สมัครเพื่อรับการแจ้งเตือนเมื่อมีโพสต์ใหม่:สมัครรับข้อมูล

เปลี่ยนจาก Firewall แบบฮาร์ดแวร์เป็น Cloudflare One

2021-12-06

อ่านเมื่อ 9 นาทีก่อน
โพสต์นี้ยังแสดงเป็นภาษาEnglish, Français, Deutsch, 日本語, 한국어, Indonesia และ简体中文ด้วย

วันนี้ เรามีความยินดีเป็นอย่างยิ่งที่จะประกาศความสามารถใหม่ในการช่วยเหลือลูกค้าให้เปลี่ยนจาก Firewall แบบอุปกรณ์ฮาร์ดแวร์ไปสู่ Firewall ระบบคลาวด์ที่แท้จริงซึ่งสร้างขึ้นสำหรับเครือข่ายในอนาคต Cloudflare One เป็นแพลตฟอร์มที่ปลอดภัย ทำงานได้ยอดเยี่ยม และเป็นแบบ Zero Trust สำหรับผู้ดูแลในการบังคับใช้นโยบายความปลอดภัยที่ทั่วถึงผู้ใช้และทรัพยากรทั้งหมด เราเหมาะสำหรับทุกคน Cloudflare One นั้นพัฒนาต่อยอดมาจากเครือข่ายทั่วโลก คุณจึงไม่ต้องกังวลเรื่องการปรับขนาด การใช้งาน หรือบำรุงรักษาฮาร์ดแวร์รักษาความปลอดภัย

Replace your hardware firewalls with Cloudflare One

ในฐานะส่วนหนึ่งของประกาศฉบับนี้ Cloudflare ได้เปิดตัว Oahu แล้วเพื่อช่วยให้ลูกค้าทิ้งฮาร์ดแวร์เดิมๆ ไว้ข้างหลัง ในโพสต์นี้เราจะอธิบายถึงความสามารถใหม่ๆ ที่ช่วยแก้ไขปัญหาของ Firewall แบบเดิมๆ และช่วยประหยัดเวลาและต้นทุนให้กับทีมไอที

เรามาถึงตรงนี้ได้อย่างไร

เพื่อที่จะเข้าใจในจุดที่เรายืนอยู่ในปัจจุบัน เป็นการดีที่เราจะเริ่มต้นด้วยประวัติศาสตร์ฉบับรวบรัดของ Firewall แบบ IP กันเล็กน้อย

การกรองแพ็คเก็ตแบบไม่มีสถานะสำหรับเครือข่ายส่วนตัว

Firewall เครือข่ายรุ่นแรกนั้นได้รับการออกแบบมาเพื่อให้ตอบสนองต่อข้อกำหนดด้านความปลอดภัยของเครือข่ายส่วนตัวเป็นส่วนใหญ่ ซึ่งเริ่มต้นด้วยสถาปัตยกรรมแบบ Castle and Moat ที่เราได้เรียกว่ารุ่นที่ 1 ในโพสต์เมื่อวานของเรา ผู้ดูแล Firewall สามารถสร้างนโยบายจากสัญญาณที่ชั้นที่ 3 และ 4 ของรุ่น OSI ได้ (ขั้นต้นคือ IP และพอร์ท) ซึ่งเหมาะอย่างยิ่งสำหรับ (ตัวอย่าง) การอนุญาตให้กลุ่มพนักงานในชั้นหนึ่งของตึกสำนักงานสามารถเข้าถึงเซิร์ฟเวอร์ของอีกชั้นหนึ่งได้ด้วยสาย LAN

ความสามารถในการกรองแพ็คเก็ตนั้นเคยเพียงพอจนกระทั่งเครือข่ายมีความซับซ้อนมากขึ้น ซึ่งรวมถึงจากการเชื่อมต่อกับอินเทอร์เน็ตด้วย ทีมไอทีนั้นเริ่มมีความจำเป็นที่จะต้องปกป้องเครือข่ายของบริษัทจากผู้ไม่หวังดีจากภายนอก ซึ่งจำเป็นต้องมีนโยบายที่เหมาะสมกว่าเดิม

