Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

Cloudflare Agent — การปรับใช้ได้อย่างราบรื่นในทุกระดับ

Loading...

Cloudflare Agent — Seamless Deployment at Scale

เราเปิดตัว WARP for Desktop เมื่อปีที่แล้ว เพื่อให้ทุกคนสามารถเข้าถึงอินเทอร์เน็ตได้อย่างรวดเร็วและเป็นส่วนตัว ในส่วนลูกค้าธุรกิจของเรานั้น ผู้ดูแลระบบไอทีและความปลอดภัยสามารถใช้เอเยนต์รายเดียวกันและลงทะเบียนอุปกรณ์ในองค์กรของตนภายใน Cloudflare for Teams ได้ ซึ่งเมื่อลงทะเบียนแล้ว สมาชิกในทีมจะสามารถเร่งความเร็วบนอินเทอร์เน็ต พร้อมกับที่ Cloudflare ช่วยกรองความปลอดภัยที่ครอบคลุม ตั้งแต่ฟังก์ชันไฟร์วอลล์ของเครือข่ายไปจนถึงการแยกเบราว์เซอร์ระยะไกล

ตอนเปิดตัวเมื่อปีที่แล้ว เราจัดชุดตัวเลือกการกำหนดค่าที่เรียบง่ายที่รับรองกลไกการปรับใช้งานได้ครอบคลุมสูงสุด เพื่อให้องค์กรของคุณได้รับการปกป้องอย่างรวดเร็ว เรามุ่งเน้นที่การช่วยให้องค์กรรักษาปลอดภัยให้กับผู้ใช้และข้อมูลได้ด้วยการกรอง HTTP และ DNS จากที่ใดก็ได้ โดยเราเริ่มต้นด้วยการรองรับ Mac, Windows, iOS และ Android

นับตั้งแต่เปิดตัว องค์กรหลายพันแห่งได้ปรับใช้เอเยนต์เพื่อให้สมาชิกในทีมและอุปกรณ์ปลายทางมีความปลอดภัย เราได้ยินมาว่า ลูกค้าตื่นเต้นกับการขยายกิจการของตน แต่ต้องการการสนับสนุนระบบปฏิบัติการเพิ่มเติมและควบคุมการกำหนดค่าได้อย่างมีประสิทธิภาพ

และวันนี้เรายินดีที่จะแจ้งให้ทราบว่า Zero Trust Agent มีคุณสมบัติเท่าเทียมกันในทุกแพลตฟอร์มหลักแล้ว นอกจากนั้น คุณยังสามารถควบคุมตัวเลือกใหม่ ๆ เพื่อเลือกวิธีกำหนดเส้นทางการรับส่งข้อมูล และผู้ดูแลระบบของคุณสามารถจัดการการปรับใช้ในวงกว้างได้ เราเปิดตัวโซลูชันใหม่ในวันนี้เพื่อแจ้งว่าเราพร้อมที่จะช่วยคุณกำจัด VPN และเครื่องมือรักษาความปลอดภัยเครือข่ายแบบดั้งเดิมที่ทีมไอทีของคุณเกลียดออกไปได้แล้ว

สร้างขึ้นสำหรับทุกขนาด

ปัจจัยที่สำคัญที่สุดสองประการใน Zero Trust Agent คือความน่าเชื่อถือในทุกแพลตฟอร์มและความน่าเชื่อถือของการเชื่อมต่อ หากคุณเคยจัดส่งซอฟต์แวร์ในสเกลนี้ คุณจะรู้ว่าการดูแลลูกค้าในระบบปฏิบัติการหลักทั้งหมดนั้นเป็นงานที่หนักหนาสาหัส (และมีโอกาสเกิดข้อผิดพลาดได้ง่าย)

แต่เราหลีกเลี่ยงข้อผิดพลาดของแพลตฟอร์มได้ด้วยการเขียนแกนหลักของ Agent ใน Rust ซึ่งช่วยให้สามารถแชร์โค้ดได้ 95% ในทุกอุปกรณ์ เราอ้างถึงโค้ดทั่วไปนี้เป็นการภายในว่า shared daemon (หรือที่เรียกว่า บริการ สำหรับระบบ Windows) การใช้งานแบบ Rust-based โดยทั่วไปช่วยให้วิศวกรใช้เวลาน้อยลงในการทำซ้ำโค้ดในหลาย ๆ แพลตฟอร์ม และยังรับประกันได้อีกว่า ทุกคนจะเข้าถึงการปรับปรุงคุณภาพส่วนใหญ่ได้พร้อมกัน

