โลกของ Chief Information Officer ได้เปลี่ยนไป เครือข่ายองค์กรในปัจจุบันแตกต่างจากเมื่อห้าหรือสิบปีที่แล้ว และการเปลี่ยนแปลงเหล่านี้ได้สร้างช่องว่างในการมองเห็นและความปลอดภัย ทำให้เกิดค่าใช้จ่ายสูงและภาระในการดำเนินงาน และทำให้เครือข่ายเปราะบาง
เรามองโลกในแง่ดีว่า CIO มีอนาคตที่สดใสรออยู่ อินเทอร์เน็ตได้พัฒนาจากโครงการวิจัยไปสู่โครงสร้างพื้นฐานที่บริษัทต่าง ๆ พึ่งพา และเราเชื่อว่าอินเทอร์เน็ตที่ดีกว่าคือหนทางสู่การแก้ปัญหาที่ท้าทายที่สุดที่ CIO เผชิญอยู่ในปัจจุบัน Cloudflare กำลังช่วยสร้างอินเทอร์เน็ตที่เร็วขึ้น ปลอดภัยขึ้น เชื่อถือได้มากขึ้น เป็นส่วนตัวมากขึ้น และสามารถตั้งโปรแกรมได้ และด้วยการทำเช่นนี้ เราทำให้องค์กรต่าง ๆ สามารถสร้างเครือข่ายยุคใหม่บนเครือข่ายของเราได้
สัปดาห์นี้ เราจะสาธิตวิธีที่ Cloudflare One ซึ่งเป็น Zero Trust Network-as-a-Service ของเรา ช่วย CIO แปลงโฉมเครือข่ายองค์กรของตน นอกจากนี้ เราจะนำเสนอฟังก์ชันการทำงานใหม่ที่ขยายขอบเขตของแพลตฟอร์ม Cloudflare เพื่อตอบสนองความต้องการที่มีอยู่และที่เกิดขึ้นใหม่สำหรับ CIO แต่ก่อนจะลงลึกในรายละเอียด เราต้องการใช้เวลาส่วนหนึ่งอธิบายถึงวิสัยทัศน์ของเราที่มีต่อเครือข่ายองค์กรแห่งอนาคต เราหวังว่าคำอธิบายนี้จะช่วยไขข้อข้องใจเกี่ยวกับภาษาและคำย่อที่ใช้โดยผู้จำหน่ายและนักวิเคราะห์ที่ตระหนักถึงโอกาสในพื้นที่นี้ (ว่าแต่คำว่า Zero Trust Network-as-a-Service หมายถึงอะไรนะ) และกำหนดบริบทว่าแนวทางที่เป็นนวัตกรรมของเราตระหนักถึงวิสัยทัศน์สำหรับ CIO ที่แท้จริงในปัจจุบันได้ด้วยวิธีใด
ยุคที่ 1: ปราสาทและคูน้ำ
หลายปีที่ผ่านมา เครือข่ายองค์กรมีลักษณะดังนี้:
บริษัทต่าง ๆ ที่สร้างหรือเช่าพื้นที่ในศูนย์ข้อมูลที่ตั้งอยู่ภายในหรือใกล้กับที่ตั้งสำนักงานหลัก บริษัทเป็นแม่ข่ายแอปพลิเคชันทางธุรกิจ เช่น เซิร์ฟเวอร์อีเมล, ระบบ ERP, CRMs ฯลฯ บนเซิร์ฟเวอร์ในศูนย์ข้อมูลเหล่านี้ พนักงานในสำนักงานเชื่อมต่อกับแอปพลิเคชันเหล่านี้ผ่านเครือข่ายท้องถิ่น (LAN) หรือผ่านลิงก์เครือข่ายบริเวณกว้างส่วนตัว (WAN) จากที่ตั้งสาขา สแต็กของฮาร์ดแวร์ความปลอดภัย (เช่น ไฟร์วอลล์) ในศูนย์ข้อมูลแต่ละศูนย์บังคับใช้การรักษาความปลอดภัยสำหรับการรับส่งข้อมูลทั้งหมดที่ไหลเข้าและออก เมื่ออยู่ในเครือข่ายขององค์กร ผู้ใช้สามารถย้ายไปยังอุปกรณ์อื่นที่เชื่อมต่อและแอปพลิเคชันอื่นที่เป็นแม่ข่าย แต่รูปแบบพื้นฐานของการตรวจสอบเครือข่ายและการควบคุมความปลอดภัยทางกายภาพ เช่น ระบบบัตรพนักงานโดยทั่วไปจะป้องกันไม่ให้ผู้ใช้ที่ไม่น่าเชื่อถือเข้าถึงระบบได้