การป้องกันที่ดีขึ้นด้วยการตรวจสอบแพ็คเก็ตอย่างมีสถานะและลงลึกกว่าเดิม

Firewall แบบฮาร์ดแวร์นั้นพัฒนาขึ้นเพื่อให้มีการตรวจสอบแพ็คเก็ตแบบมีสถานะและเป็นจุดเริ่มต้นของการตรวจสอบแพ็คเก็ตเชิงลึก เป็นการขยายแนวความคิดดั้งเดิมของ Firewall โดยการตรวจสอบสถานะของการเชื่อมต่อที่ผ่าน Firewall นั้น ซึ่งทำให้ผู้ดูแลสามารถ (ตัวอย่าง) บล็อกแพ็คเก็ตขาเข้าทั้งหมดที่ไม่ได้ผูกกับการเชื่อมต่อขาออกอยู่แล้ว

ความสามารถใหม่นี้ทำให้ป้องกันผู้โจมตีได้ดีขึ้น แต่ความก้าวหน้านี้ก็มีราคาที่ต้องจ่าย: การรักษาความปลอดภัยในระดับที่สูงขึ้นนี้ก็ต้องใช้แหล่งการประมวลผลและแหล่งความจำมากขึ้น สิ่งนี้ทำให้ทีมความปลอดภัยและเครือข่ายต้องวางแผนขีดความสามารถที่ต้องใช้สำหรับอุปกรณ์ใหม่แต่ละเครื่องให้ดีขึ้น และแลกกันระหว่างข้อดีข้อเสียด้านต้นทุนกับการมีระบบซ้ำซ้อนสำหรับเครือข่ายของพวกเขา

นอกเหนือจากการแลกมาด้วยข้อดีด้านต้นทุนแล้ว Firewall ใหม่เหล่านี้นั้นจะให้ข้อมูลเชิงลึกเกี่ยวกับการใช้งานเครือข่ายเพียงบางส่วนเท่านั้น คุณสามารถรู้ได้ว่าผู้ใช้นั้นเข้าถึง 198.51.100.10 ที่พอร์ต 80 แต่ในการสืบเสาะเพิ่มเติมว่าผู้ใช้นั้นเข้าถึงสิ่งใด คุณจะต้องย้อนกลับไปดูที่ IP address การดำเนินการดังกล่าวนั้นจะพาคุณไปยังหน้าแรกของผู้ให้บริการเท่านั้น โดยไม่ทราบว่าที่จริงแล้วผู้ใช้เข้าถึงสิ่งใด รวมถึงชื่อของโดเมน/Host หรือข้อมูลอื่นๆ ที่ช่วยตอบคำถามที่ว่า "นี่เป็นเหตุการณ์ความปลอดภัยที่ฉันควรตรวจสอบต่อไปหรือไม่" การระบุที่มาเองก็อาจเป็นเรื่องยากเช่นกัน เนื่องจากต้องใช้ IP address ส่วนตัวที่ได้รับมาผ่าน DHCP ด้วยอุปกรณ์ร่วมด้วยและจากนั้นคือผู้ใช้ (หากคุณจำได้ว่าตั้งค่า Lease Time ไว้นานและไม่เคยแชร์อุปกรณ์)

การรับรู้ใน Application ด้วย Firewall เจนเนอเรชั่นใหม่

เพื่อช่วยแก้ปัญหาดังกล่าว อุตสาหกรรมของเราได้เปิดตัว Next Generation Firewall (NGFW). ซึ่งเป็นสิ่งที่ใช้กันมายาวนาน และในบางกรณีก็นับเป็นอุปกรณ์ความปลอดภัยสำหรับบริษัทที่เป็นมาตรฐานอุตสาหกรรม ซึ่งรูปแบบใหม่นี้มีความสามารถทั้งหมดเหมือนกับรุ่นเก่า และเพิ่มการรับรู้ใน Application เพื่อช่วยให้ผู้ดูแลสามารถควบคุมสิ่งที่ผ่านพารามิเตอร์ความปลอดภัยเข้ามา NGFW นั้นมีคอนเซปต์ของระบบอัจฉริยะที่ให้บริการโดยผู้จำหน่ายหรือให้บริการโดยภายนอก และความสามารถในการระบุการใช้งานของบุคคลจากลักษณะการรับส่งข้อมูล ระบบอัจฉริยะที่เข้ากับนโยบายที่ระบุว่าผู้ใช้สามารถทำหรือไม่ทำสิ่งใดกับ Application ได้

