perangkat keras apa saja yang Anda miliki saat ini untuk menyambung ke kami, dan dapatkan manfaat ketahanan yang diberikan oleh konektivitas operator kami yang beragam.

  • Dibangun dari awal untuk bekerja sama: kami telah mengembangkan produk kami dalam perangkat lunak dari awal, agar berintegrasi dengan mudah. Kami terus-menerus memikirkan bagaimana produk-produk kami dapat berintegrasi untuk membuat masing-masing produk lebih baik saat produk itu dibuat dan dikembangkan.

Memulai pada hari ini

Magic WAN tersedia dalam versi beta terbatas, dan Magic Firewall secara umum tersedia untuk semua pelanggan Magic Transit dan disertakan secara siap pakai pada Magic WAN. Jika Anda tertarik untuk menguji Magic WAN atau ingin mempelajari hal lain tentang cara Cloudflare dapat membantu organisasi Anda mengganti arsitektur MPLS warisan, mengamankan akses untuk pekerja jarak jauh, dan memperdalam postur keamanan Anda sekaligus mengurangi total biaya kepemilikan, hubungilah kami.

Kami melindungi seluruh jaringan perusahaan, membantu pelanggan membuat aplikasi berskala Internet dengan efisien, mempercepat setiap situs web atau aplikasi Internet, mencegah serangan DDoS, menghalangi masuknya peretas, dan mendukung Anda dalam perjalanan menuju Zero Trust.

Buka 1.1.1.1 dari perangkat apa pun untuk mulai menggunakan aplikasi gratis kami yang akan mempercepat dan meningkatkan keamanan Internet Anda.

Untuk mempelajari selengkapnya tentang misi kami dalam mendukung pengembangan Internet yang lebih baik, mulai di sini. Jika Anda sedang mencari arah karier baru, lihat lowongan kerja kami.
Cloudflare OneBerita ProdukSecurity WeekFirewallNetwork

Ikuti di X

Annika Garbers|@annikagarbers
Cloudflare|@cloudflare

Posting terkait

24 Oktober 2024 pukul 13.00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

23 Oktober 2024 pukul 13.00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

08 Oktober 2024 pukul 13.00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

27 September 2024 pukul 13.00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...