ตารางสรุปคะแนนสถาปัตยกรรมเครือข่าย: ยุคที่ 1
| ลักษณะ | คะแนน | รายละเอียด |
|---|---|---|
| ความปลอดภัย | ⭐⭐ | การรับส่งข้อมูลทั้งหมดไหลผ่านฮาร์ดแวร์ความปลอดภัยที่อยู่ภายในขอบเขต การเข้าถึงเครือข่ายถูกจำกัดด้วยการควบคุมทางกายภาพ การเคลื่อนไหวทำได้เพียงครั้งเดียวบนเครือข่าย |
| ประสิทธิภาพ | ⭐⭐⭐ | ผู้ใช้และแอปพลิเคชันส่วนใหญ่อยู่ภายในอาคารเดียวกันหรือเครือข่ายระดับภูมิภาคเดียวกัน |
| ความน่าเชื่อถือ | ⭐⭐ | ศูนย์ข้อมูลเฉพาะ ลิงก์ส่วนตัว และฮาร์ดแวร์ความปลอดภัยมีจุดเดียวที่ทำให้ล้มเหลวได้ (single points of failure) มีการเลือกข้อดีข้อเสียด้านต้นทุนในการซื้อลิงก์และฮาร์ดแวร์ของระบบซ้ำซ้อน |
| ค่าใช้จ่าย | ⭐⭐ | การเชื่อมต่อและฮาร์ดแวร์ส่วนตัวเป็นรายจ่ายประเภททุนที่มีต้นทุนสูง ทำให้การเข้าสู่ธุรกิจขนาดเล็กหรือธุรกิจใหม่ต้องเผชิญกับอุปสรรค อย่างไรก็ตาม จำเป็นต้องมีลิงก์/กล่องในจำนวนที่จำกัด (แลกกับความซ้ำซ้อน/ความน่าเชื่อถือ) ต้นทุนการดำเนินงานต่ำถึงปานกลางหลังจากการติดตั้งครั้งแรก |
| การมองเห็นได้ | ⭐⭐⭐ | การรับส่งข้อมูลทั้งหมดถูกกำหนดเส้นทางผ่านตำแหน่งศูนย์กลาง ดังนั้นจึงสามารถเข้าถึง NetFlow/การบันทึกแพ็กเก็ต และอื่น ๆ สำหรับโฟลว์ 100% |
| ความคล่องตัว | ⭐ | การเปลี่ยนแปลงเครือข่ายที่สำคัญมีระยะเวลารอคอยที่ยาวนาน |
| ความแม่นยำ | ⭐ | การควบคุมส่วนใหญ่นำมาใช้ที่เลเยอร์เครือข่าย (เช่น IP ACL) การดำเนินการ "อนุญาตให้ฝ่ายบุคคลเท่านั้นที่สามารถเข้าถึงข้อมูลการชำระเงินของพนักงาน" ดูเหมือนว่า: IP ในช่วง X อนุญาตให้เข้าถึง IP ในช่วง Y (และต้องใช้กระดาษคำนวณประกอบเพื่อติดตามการจัดสรร IP) |
แอปพลิเคชันและผู้ใช้ออกจากปราสาท