ยิ่งมี Application ที่ย้ายไปสู่ระบบคลาวด์มากเท่าใด ผู้จำหน่าย NGFW ก็ยิ่งสามารถสร้างอุปกรณ์ของตนในเวอร์ชันเสมือนได้ ซึ่งทำให้ผู้ดูแลไม่ต้องกังวลเรื่องเวลานำการเชื่อมต่อสำหรับฮาร์ดแวร์เวอร์ชันถัดไป และทำให้เกิดความยืดหยุ่นมากขึ้นเมื่อใช้งานจากหลายพื้นที่

เมื่อเวลาผ่านไป เมื่อภัยคุกคามพัฒนามากขึ้นและเครือข่ายมีความซับซ้อนยิ่งขึ้น NGFW นั้นก็เริ่มมือความสามารถในการรักษาความปลอดภัยเพิ่มเติม ซึ่งบ้างก็ช่วยควบรวมอุปกรณ์หลายตัวเข้าด้วยกัน โดยขึ้นอยู่กับผู้จำหน่าย สิ่งนี้ประกอบไปด้วย VPN Gateways, IDS/IPS, Web Application Firewalls และแม้กระทั่งอย่าง Bot Management และการป้องกัน DDoS แต่ถึงแม้จะมีฟีเจอร์เหล่านี้ NGFW เองก็มีข้อเสีย เนื่องจากผู้ดูแลเองก็ยังต้องใช้เวลาในการออกแบบและกำหนดค่าอุปกรณ์ที่ซ้ำกัน (อย่างน้อยคืออุปกรณ์หลัก/รอง) เช่นเดียวกับการเลือกตำแหน่งที่มี Firewall และการสูญเสียประสิทธิภาพจากการส่งกลับข้อมูลจากตำแหน่งอื่น และถึงอย่างนั้น ก็ยังจำเป็นต้องมีการจัดการ IP address เมื่อสร้างนโยบายและใช้อัตลักษณ์แฝง

การเพิ่มการควบคุมระดับผู้ใช้เพื่อก้าวไปสู่ Zero Trust

เมื่อผู้จำหน่าย Firewall เพิ่มการควบคุมให้มากขึ้นแล้ว ในขณะเดียวกัน การปรับเปลี่ยนกระบวนทัศน์สำหรับสถาปัตยกรรมเครือข่ายก็เกิดขึ้นเพื่อชี้ให้เห็นถึงปัญหาด้านความปลอดภัยที่เกิดขึ้นจากการที่ Application และผู้ใช้นั้นออกจาก "ปราการ" ขององค์กรเพื่อไปสู่อินเทอร์เน็ต ความปลอดภัยแบบ Zero Trust หมายความว่าไม่มีใครที่ได้รับการเชื่อถือตามค่าเริ่มต้นจากทั้งในหรือนอกเครือข่าย และจะต้องมีการตรวจสอบความถูกต้องบุคคลทุกคนที่ต้องการเข้าถึงแหล่งข้อมูลในเครือข่าย Firewalls เริ่มใช้หลักการ Zero Trust ด้วยการร่วมกับผู้ให้บริการพิสูจน์และยืนยันตัวตน (IdP) และให้ผู้ใช้สามารถกำหนดนโยบายให้กับกลุ่มผู้ใช้ได้ — “ฝ่ายการเงินและฝ่ายบุคคลเท่านั้นที่สามารถเข้าถึงระบบจ่ายเงินเดือนได้” — ทำให้เกิดเป็นการควบคุมที่ละเอียดยิ่งขึ้นและลดความจำเป็นในการใช้ที่อยู่ IP ในการระบุตัวตน

นโยบายนี้ได้ช่วยองค์กรต่างๆ ในการล็อกดาวน์เครือข่ายและเข้าใกล้การเป็น Zero Trust มากขึ้น แต่ CIO นั้นก็ยังคงมีปัญหาว่าจะทำอย่างไรหากพวกเขาต้องการร่วมงานกับผู้ให้บริการพิสูจน์และยืนยันตัวตนเจ้าอื่น จะมอบสิทธิ์การเข้าถึงแหล่งข้อมูลขององค์กรให้กับผู้ร่วมสัญญาอย่างปลอดภัยได้อย่างไร การควบคุมรูปแบบใหม่นี้ไม่ได้ชี้ให้เห็นปัญหาพื้นฐานในการจัดการฮาร์ดแวร์ ซึ่งยังคงอยู่และซับซ้อนมากขึ้นเมื่อบริษัทต่างๆ มีการเปลี่ยนแปลงรูปแบบการทำธุรกิจ เช่น การเพิ่มและลบตำแหน่ง และการทำงานแบบไฮบริด CIO จำเป็นต้องมีโซลูชันที่เหมาะกับเครือข่ายในอนาคตของบริษัท แทนที่จะพยายามเอาโซลูชันต่างๆ มายึดโยงกันที่จะช่วยแก้ปัญหาที่พวกเขาต้องการได้เพียงบางมุมเท่านั้น