ในเรื่องความน่าเชื่อถือของการเชื่อมต่อ หากคุณเคยมีประสบการณ์กับ VPN แบบเดิม คุณจะรู้ว่าระบบเดิมนั้นมักเกิดข้อผิดพลาดและทำงานช้า รากฐานเครือข่ายของเราสร้างขึ้นจากการนำ WireGuard ไปใช้งานที่เรียกว่า BoringTun ทั้งนี้ UDP ต่างจาก VPN ทั่วไปที่ทำงานช้า เราใช้ UDP ที่ได้รับการปรับให้เหมาะสมกับรูปแบบที่หลากหลายของโครงสร้างพื้นฐานอินเทอร์เน็ตที่ผู้ใช้เชื่อมต่อในปัจจุบัน (เช่น บนเครื่องบิน ที่ร้านกาแฟ เครือข่ายที่คับคั่งในเมือง ฯลฯ) BoringTun ได้รับการปรับเปลี่ยนให้มีขนาดที่เหมาะสมกับอุปกรณ์สำหรับผู้บริโภคหลายล้านเครื่องตลอดหลายปีที่ผ่านมา ทำให้มั่นใจได้ว่าการรับส่งข้อมูลของคุณจะได้รับการเข้ารหัสและพร้อมรองรับทุกนโยบายที่คุณตัดสินใจใช้

ด้วยพลังของระดับความน่าเชื่อถือ ตอนนี้เราสนับสนุนระบบปฏิบัติการต่อไปนี้ผ่าน Agent ของเราอย่างเต็มที่

  • Windows 8.1, Windows 10 และ Windows 11
  • macOS Mojave, Catalina, Big Sur, Monterey
  • และยังรองรับ M1 ด้วย
  • ChromeBooks (ที่ผลิตหลังปี 2019) (ใหม่)
  • Linux CentOS 8, RHEL, Ubuntu, Debian (ใหม่)
  • iOS
  • Android

สร้างขึ้นเพื่อให้ตรงตามโมเดลการปรับใช้ของคุณ

เมื่อเปิดตัว Agent ครั้งแรก จุดเน้นคือการเข้ารหัสการรับส่งข้อมูลของอุปกรณ์ทั้งหมดไปยังเครือข่าย Cloudflare และอนุญาตให้ผู้ดูแลระบบสร้างนโยบาย HTTP และ DNS ไว้รวมกับการรับส่งข้อมูลนั้น เรายังทราบด้วยว่าลูกค้ากำลังวางแผนย้ายไปยังโมเดล Zero Trust ซึ่งบางครั้งการเปลี่ยนผ่านลักษณะนี้จำเป็นต้องเกิดขึ้นอย่างค่อยเป็นค่อยไป

ในช่วงเปลี่ยนผ่านดังกล่าว เราได้เพิ่มคุณสมบัติที่จะช่วยให้คุณไม่เพียงแค่แทนที่โซลูชันเดิมเท่านั้น แต่ยังสามารถเรียกใช้ซอฟต์แวร์ของเราควบคู่ไปกับโซลูชันเดิมเหล่านั้น เพื่อให้แผนการโยกย้ายดำเนินไปอย่างราบรื่นกว่าเดิม