แล้วมีอะไรที่เปลี่ยนไปบ้าง คำตอบสั้น ๆ คืออินเทอร์เน็ต อินเทอร์เน็ตกลายเป็นสิ่งสำคัญในการสื่อสารและทำงานของผู้คนเร็วกว่าที่คาดการณ์กันไว้ อินเทอร์เน็ตทำให้เกิดการเปลี่ยนแปลงครั้งใหญ่ในวิธีที่องค์กรคิดเกี่ยวกับทรัพยากรการประมวลผล: หากคอมพิวเตอร์เครื่องหนึ่งสามารถสื่อสารกับคอมพิวเตอร์เครื่องอื่นได้ เหตุใดบริษัทต่าง ๆ จึงจำเป็นต้องเก็บเซิร์ฟเวอร์ไว้ในอาคารเดียวกับเดสก์ท็อปของพนักงาน และคำถามที่เข้มข้นกว่านั้นคือ เพราะอะไรบริษัทถึงต้องซื้อและบำรุงรักษาเซิร์ฟเวอร์ของตัวเองด้วย จากคำถามเหล่านี้ ระบบคลาวด์จึงถือกำเนิดขึ้นเพื่อให้บริษัทต่าง ๆ สามารถเช่าพื้นที่บนเซิร์ฟเวอร์อื่นและโฮสต์แอปพลิเคชันของตนได้ในขณะที่ลดค่าใช้จ่ายในการดำเนินงาน อุตสาหกรรมใหม่ทั้งหมดของ Software-as-a-Service ได้ทำให้สิ่งต่าง ๆ ง่ายขึ้นไปอีก โดยบริษัทต่าง ๆ สามารถสรุปคำถามเกี่ยวกับการวางแผนความจุ ความน่าเชื่อถือของเซิร์ฟเวอร์ และปัญหาด้านการปฏิบัติงานอื่น ๆ ได้อย่างสมบูรณ์
ยุคทองของการเปิดใช้งานอินเทอร์เน็ต ทั้งระบบคลาวด์และ SaaS ทุกสิ่งดูเข้าทีทีเดียว! แต่ปัญหาตกอยู่ที่ CIO จำนวนเครือข่ายองค์กรที่จัดตั้งขึ้นด้วยสถาปัตยกรรมแบบปราสาทและคูเมืองไม่ได้ลดลงตลอดหลายเดือนหรือหลายปีในช่วงการเปลี่ยนผ่านในวงกว้าง ดังนั้นองค์กรส่วนใหญ่จึงอยู่ในสถานะครึ่งครึ่งกลางกลาง ขาข้างหนึ่งยังย่ำอยู่ในโลกของศูนย์ข้อมูล ฮาร์ดแวร์ และ MPLS อย่างมั่นคง และการรับส่งข้อมูลไปยังแอปพลิเคชันยังคงต้องปลอดภัย ดังนั้นแม้ว่าจะไม่ได้ไปที่เซิร์ฟเวอร์ในศูนย์ข้อมูลของบริษัทแล้ว หลาย ๆ บริษัทก็ยังคงส่งไปที่นั่น (ส่งเที่ยวเดียวผ่านสายส่วนตัว) เพื่อไหลผ่านสแต็กกล่องไฟร์วอลล์ และฮาร์ดแวร์อื่น ๆ ก่อนปล่อยให้เป็นอิสระ
เมื่อมีการย้ายแอปพลิเคชันไปยังอินเทอร์เน็ตมากขึ้น ปริมาณการรับส่งข้อมูลที่ออกจากสาขาและส่งเที่ยวเดียวผ่านสาย MPLS ผ่านศูนย์ข้อมูลเพื่อให้ปลอดภัยก็ยังคงเพิ่มขึ้นอย่างต่อเนื่อง CIO จำนวนมากต้องประหลาดใจโดยไม่ต้องการเมื่อเห็นรายการเรียกเก็บแบนด์วิดท์ในหนึ่งเดือนหลังจากใช้ Office 365: ด้วยสถาปัตยกรรมเครือข่ายแบบดั้งเดิม การรับส่งข้อมูลบนอินเทอร์เน็ตที่เพิ่มมากขึ้นหมายถึงมีการรับส่งข้อมูลมากกว่าลิงก์ส่วนตัวที่มีราคาแพง
ดูเหมือนว่าการจัดการการเปลี่ยนแปลงครั้งใหญ่ครั้งแรกนี้ ซึ่งสร้างสถาปัตยกรรมแบบผสมที่ซับซ้อนและทำให้ต้นทุนเพิ่มขึ้นโดยไม่คาดคิด ยังไม่เพียงพอ เพราะ CIO มีอีกวิธีหนึ่งที่ต้องจัดการควบคู่กันไป อินเทอร์เน็ตเปลี่ยนเกมไม่เฉพาะสำหรับแอปพลิเคชัน แต่ยังรวมสำหรับผู้ใช้ด้วย การที่ไม่จำเป็นต้องติดตั้งเซิร์ฟเวอร์ไว้ภายในสำนักงานใหญ่ของบริษัทอีกต่อไป ทำให้พนักงานก็ไม่จำเป็นต้องอยู่บน LAN ของสำนักงานเพื่อเข้าถึงเครื่องมือของตนด้วย VPN ช่วยให้ผู้ที่ทำงานนอกสำนักงานสามารถเข้าถึงแอปพลิเคชันที่โฮสต์บนเครือข่ายของบริษัท (ไม่ว่าจะเป็นทางกายภาพหรือในระบบคลาวด์)