Firewall แบบระบบคลาวด์เพื่อเครือข่ายแห่งอนาคต

Cloudflare นั้นกำลังช่วยเหลือลูกค้าในการสร้างอนาคตให้กับเครือข่ายบริษัทของพวกเขาโดยการรวมการเชื่อมต่อเครือข่ายให้เป็นหนึ่งเดียวและความปลอดภัยแบบ Zero Trust ลูกค้าที่ใช้งานแพลตฟอร์ม Cloudflare One และเลิกใช้ Firewall ฮาร์ดแวร์เพื่อการทำงานแบบระบบคลาวด์เต็มตัว ทำให้ทีมไอทีทำงานได้ง่ายขึ้นในการแก้ไขปัญหาของรุ่นก่อน

การเชื่อมโยงแหล่งข้อมูลหรือปลายทางด้วยการเชื่อมต่อที่ยืดหยุ่น

แทนที่จะบริหารจัดการอุปกรณ์แต่ละเครื่องสำหรับกรณีการใช้งานแต่ละแบบ การรับส่งข้อมูลทั่วทั้งเครือข่ายของคุณ ตั้งแต่ศูนย์ข้อมูล สำนักงาน ระบบคลาวด์ และอุปกรณ์ของผู้ใช้ นั้นควรที่จะดำเนินการผ่าน Firewall เดึยว Cloudflare One ให้คุณเชื่อมต่อได้ผ่านเครือข่าย Cloudflare พร้อมตัวเลือกในการเชื่อมต่ออย่างยืดหยุ่นที่หลากหลาย ทั้งในชั้นเครือข่าย (GRE หรือ IPsec Tunnel) หรือ ชั้น Application Tunnel การเชื่อมต่อโดยตรง, BYOIP และไคลเอนต์อุปกรณ์ การเชื่อมต่อกับ Cloudflare นั้นเท่ากับการเชื่อมโยงกับเครือข่ายทั่วโลกของเรา ซึ่งจะช่วยขจัดปัญหาที่มีกับฮาร์ดแวร์ทั้งแบบจริงหรือแบบเสมือน:

  • ไม่ต้องวางแผนขีดความสามารถอีกต่อไป: ขีดความสามารถของ Firewall คือขีดความสามารถของเครือข่ายทั่วโลกของ Cloudflare (ปัจจุบันคือ >100Tbp และกำลังเติบโตขึ้นเรื่อยๆ)

  • ไม่ต้องวางแผนตำแหน่งอีกต่อไป: สถาปัตยกรรม Anycast network ของ Cloudflare นั้นทำให้การรับส่งข้อมูลเชื่อมต่อกับตำแหน่งที่อยู่ใกล้กับแหล่งที่มาที่สุดโดยอัตโนมัติ ไม่ต้องเลือกสถานที่หรือกังวลว่าอุปกรณ์หลัก/สำรองของคุณจะอยู่ที่ไหนอีกต่อไป Redundancy และ Failover นั้นจะถูกสร้างขึ้นโดยค่าเริ่มต้นเอง

  • ไม่ต้องหยุดการทำงานเนื่องจากบำรุงรักษา: เช่นเดียวกับผลิตภัณฑ์อื่นๆ ของเรา สิ่งที่ปรับปรุงเพิ่มให้กับความสามารถ Firewall ของ Cloudflare คือการใช้งานได้อย่างต่อเนื่องทั่วทั้งเครือข่าย Edge ทั่วโลก

  • การป้องกัน DDoS ในตัว: ไม่ต้องกังวลเกี่ยวกับโจมตี DDoS ที่จะทำให้ Firewall ของคุณรับภาระหนัก เครือข่ายของ Cloudflare นั้นบล็อกการโจมตีที่อยู่ใกล้กับแหล่งโดยอัตโนมัติ และปล่อยให้เพียงการรับส่งข้อมูลที่สะอาดมุ่งไปสู่ปลายทางเท่านั้น