  • Domain-Based Split Tunneling - บางครั้ง คุณไม่จำเป็นต้องส่งการรับส่งข้อมูลทั้งหมดผ่านเลเยอร์ความปลอดภัยของคุณ เพราะเราสนับสนุนการยกเว้นตาม IP เรียบร้อยแล้ว และตอนนี้เราทำให้คุณสร้างกฎ Split Tunnel ด้วยชื่อโดเมน (เช่น *.example.com หรือ example.com) ได้ง่ายๆ แทนที่จะบังคับให้คุณค้นหา CIDR ที่อยู่ IP สำหรับโดเมนใดโดเมนหนึ่ง
  • Include-Only Split Tunnels - เริ่มแรกเราสร้าง Agent บนสมมติฐานที่ว่าการรับส่งข้อมูลของอุปกรณ์ทั้งหมดควรได้รับการเข้ารหัสและส่งไปยังเครือข่ายของเรา เพื่อให้แน่ใจว่าการรับส่งข้อมูลจะไม่ถูกสอดแนมและอนุญาตให้ผู้ดูแลระบบมองเห็นได้ตลอด แม้ว่าในบางครั้ง คุณต้องการส่งการรับส่งข้อมูลบางส่วนไปยัง Cloudflare และยกเว้นส่วนที่เหลือไว้ตั้งแต่ต้น Include-only split tunneling ทำได้เพียงแค่นั้น เปิดโอกาสให้คุณเลือกเส้นทางที่ต้องการไปที่เครือข่ายของเรา หากคุณต้องการเปลี่ยน VPN แบบเก่าโดยเร็วเพื่อเชื่อมต่อกับทรัพยากรของ Cloudflare Tunnel หรือเพียงต้องการให้แน่ใจว่า การรับส่งข้อมูลไปยังโครงสร้างพื้นฐานที่ละเอียดอ่อนที่สุดของคุณอยู่ภายใต้การตรวจสอบ HTTP แนะนำให้ใช้กฎ include-only split tunnel
  • พัฒนาโดเมนส่วนบุคคล - บางองค์กรเริ่มการโอนย้ายโดยใช้ผลิตภัณฑ์ Zero Trust ของ Cloudflare ควบคู่ไปกับ VPN ของบุคคลที่สามที่มีอยู่แล้ว ในอดีต Agent ของเราสนับสนุนการกำหนดค่าโดยอนุญาตให้ผู้ดูแลระบบตั้งความละเอียดชื่อโดเมนสำรองเพื่อส่งการร้องขอ DNS สำหรับกรณีการใช้งานที่ไว้ใจได้ผ่าน VPN อย่างไรก็ตาม นี่เป็นการตั้งค่าแบบมีผลทั้งระบบ และยังขาดการควบคุมว่าการร้องขอนั้นจะส่งไปที่ใด เราจึงได้เพิ่มความสามารถเพื่อ กำหนดเซิร์ฟเวอร์ DNS ที่ควรตอบสนองต่อโดเมนส่วนตัว และตามที่ได้พูดไปแล้วในสัปดาห์นี้ ว่าจะสามารถใช้งานกับความสามารถของเครือข่าย Zero Trust แบบใหม่ได้ด้วย
  • โหมด Posture-only (เร็วๆ นี้) — เราได้พูดไว้ก่อนหน้านี้เกี่ยวกับความสำคัญของ Device Posture และความสามารถของเรา ในช่วงไตรมาสแรกของปี 2022 เราจะส่งความสามารถเพื่อให้ agent ของเราใช้งานในโหมด Posture-only ได้ ทำให้ลูกค้าของเราไม่ต้องส่งคำร้องขอ DNS หรือส่งการรับส่งข้อมูลอื่นๆ ให้กับเรา ซึ่งจะช่วยให้คุณเริ่มต้นใช้งานนโยบาย posture ของ Cloudflare Access โดยไม่ต้องเปิดการตรวจสอบ HTTP ของผู้ใช้ของคุณ

สร้างเพื่อการกำหนดค่าแบบไม่มีสะดุด

การใช้งาน agent ใดๆ กับผู้ใช้เป็นร้อยเป็นพันบัญชีอาจมีอุปสรรคด้านโลจิสติกส์ เราสร้าง agent สำหรับ Cloudflare for Teams ให้สามารถนำมาใช้งานได้แบบไม่มีสะดุดตามที่ทีมคุณต้องการ การประกาศในวันนี้ให้คุณมีตัวเลือกมากขึ้นเพื่อใช้งาน agent กับทั้งองค์กรด้วย API และการควบคุมโดยอาศัย Terraform

การทำให้งานบริหารจัดการเป็นอัตโนมัติเป็นวิธีที่ดีที่สุดที่จะช่วยให้ทำงานได้ต่อเนื่อง ที่ Cloudflare เราสร้าง UI ไว้บน RESTful APIs ตามการร้องของของ HTTPS และการตอบสนองของ JSON หลังจากนั้น APIs เดียวกันนี้ในการจัดการอุปกรณ์ของเราจึงจะเปิดเผยต่อผู้ใช้ผ่าน เอกสาร API ของเรา และเปิดเผยเพิ่มเติมผ่าน ผู้ให้บริการ Terraform ทุกอย่างที่เปิดเผยในเวอร์ชันเว็บ https://dash.teams.cloudflare.com/ จะมีให้บริการผ่านหนึ่งในอินเทอร์เฟซเหล่านี้

เพื่อเป็นตัวอย่างว่าคุณจะสามารถใช้งานอัตโนมัติอย่างไร เราจะมาดูที่ Split tunneling ตามโดเมนของเรา เพื่อการอ้างอิง นี่คือ เอกสาร API และ สิ่งเทียบเท่า Terraform