VPN เหล่านี้อนุญาตให้ผู้ใช้ระยะไกลเข้าถึงเครือข่ายองค์กร แต่ช้า ใช้งานยาก และสามารถรองรับผู้คนได้จำนวนจำกัด ก่อนที่ประสิทธิภาพจะลดลงจนถึงจุดที่ใช้งานไม่ได้ และจากมุมมองด้านความปลอดภัย VPN คือความน่าสะพรึง เพราะเมื่อผู้ใช้ใช้ VPN พวกเขาสามารถย้ายไปค้นหาและเข้าถึงทรัพยากรอื่น ๆ บนเครือข่ายขององค์กรได้ เป็นเรื่องยากมากสำหรับ CIO และ CISO ที่จะควบคุมแล็ปท็อปด้วยการเข้าถึง VPN ที่สามารถนำไปได้ทุกที่ ไม่ว่าจะเป็นสวนสาธารณะ ระบบขนส่งสาธารณะ บาร์ เทียบกับคอมพิวเตอร์ที่พนักงานติดป้ายชื่อนำมาใช้ในสภาพแวดล้อมสำนักงานแบบปราสาทและคูน้ำแบบดั้งเดิมได้สะดวกน้อยกว่า
ในปี 2020 COVID-19 ได้เปลี่ยนความกังวลที่เกิดขึ้นใหม่เหล่านี้เกี่ยวกับต้นทุน ประสิทธิภาพ และความปลอดภัย VPN ให้กลายเป็นความท้าทายที่มีความสำคัญต่อธุรกิจและส่งผลกระทบต่อธุรกิจ ความท้าทายจะคงเป็นเช่นนี้ต่อไปแม้ว่าพนักงานบางคนจะกลับเข้าไปทำงานในสำนักงานแล้ว
ยุคที่ 2: บุฟเฟต์ของโซลูชั่นเฉพาะจุด
ผู้จำหน่ายจำนวนมากได้ออกมาจัดการกับความท้าทายที่เกิดจากการเปลี่ยนแปลงครั้งสำคัญเหล่านี้ โดยมักจะเน้นที่กรณีการใช้งานเพียงกรณีเดียวหรือไม่กี่กรณี ผู้ให้บริการบางรายเสนออุปกรณ์ฮาร์ดแวร์เวอร์ชันเสมือนจริง ซึ่งจัดส่งผ่านแพลตฟอร์มระบบคลาวด์แบบอื่น ขณะที่ผู้ให้บริการบางกลุ่มมีแนวทางระบบคลาวด์ที่แก้ไขปัญหาเฉพาะ เช่นการเข้าถึงแอปพลิเคชันหรือการกรองเว็บ แต่การรวมโซลูชันเฉพาะจุดเข้าด้วยกันทำให้ CIO ปวดหัวยิ่งกว่าเดิม และผลิตภัณฑ์ส่วนใหญ่ที่มีจำหน่ายก็เน้นที่การรักษาความปลอดภัยเฉพาะข้อมูลประจำตัว อุปกรณ์ปลายทาง และแอปพลิเคชันโดยไม่ได้จัดการกับความปลอดภัยเครือข่ายอย่างแท้จริง
ช่องว่างของการมองเห็น