ปรับแต่งนโยบายที่ครอบคลุม ตั้งแต่การกรองแพ็คเก็ตไปจนถึง Zero Trust

นโยบาย Cloudflare One นั้นใช้เพื่อการรักษาความปลอดภัยและจัดเส้นทางการรับส่งข้อมูลทั่วเส้นทางติดต่อการรับข้อมูลต่างๆ ทั้งหมด โดยสามารถปรับแต่งนโยบายเหล่านี้ให้เหมาะสมได้โดยใช้องค์ประกอบที่มีอยู่เดิมใน NGFW แบบเดิม พร้อมไปกับการเพิ่มเติมเพื่อให้มีองค์ประกอบ Zero Trust เช่นกัน องค์ประกอบ Zero Trust นี้อาจมี IdP หรือผู้ให้บริการความปลอดภัยที่เอนด์พอยต์หนึ่งรายหรือมากกว่า

เมื่อมองให้ถี่ถ้วนที่ระดับที่ 3 จนถึง 5 ของรุ่น OSI นโยบายนั้นสามารถมีพื้นฐานจาก IP, พอร์ท, โปรโตคอล และองค์ประกอบอื่นๆ ทั้งในแบบที่ไม่มีสถานะและมีสถานะ องค์ประกอบเหล่านี้ยังสามารถใช้ในการสร้างเครือข่ายส่วนตัวบน Cloudflare ได้อีกด้วย เมื่อใช้ร่วมกับองค์ประกอบข้อมูลประจำตัวและอุปกรณ์ไคลเอนต์ Cloudflare

นอกจากนั้น เพื่อช่วยลดภาระงานของการจัดการรายการ IP ที่อนุญาต/บล็อก Cloudflare นั้นมีรายการที่จัดการที่สามารถใช้ได้กับทั้งนโยบายแบบมีสถานะและไม่มีสถานะ และยิ่งกว่านั้นในปลายทางที่ดีขึ้น คุณยังสามารถตรวจสอบแพ็คเก็ตเชิงลึกและเขียนตัวกรองแพ็คเก็ตแบบทำโปรแกรมได้เพื่อบังคับใช้โมเดลความปลอดภัยที่ดีและขัดขวางการโจมตีที่ใหญ่ที่สุด

ความอัจฉริยะของ Cloudflare นั้นมอบความสามารถให้กับ Application ของเราและประเภทของเนื้อหาสำหรับนโยบายเลเยอร์ที่ 7 ซึ่งใช้ในการปกป้องผู้ใช้จากภัยคุกคามความปลอดภัย ป้องกันการรั่วไหลของข้อมูล และตรวจสอบการใช้งานแหล่งทรัพยากรของบริษัทได้ ซึ่งเริ่มต้นที่ตัวแก้ไข DNS ที่ได้รับการป้องกัน ซึ่งสร้างขึ้นต่อจากบริการ 1.1.1.1. ชี้นำประสิทธิภาพสำหรับลูกค้า DNS ที่ได้รับการป้องกันนั้นทำให้ผู้ดูแลสามารถปกป้องผู้ใช้จากการทำให้เกิดหรือการแก้ไขปัญหาความเสี่ยงด้านความปลอดภัยที่ทราบอยู่แล้วหรืออาจเกิดขึ้นได้ เมื่อแก้ไขปัญหาโดเมนแล้ว ผู้ดูแลสามารถใช้นโยบาย HTTP ในการสกัดกั้น ตรวจสอบ และกรองการรับส่งข้อมูลของผู้ใช้ได้ และหากเว็บ Application นั้นเป็นแบบเซลฟ์โฮสต์หรือเป็น SaaS คุณสามารถปกป้องผู้ใช้ด้วยการใช้ยโยบาย Cloudflare Access ซึ่งจะทำหน้าที่เป็นพร็อกซีระบุตัวตนบนเว็บได้อีกด้วย

สุดท้ายแต่ไม่ท้ายสุด เพื่อป้องกันข้อมูลรั่วไหล ผู้ดูแลสามารถล็อคดาวน์การเข้าถึง Application HTTP ภายนอกโดยการใช้Remote Browser Isolation และในอีกไม่นานนี้ ผู้ดูแลจะสามารถบันทึกและกรองได้ว่าผู้ใช้สามารถสั่งการหรือดำเนินการสิ่งใดได้ผ่าน SSH Session