เพื่อสร้างกฎการ include ที่อ้างอิงตามโดเมน สำหรับ example.com

curl -X PUT "https://api.cloudflare.com/client/v4/accounts/699d98642c564d2e855e9661899b7252/devices/policy/include" \
     -H "X-Auth-Email: [email protected]" \
     -H "X-Auth-Key: c2547eb745079dac9320b638f5e225cf483cc5cfdda41" \
     -H "Content-Type: application/json" \
     --data '[{"host":"*.example","description":"Include all traffic to example.com in the tunnel"}]'

กฎเดียวกันนั้นสามารถสร้างได้ใน Terraform ด้วย

# Including *.example.com in WARP routes
resource "cloudflare_split_tunnel" "example_split_tunnel_include" {
  account_id = "699d98642c564d2e855e9661899b7252"
  mode       = "include"
  tunnels {
    host        = "*.example.com",
    description = "Include all traffic to example.com in the tunnel"
  }
}

การทำงานทั่วไปอีกอย่างหนึ่งคือการสร้างรายงานอุปกรณ์ที่ลงทะเบียน โดยการใช้ รายการอุปกรณ์ API ตัวอย่างต่อไปนี้แสดงให้เห็นวิธีระบุรายการอุปกรณ์ Windows ทั้งหมดที่ลงทะเบียนไว้กับองค์กรของคุณ

curl -X GET "https://api.cloudflare.com/client/v4/accounts/699d98642c564d2e855e9661899b7252/devices?type=windows" \
     --header 'Authorization: Bearer 8M7wS6hCpXVc-DoRnPPY_UCWPgy8aea4Wy6kCe5T' \
     -H "Content-Type: application/json"

การใช้งานคำสั่งนี้จะกลับไปที่ JSON ซึ่งจะมีลักษณะดังนี้

        {
            "created": "2021-12-01T17:14:23.847538Z",
            "device_type": "windows",
            "gateway_device_id": "215f9adc-52ca-11ec-9ece-f240956bdf5f",
            "id": "215f9adc-52ca-11ec-9ece-f240956bdf5f",
            "ip": "150.111.29.1",
            "key": "0mS9vj2gk0KNcXoi50pwfuL49WT0rLGAcX2gVze3ixA=",
            "last_seen": "2021-12-01T17:14:30.110663Z",
            "mac_address": "00:0c:29:6f:11:93",
            "model": "VMware7,1",
            "name": "MYVMWin10",
            "os_version": "10.0.19042",
            "serial_number": "VMware-56",
            "updated": "2021-12-01T17:14:30.110663Z",
            "user": {
                "email": "[email protected]com",
                "id": "6a8e079d-8a33-4677-b610-a5e361c0c959"
            },
            "version": "2021.11.278"
        },
        {
            "created": "2021-11-08T23:59:37.621164Z",
            "device_type": "windows",
            "gateway_device_id": "ee02da10-40ef-11ec-bb68-6a56f426bb46",
            "id": "ee02da10-40ef-11ec-bb68-6a56f426bb46",
            "ip": "98.247.211.1",
            "key": "DhUI8nqeVrXL1JFhYbeCFmkeu/XEkkEjVmcZ8UraTDI=",
            "last_seen": "2021-11-08T23:59:37.621164Z",
            "model": "Latitude 7400",
            "name": "CloudBox",
            "os_version": "10.0.19043",
            "serial_number": "7CHR3Z2",
            "updated": "2021-11-23T20:03:12.046067Z",
            "user": {
                "email": "[email protected]",
                "id": "39663a0d-9f7c-4a24-ae7f-f869a8cf07f1"
            },
            "version": "2021.11.34"
        },

สร้างขึ้นเพื่อให้ทุกคนจัดการได้

ส่วนหนึ่งของการเปิดตัววันนี้ เรายังประกาศ ความร่วมมือทางธุรกิจกับผู้ให้บริการ MDM เพื่อเป็นกลไกให้คุณสามารถใช้งานซอฟต์แวร์กับผู้ใช้ของคุณได้ เรายังทราบอีกว่าองค์กรต่างๆ ยังไม่มี MDM หรือมีผู้ดูแลจัดการการใช้งานที่ชอบอินเทอร์เฟซผู้ใช้แบบเห็นภาพ

ในอีกไม่กี่สัปดาห์ข้างหน้า เราจะเปิด (ในเวอร์ชันเบต้า) ความสามารถในการจัดการมุมมองพฤติกรรมลูกค้าโดยตรงจาก Dashboard ซึ่งจะอนุญาตให้คุณเปลี่ยนแปลงการกำหนดค่าของลูกค้าได้ทันทีโดยไม่ต้องส่งเวอร์ชันใหม่ของลูกค้า