เมื่อเทียบกับโมเดลปราสาทและคูน้ำ ซึ่งการรับส่งข้อมูลทั้งหมดไหลผ่านสแต็กของอุปกรณ์ส่วนกลาง พบว่าทัศนวิสัยของเครือข่ายสมัยใหม่ค่อนข้างสะเปะสะปะเป็นส่วนใหญ่ ทีมไอทีจำเป็นต้องรวบรวมข้อมูลจากเครื่องมือต่าง ๆ เข้าด้วยกัน เพื่อทำความเข้าใจว่าเกิดอะไรขึ้นกับการรับส่งข้อมูล บ่อยครั้งที่ไม่สามารถประกอบเป็นภาพรวมที่สมบูรณ์ได้ แม้จะมีตัวช่วยในรูปของเครื่องมือต่าง ๆ รวมถึงแอปพลิเคชัน SIEM และ SOAR ที่รวบรวมข้อมูลจากแหล่งต่าง ๆ ทั้งหมดนี้ทำให้ประเด็นการแก้ไขปัญหามีความหนักหน่วง: คิวตั๋วความช่วยเหลือของฝ่ายไอทีมีแต่ความลึกลับที่ยังไม่คลี่คลาย คุณจัดการสิ่งที่คุณมองไม่เห็นได้อย่างไร
ช่องว่างด้านความปลอดภัย
สถาปัตยกรรมการปะติดปะต่อแต่ละชิ้นส่วนเข้าด้วยกันนี้ ควบคู่ไปกับช่องว่างการมองเห็นที่เกิดขึ้น ยังสร้างความท้าทายด้านความปลอดภัยอีกด้วย แนวคิดของ "Shadow IT" เกิดขึ้นเพื่ออธิบายบริการที่พนักงานนำมาใช้และใช้งานโดยไม่ได้รับอนุญาตอย่างชัดแจ้งหรือรวมเข้ากับกระแสการรับส่งข้อมูลของเครือข่ายองค์กรและนโยบายความปลอดภัย ข้อยกเว้นของนโยบายการกรองสำหรับผู้ใช้เฉพาะรายและกรณีการใช้งานได้กลายเป็นเรื่องที่ไม่สามารถจัดการได้ และลูกค้าของเราได้อธิบายว่าเมื่อพูดถึงเครือข่ายของตนเองแล้ว มันเป็นความรู้สึกเหมือนเป็น “แดนเถื่อน” เนื่องจากการใช้อินเทอร์เน็ตเพิ่มขึ้นเร็วกว่าที่ใคร ๆ คาดคิด และไม่ใช่แค่ช่องว่างในการกรองที่ทำให้ CIO หวาดกลัว เพราะการแพร่ขยายของ Shadow IT หมายความว่าข้อมูลของบริษัทสามารถคงอยู่และตอนนี้ก็ปรากฏอยู่ในสถานที่ที่ไม่มีการจัดการจำนวนมากบนอินเทอร์เน็ต
ประสบการณ์ผู้ใช้ที่ไม่ได้มาตรฐาน
การจัดการส่งผ่านการรับส่งข้อมูลผ่านตำแหน่งศูนย์กลางเพื่อบังคับใช้การรักษาความปลอดภัยทำให้เกิดเวลาหน่วงสำหรับผู้ใช้ปลายทาง ที่จะเพิ่มขึ้นเมื่อพวกเขาทำงานในสถานที่ที่ห่างไกลจากสำนักงานเดิมของตน และถึงแม้ว่าอินเทอร์เน็ตจะมาไกลมาก แต่มันก็ยังเป็นสิ่งที่คาดเดาไม่ได้และไม่น่าเชื่อถือโดยพื้นฐานของมัน ทำให้ทีมไอทีต้องพยายามอย่างหนัก เพื่อให้มั่นใจว่าอินเทอร์เน็ตมีความพร้อมใช้งานและแอปมีประสิทธิภาพเหมาะกับผู้ใช้ที่มีปัจจัยหลายอย่าง (แม้กระทั่ง Wi-Fi ร้านกาแฟ) ที่อยู่นอกเหนือการควบคุม
ค่าใช้จ่ายสูง (และเพิ่มขึ้นเรื่อยๆ)
CIO ยังคงจ่ายเงินสำหรับลิงก์ MPLS และฮาร์ดแวร์เพื่อบังคับใช้การรักษาความปลอดภัยโดยรวมสำหรับการรับส่งข้อมูลให้ได้มากที่สุด แต่ตอนนี้พวกเขาได้ลงทุนเพิ่มเติมกับโซลูชันเฉพาะจุดเพื่อรักษาความปลอดภัยเครือข่ายที่ซับซ้อนมากขึ้น และเนื่องจากการมองเห็นแบบกระจัดกระจายและช่องว่างด้านความปลอดภัย ประกอบกับความท้าทายด้านประสิทธิภาพและผู้ใช้ต่างคาดหวังถึงคุณภาพที่สูงขึ้นเรื่อย ๆ ค่าใช้จ่ายเพื่อสนับสนุนด้านไอทีจึงเพิ่มขึ้น