ลดความยุ่งยากในการบริหารจัดการนโยบาย: คลิกเดียวเพื่อเผยแพร่กฎไปทั่วทุกที่

Firewall ทั่วไปนั้นต้องมีการใช้งานนโยบายในอุปกรณ์แต่ละเครื่อง หรือการตั้งค่าและบำรุงรักษาอุปกรณ์เพื่อกระบวนการดังกล่าว แต่ในทางกลับกัน Cloudflare นั้นทำให้คุณสามารถจัดการนโยบายต่างๆ ทั่วทั้งเครือข่ายจาก Dashboard หรือ API ได้อย่างง่ายๆ หรือใช้ Terraform ในการใช้โครงสร้างพื้นฐานเป็นโค้ด เปลี่ยนการเผยแพร่ทั่ว Edge ในไม่กี่วินาที ทั้งหมดนี้ต้องขอบคุณเทคโนโลยี Quicksilver ผู้ใช้จะสามารถมองเห็นการรับส่งข้อมูลผ่าน Firewall ด้วยบันทึก ซึ่งสามารถกำหนดค่าได้แล้วตอนนี้

รวม Firewall มากมายเป็นกรณีการใช้งานเดียวในแพลตฟอร์มเดียว

Firewalls นั้นเป็นสิ่งจำเป็นในการปกป้องกระแสการรับส่งข้อมูลมากมายเพื่อตอบสนองต่อความจำเป็นด้านความปลอดภัยหลากหลายประการ ทั้งการบล็อกการรับส่งข้อมูลขาเข้าที่ไม่พึงประสงค์ การกรองการเชื่อมต่อขาออกเพื่อให้แน่ใจว่าพนักงานและ Application นั้นเชื่อมต่อกับแหล่งที่ปลอดภัยเท่านั้น และการตรวจสอบการรับส่งข้อมูลภายใน (“ตะวันออก/ตะวันตก”) เพื่อให้สมคุณสมบัติ Zero Trust ฮาร์ดแวร์ต่างๆ นั้นครอบคลุมการใช้งานในกรณีหนึ่งหรือหลากหลายกรณีในหลากหลายตำแหน่ง แต่เราคิดว่าการควบรวมสิ่งเหล่านี้ให้เป็นหนึ่งมากที่สุดเพื่อการใช้งานที่ง่ายขึ้นและสร้างนโยบาย Firewall ที่เป็นหนึ่งเดียวนั้นเป็นสิ่งที่เหมาะสม เรามาดูกรณีการใช้งานบางกรณีที่แต่เดิมเคยพึงพอใจกับ Firewall แบบฮาร์ดแวร์ และอธิบายว่าทำไมทีมไอทีถึงพึงพอใจใน Cloudflare One กันดีกว่า

ปกป้องสำนักงานสาขา

แต่เดิมแล้ว ทีมไอทีจะต้องใช้ฮาร์ดแวร์ Firewall อย่างน้อยหนึ่งฮาร์ดแวร์ต่อหนึ่งสำนักงาน (และมากกว่าหนึ่งฮาร์ดแวร์สำหรับระบบซ้ำซ้อน) ซึ่งจำเป็นจะต้องคาดการณ์จำนวนการรับส่งข้อมูลของแต่ละสาขา และสั่งออเดอร์ ติดตั้ง และบำรุงรักษาอุปกรณ์ดังกล่าว ในตอนนี้ ลูกค้าสามารถเชื่อมโยงการรับส่งข้อมูลของสำนักงานสาขาเข้ากับ Cloudflare ได้จากฮาร์ดแวร์ใดๆ ที่มีอยู่แต่เดิม หรือเราเตอร์ธรรมดาแบบใดก็ได้ที่รองรับ GRE หรือ IPsec และควบคุมนโยบายการกรองการรับส่งข้อมูลทั้งหมดจาก Dashboard ของ Cloudflare

ขั้นตอนที่ 1: สร้าง GRE หรือ IPsec Tunnel

ผู้ให้บริการฮาร์ดแวร์หลักๆ ส่วนใหญ่นั้นรองรับ GRE และ/หรือ IPsec เป็นวิธีการ Tunnel Cloudflare จะมอบ Anycast IP address ให้ใช้ในฐานะเอนด์พอยท์ของ Tunnel ในฝั่งของเรา และคุณจะต้องกำหนดค่า GRE หรือ IPsec Tunnel พื้นฐานโดยไม่ต้องใช้ขั้นตอนเพิ่มเติม โดย Anycast IP จะเชื่อมต่ออัตโนมัติกับศูนย์ข้อมูล Cloudflare