มีอะไรใหม่เร็วๆ นี้

ปีหน้าเป็นช่วงเวลาน่าตื่นเต้นสำหรับลูกค้า เมื่อเราจะเพิ่มการสนับสนุนและความยืดหยุ่นของลูกค้าขึ้นหลังจากใช้งานแล้ว คุณลักษณะบางอย่างที่เราตื่นเต้นที่จะส่งให้คือ

  • การตั้งค่าอุปกรณ์โดยผู้ใช้/กลุ่ม ที่คุณสามารถระบุการตั้งค่าของลูกค้า (เช่น ใครได้รับอนุญาตให้อัปเดตได้ กฎ split tunnel เป็นต้น) ให้กับผู้ใช้ที่แตกต่างกันได้
  • โหมด Posture-only อนุญาตให้คุณเริ่มต้นใช้งานการควบคุม posture ของ Cloudflare Access เพิ่มเติมได้ หากคุณยังไม่พร้อมสำหรับ Cloudflare Gateway
  • การสนับสนุนผู้แจกจ่าย Linux เพิ่มเติม เพื่อให้ทุกคนในองค์กรของคุณได้รับการป้องกัน
  • การตรวจวัดระยะไกลและการวิเคราะห์ การทำงานของอุปกรณ์ในองค์กรของคุณ ตามที่มีความเกี่ยวข้องกับลูกค้าของเราและความต่อเนื่องในการรับส่งข้อมูลไปยังเครือข่ายของ Cloudflare

เชื่อมต่อเลยตอนนี้

คุณสามารถเลือกการดาวน์โหลดสำหรับรายการลูกค้าของเราทั้งหมดด้านล่าง

Windows ดาวน์โหลดเวอร์ชันเบต้า ดาวน์โหลดเวอร์ชันรีลีส
macOS ดาวน์โหลดเวอร์ชันเบต้า ดาวน์โหลดเวอร์ชันรีลีส
Linux ตั้งค่าฐานข้อมูล ดาวน์โหลดแพ็กเกจ
iOS ดาวน์โหลดเวอร์ชันรีลีส
Android/Chrome ดาวน์โหลดเวอร์ชันรีลีส

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.

CIO Week (TH) Cloudflare Agent (TH) ไทย ข่าวผลิตภัณฑ์

Follow on Twitter

Kyle Krum |@KyleKrum
Cloudflare |Cloudflare

Related Posts

December 09, 2021 1:59PM

วิธีปรับแต่งการตั้งค่าการป้องกัน DDoS 3/4 ของเลเยอร์ของคุณ

หลังจากให้บริการลูกค้าในเบื้องต้นให้สามารถควบคุมการตั้งค่าการป้องกัน DDoS ของ HTTP-layer ไปเมื่อต้นปีนี้ เรารู้สึกตื่นเต้นที่จะขยายการควบคุมที่ลูกค้าของเรามีไปยังเลเยอร์ของแพ็กเก็ต เมื่อใช้การควบคุมใหม่เหล่านี้ ลูกค้า...

December 06, 2021 1:59PM

วิธีที่เราใช้ eBPF เพื่อสร้างการกรองแพ็กเก็ตที่ตั้งโปรแกรมได้ใน Magic Firewall

Cloudflare ปกป้องบริการจากการโจมตีที่ซับซ้อนทุกวัน สำหรับผู้ใช้ Magic Transit นั้น การป้องกัน DDoS จะตรวจจับและลดการโจมตี ในขณะที่ Magic Firewall อนุญาตให้มี...

December 09, 2021 1:59PM

Shadow IT: ทำให้ผู้ใช้ปฏิบัติตามกฎได้ง่าย

การใช้งานแอปพลิเคชัน SaaS เพิ่มขึ้นอย่างมากในช่วงทศวรรษที่ผ่านมา จากข้อมูลของ Gartner พบว่า การใช้จ่ายทั่วโลกที่เกี่ยวกับ SaaS ในปี 2021 อยู่ที่ 145 พันล้านดอลลาร์และคาดว่าจะสูงถึง 171 พันล้านดอลลาร์ในปี 2022...

December 09, 2021 1:59PM

Magic Firewall ฉลาดขึ้นแล้ว

วันนี้ เรารู้สึกตื่นเต้นมากที่จะประกาศชุดการอัปเดตสำหรับ Magic Firewall ที่เพิ่มคุณสมบัติความปลอดภัยและความสามารถในการมองเห็น ซึ่งเป็นกุญแจสำคัญในไฟร์วอลล์ระบบคลาวด์ที่ทันสมัย เพื่อปรับปรุงความปลอดภัย เราจึงเพิ่มการบูรณาการระบบป้องกันภัยคุกคาม...