ความเปราะบางของเครือข่าย
ความซับซ้อนทั้งหมดนี้หมายความว่าการเปลี่ยนแปลงอาจเป็นเรื่องยากจริง ๆ เมื่อดูฝั่งเดิมของสถาปัตยกรรมแบบผสมในปัจจุบันจะพบว่า การจัดเตรียมสาย MPLS และการปรับใช้ฮาร์ดแวร์ความปลอดภัยใหม่มีระยะเวลารอคอยนาน ซึ่งได้รับผลกระทบมากขึ้นจากปัญหาล่าสุดในซัพพลายเชนของฮาร์ดแวร์ทั่วโลก และด้วยการผสมผสานของโซลูชันเฉพาะจุดที่จะนำมาใช้จัดการด้านต่าง ๆ ของเครือข่าย พบว่า การเปลี่ยนแปลงเครื่องมือหนึ่งอาจมีผลที่ตามมาโดยไม่ได้ตั้งใจกับอีกเครื่องมือหนึ่งได้ ผลกระทบเหล่านี้ที่พบภายในแผนกไอทีมักเป็นปัญหาแบบคอขวดสำหรับการเปลี่ยนแปลงทางธุรกิจ ซึ่งจำกัดความยืดหยุ่นขององค์กรในการปรับตัวให้เข้ากับอัตราการเปลี่ยนแปลงที่เร่งให้เร็วขึ้น
ตารางสรุปคะแนนสถาปัตยกรรมเครือข่าย: ยุคที่ 2
| ลักษณะ | คะแนน | รายละเอียด |
|---|---|---|
| ความปลอดภัย | ⭐ | กระแสการรับส่งข้อมูลจำนวนมากถูกส่งออกไปนอกฮาร์ดแวร์ความปลอดภัยในขอบเขต โดย Shadow IT นั้นแพร่กระจาย และการควบคุมที่มีอยู่นั้นบังคับใช้อย่างไม่สอดคล้องกันและใช้เครื่องมือหลายอย่างรวมกัน |
| ประสิทธิภาพ | ⭐ | การรับส่งข้อมูลแบบทางเดียวผ่านตำแหน่งศูนย์กลางทำให้เกิดเวลาหน่วงเมื่อผู้ใช้ขยับออกไปไกลขึ้น ขณะที่ VPN และเครื่องมือรักษาความปลอดภัยจำนวนมากสร้างต้นทุนในการประมวลผลและ hops เครือข่ายเพิ่มเติม |
| ความน่าเชื่อถือ | ⭐⭐ | ความซ้ำซ้อน/การแลกเปลี่ยนต้นทุนจากยุคที่ 1 ยังคงมีอยู่ การนำระบบคลาวด์บางส่วนมาใช้ทำให้เกิดความยืดหยุ่นเพิ่มเติม แต่การใช้อินเทอร์เน็ตที่ไม่น่าเชื่อถือที่เพิ่มขึ้นทำให้เกิดความท้าทายใหม่ ๆ |
| ค่าใช้จ่าย | ⭐ | ค่าใช้จ่ายจากสถาปัตยกรรมยุคที่ 1 ยังคงอยู่ (มีบริษัทเพียงไม่กี่แห่งที่เลิกใช้งาน MPLS/ฮาร์ดแวร์ความปลอดภัยได้สำเร็จ) แต่ต้นทุนใหม่ของเครื่องมือเพิ่มเติมก็เพิ่มขึ้น และค่าใช้จ่ายในการดำเนินงานก็สูงขึ้น |
| การมองเห็น | ⭐ | กระแสการรับส่งข้อมูลและการมองเห็นภาพรวมเป็นไปอย่างสะเปะสะปะ ฝ่ายไอทีรวบรวมภาพที่กระจัดกระจายที่อยู่ระหว่างเครื่องมือต่าง ๆ เข้าด้วยกัน |