ขั้นตอนที่ 2: กำหนดกฎ Firewall ในเลเยอร์เครือข่าย

การรับส่งข้อมูล IP ทั้งหมดสามารถกรองได้ด้วย Magic Firewall ซึ่งมีความสามารถในการสร้างนโยบายจากอัตลักษณ์ของแพ็คเก็ต เช่น IP ต้นทางหรือปลายทาง หรือบิตฟิลด์ที่ตรงกัน และ Magic Firewall ยังคงทำงานร่วมกับ IP Lists และมีความสามารถที่นำสมัยอื่นๆ อย่างการกรองแพ็คเก็ตที่สามารถโปรแกรมได้อีกด้วย

Before: deploying hardware firewalls at every branch; managing different models and sometimes different vendors. After: traffic connected to global Anycast network; firewall policies deployed in one place propagate globally

ขั้นตอนที่ 3: อัปเกรดการรับส่งข้อมูลสำหรับกฎ Firewall ในระดับ Application

เมื่อการส่งข้อมูลดำเนินการผ่าน Magic Firewall การส่งข้อมูล TCP และ UDP นั้นสามารถ "อัปเกรด" ได้เพื่อการคัดกรองที่ละเอียดกว่าเดิมผ่านเกตเวย์ของ Cloudflare การอัปเกรดนี้จดปลดล็อกความสามารถในการกรองแบบครบถ้วน ที่รวมทั้งการรับรู้ Application และเนื้อหา ข้อมูลประจำตัว พร็อกซี่ SSH/HTTP และ DLPanku

Before: traffic through the data center needed to flow through expensive appliance(s) that could keep up with volume. After: traffic balanced across thousands of commodity servers; malicious traffic blocked close to its source

การป้องกันศูนย์ข้อมูลหรือ VPC ที่มีการรับส่งข้อมูลจำนวนมาก

Firewall ที่ใช้ในการประมวลผลข้อมูลที่สำนักงานใหญ่หรือศูนย์ข้อมูลที่มีการรับส่งข้อมูลจำนวนมากนั้นอาจเป็นส่วนที่ทำให้เกิดค่าใช้จ่ายมากที่สุดในงบประมาณของทีมไอที แต่เดิมแล้ว ศูนย์ข้อมูลนั้นมักได้รับการรักษาความปลอดภัยด้วยอุปกรณ์ที่เทอะทะ ซึ่งสามารถรองรับข้อมูลจำนวนมากได้โดยง่ายทำให้เกิดค่าใช้จ่ายที่มากขึ้น ด้วยโครงสร้างสถาปัตยกรรมของ Cloudflare เนื่องจากทุกเซิร์ฟเวอร์ในเครือข่ายของเราสามารถแบ่งปันภาระงานในการประมวลผลการรับส่งข้อมูลของลูกค้าร่วมกันได้ จึงไม่มีอุปกรณ์ใดอุปกรณ์หนึ่งที่กลายเป็นจุดคอขวดหรือต้องใช้องค์ประกอบพิเศษที่มีราคาแพง ลูกค้าสามารถเชื่อมต่อการรับส่งข้อมูลไปยัง Cloudflare ด้วย BYOIP ซึ่งเป็นกลไก Tunnel พื้นฐาน หรือการเชื่อมต่อกับเครือข่าย Cloudflare และประมวลผลการรับส่งข้อมูลได้สูงสุดเทระบิตต่อวินาทีผ่านกฎของ Firewall อย่างไม่มีสะดุด

Before: user traffic backhauled to firewall device over VPN; after: policy enforced at the edge location closest to the user.

การรักษาความปลอดภัยพนักงานที่เดินทางหรือทำงานแบบไฮบริด

เพื่อที่จะเชื่อมต่อกับทรัพยากรของบริษัทหรือเข้าถึงอินเทอร์เน็ตอย่างปลอดภัย ผู้ใช้ในสถาปัตยกรรมเครือข่ายแบบเดิมนั้นใช้การเชื่อมต่อ VPN จากอุปกรณ์ของพวกเขาในการเชื่อมต่อไปยังตำแหน่งกลางที่มี Firewall และเมื่อถึง Firewall การรับส่งข้อมูลนั้นจะถูกประมวลผลก่อนที่จะปล่อยผ่านไปยังปลายทาง สถาปัตยกรรมเช่นนี้จะทำให้มีการสูญเสียประสิทธิภาพ และถึงแม้ Firewall รูปแบบใหม่นั้นจะมีการควบคุมในระดับผู้ใช้ แต่ก็ไม่ได้หมายความว่าจะเป็นแบบ Zero Trust เสมอไป Cloudflare นั้นให้ลูกค้าสามารถใช้ไคลเอนต์ของอุปกรณ์เป็นสิ่งที่เชื่อมโยงไปสู่นโยบาย Zero Trust ได้ โปรดติดต่ออัปเดตเพิ่มเติมอีกครั้งในสัปดาห์นี้ว่าด้วยการใช้งานไคลเอนต์ในสเกล