| ความคล่องตัว | ⭐⭐ | การเปลี่ยนแปลงบางอย่างทำได้ง่ายขึ้นสำหรับแง่มุมต่าง ๆ ของธุรกิจที่ย้ายไปยังระบบคลาวด์ ขณะที่การเปลี่ยนแปลงในบางลักษณะส่งผลกระทบมากขึ้นเนื่องจากเครื่องมือเพิ่มเติมทำให้เกิดความซับซ้อน |
| ความแม่นยำ | ⭐⭐ | การผสมผสานของการควบคุมที่ใช้กับเลเยอร์เครือข่ายและเลเยอร์แอปพลิเคชัน การดำเนินการ "อนุญาตให้ฝ่ายบุคคลเท่านั้นที่สามารถเข้าถึงข้อมูลการชำระเงินของพนักงาน" ดูเหมือนว่า: ผู้ใช้ในกลุ่ม X ได้รับอนุญาตให้เข้าถึง IP ในช่วง Y (และกระดาษคำนวณที่มาพร้อมกันเพื่อติดตามการจัดสรร IP) |
โดยสรุป ขอเน้นย้ำจุดที่เราเริ่มต้นว่า CIO ยุคใหม่ทำงานหนักอย่างแท้จริง แต่เราเชื่อว่ามีอนาคตที่สดใสกว่ารอท่าอยู่
ยุคที่ 3: อินเทอร์เน็ตในฐานะเครือข่ายองค์กรใหม่
เครือข่ายองค์กรยุคต่อไปจะถูกสร้างขึ้นบนอินเทอร์เน็ต การเปลี่ยนแปลงนี้กำลังดำเนินไปด้วยดี แต่ CIO ต้องการแพลตฟอร์มที่สามารถช่วยให้พวกเขาเข้าถึงอินเทอร์เน็ตที่ดีกว่า อินเทอร์เน็ตซึ่งปลอดภัยกว่า เร็วกว่า เชื่อถือได้มากกว่า และรักษาความเป็นส่วนตัวของผู้ใช้ในขณะที่สำรวจกฎข้อบังคับด้านข้อมูลทั่วโลกที่ซับซ้อน
การรักษาความปลอดภัยแบบ Zero Trust ในระดับอินเทอร์เน็ต
CIO ลังเลที่จะยกเลิกรูปแบบการเชื่อมต่อส่วนตัวที่มีราคาแพงเพราะรู้สึกปลอดภัยกว่าอินเทอร์เน็ตสาธารณะ แต่แนวทาง Zero Trust ที่เผยแพร่บนอินเทอร์เน็ตนั้นช่วยเพิ่มความปลอดภัยได้อย่างมากเมื่อเทียบกับโมเดลปราสาทและคูน้ำแบบดั้งเดิม หรือการรวบรวมอุปกรณ์และซอฟต์แวร์แบบใช้เฉพาะจุดร่วมกันเพื่อสร้าง "การป้องกันในเชิงลึก" แทนที่จะเชื่อถือผู้ใช้เมื่ออยู่ในเครือข่ายขององค์กรและอนุญาตให้มีการเคลื่อนไหว แต่แนวคิด Zero Trust จะกำหนดการตรวจสอบสิทธิ์และอนุญาตทุกคำขอที่เข้า ออกจาก และที่อยู่ระหว่างเอนทิตีในเครือข่ายของคุณ เพื่อให้มั่นใจว่าผู้เยี่ยมชมจะเข้าถึงได้เฉพาะแอปพลิเคชันที่ได้รับอนุญาตให้เข้าถึงเท่านั้น และการส่งมอบการตรวจสอบสิทธิ์นี้และการบังคับใช้นโยบายจากตำแหน่งที่อยู่ใกล้กับผู้ใช้ช่วยเพิ่มประสิทธิภาพได้มาก แทนที่จะบังคับให้การรับส่งข้อมูลต้องเดินทางแบบเที่ยวเดียวผ่านศูนย์ข้อมูลส่วนกลางหรือผ่านสแต็กเครื่องมือรักษาความปลอดภัยจำนวนมาก
หากต้องการเปิดใช้งานโมเดลใหม่นี้ CIO จำเป็นต้องมีแพลตฟอร์มที่สามารถ:
เชื่อมต่อทุกเอนทิตีในเครือข่ายองค์กร