มีอะไรใหม่บ้าง

เรารอไม่ไหวแล้วที่จะพัฒนาแพลตฟอร์มนี้ต่อไปเพื่อตอบรับกับกรณีการใช้งานใหม่ๆ เราได้ยินจากลูกค้าที่สนใจในฟังก์ชั่นการขยายเกตเวย์ NAT ด้วย Cloudflare One ผู้ที่ต้องการการวิเคราะห์ การรายงาน และประสบการณ์ของผู้ใช้ที่ยอดเยี่ยมกว่าเดิมให้ทั่วทั้งแง่ความสามารถของ Firewall ของเรา และผู้ที่ตื่นเต้นที่จะใช้งานฟีเจอร์ DLP อยากครบชุดกับการรับส่งข้อมูลของพวกเขาผ่านเครือข่ายของ Cloudflare การอัปเดตในด้านต่างๆ เหล่านี้และอีกมากมายจะมาพบกับคุณในไม่ช้า (ห้ามพลาด)

ความสามารถใหม่ของ Firewall ของ Cloudflare นั้นพร้อมให้บริการแก่ลูกค้าระดับองค์กรแล้ววันนี้ ดูข้อมูลเพิ่มเติมที่นี่และดูโปรแกรม Oahu เพื่อเรียนรู้ว่าคุณสามารถโยกย้ายจากการใช้ฮาร์ดแวร์ Firewall มาเป็น Zero Trust ได้อย่างไร หรือพูดคุยกับทีมบัญชีของคุณเพื่อเริ่มต้นเลยวันนี้

เราปกป้องเครือข่ายของทั้งองค์กร โดยช่วยลูกค้าสร้างแอปพลิเคชันรองรับผู้ใช้อินเทอร์เน็ตทั่วโลกได้อย่างมีประสิทธิภาพ เพิ่มความรวดเร็วของการใช้เว็บไซต์หรือแอปพลิเคชันอินเทอร์เน็ต จัดการการโจมตีแบบ–DDoS ป้องปรามบรรดาแฮกเกอร์ และช่วยเหลือคุณตลอดเส้นทางสู่ Zero Trust

เข้าไปที่ 1.1.1.1 จากอุปกรณ์ใดก็ได้เพื่อลองใช้แอปฟรีของเราที่จะช่วยให้อินเทอร์เน็ตของคุณเร็วขึ้นและปลอดภัยขึ้น

หากต้องการศึกษาข้อมูลเพิ่มเติมเกี่ยวกับภารกิจของเราเพื่อปรับปรุงการใช้งานอินเทอร์เน็ต เริ่มได้จากที่นี่ หากคุณกำลังมองหางานในสายงานใหม่ ลองดูตำแหน่งที่เราเปิดรับ
CIO WeekCloudflare OneFirewallCloudflare GatewayความปลอดภัยZero Trust

ติดตามบน X

Ankur Aggarwal|@Encore_Encore
Annika Garbers|@annikagarbers
Cloudflare|@cloudflare

โพสต์ที่เกี่ยวข้อง

14 พฤศจิกายน 2567 เวลา 14:00

What’s new in Cloudflare: Account Owned Tokens and Zaraz Automated Actions

Cloudflare customers can now create Account Owned Tokens , allowing more flexibility around access control for their Cloudflare services. Additionally, Zaraz Automation Actions streamlines event tracking and third-party tool integration. ...

23 ตุลาคม 2567 เวลา 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

09 ตุลาคม 2567 เวลา 23:00

What’s new in Cloudflare One: Digital Experience (DEX) monitoring notifications and seamless access to Cloudflare Gateway with China Express

This roundup blog post shares the latest new features and capabilities at Cloudflare. Learn more about new Digital Experience (DEX) monitoring notifications and seamless access to Cloudflare Gateway with China Express. ...