การเชื่อมต่อจะต้องไม่ใช่แค่เป็นไปได้เท่านั้น แต่ยังต้องเชื่อมต่อผู้ใช้ แอปพลิเคชัน สำนักงาน ศูนย์ข้อมูล และคุณสมบัติของระบบคลาวด์ได้อย่างง่ายดายและเชื่อถือได้ด้วยความยืดหยุ่นสูงสุดด้วย ซึ่งหมายความว่า การเชื่อมต่อดังกล่าวรองรับฮาร์ดแวร์และวิธีการเชื่อมต่อที่ลูกค้ามีในปัจจุบัน ตั้งแต่การเปิดใช้งานไคลเอนต์มือถือเพื่อการใช้งานร่วมกับระบบปฏิบัติการเวอร์ชันต่าง ๆ ไปจนถึงความเข้ากันได้กับโปรโตคอลทันเนลมาตรฐานและการจับคู่เครือข่ายเข้ากับผู้ให้บริการโทรคมนาคมทั่วโลก
ใช้นโยบายความปลอดภัยที่ครอบคลุม
CIO ต้องการโซลูชันที่ผสานรวมกับข้อมูลประจำตัวและผู้ให้บริการรักษาความปลอดภัยปลายทางที่มีอยู่ได้อย่างเหนียวแน่น และให้การป้องกันแบบ Zero Trust ในทุกเลเยอร์ของสแต็ก OSI ในทุกการรับส่งข้อมูลภายในเครือข่ายของตน ซึ่งรวมถึงการเข้ารหัสแบบ end-to-end, การแยกเซ็กเมนต์ขนาดเล็ก การกรองและการตรวจสอบที่ซับซ้อนและแม่นยำสำหรับการรับส่งข้อมูลระหว่างเอนทิตีในเครือข่าย ("ตะวันออก/ตะวันตก") และไปยัง/จากอินเทอร์เน็ต ("เหนือ/ใต้") และการป้องกันจากภัยคุกคามอื่น ๆ เช่น DDoS และการโจมตีของบอท
แสดงผลเป็นภาพและให้ข้อมูลการรับส่งข้อมูลในเชิงลึก
ในระดับพื้นฐาน CIO จำเป็นต้องเข้าใจภาพรวมของการรับส่งข้อมูล: ใครกำลังเข้าถึงทรัพยากรใดและประสิทธิภาพ (เวลาหน่วง ความล่าช้า การสูญเสียแพ็กเก็ต) เป็นอย่างไร แต่นอกเหนือจากการให้ข้อมูลที่จำเป็นในการตอบคำถามพื้นฐานเกี่ยวกับกระแสการรับส่งข้อมูลและการเข้าถึงของผู้ใช้แล้ว เครื่องมือที่ช่วยให้มองเห็นภาพรวมรุ่นใหม่ควรช่วยให้ผู้ใช้เข้าใจแนวโน้มและเน้นย้ำถึงปัญหาที่อาจเกิดขึ้นในเชิงรุก และควรมีระบบควบคุมที่ใช้งานง่ายเพื่อตอบสนองต่อปัญหาที่อาจเกิดขึ้นเหล่านั้น ลองนึกภาพการลงชื่อเข้าใช้แดชบอร์ดเดียวที่ให้มุมมองที่ครอบคลุมเกี่ยวกับพื้นผิวการโจมตีของเครือข่าย กิจกรรมผู้ใช้ และประสิทธิภาพ/สภาพของการรับส่งข้อมูล การรับคำแนะนำที่กำหนดเองเพื่อเพิ่มความปลอดภัยและเพิ่มประสิทธิภาพการทำงาน และสามารถดำเนินการตามคำแนะนำเหล่านั้นได้ด้วยคลิกเดียว
ประสบการณ์ที่มีคุณภาพดีขึ้นทุกที่ในโลก
การวิพากษ์วิจารณ์อินเทอร์เน็ตสาธารณะได้อย่างคลาสสิกมากขึ้น: ช้า ไม่น่าเชื่อถือ และอยู่ภายใต้กฎระเบียบที่ซับซ้อนมากขึ้นเรื่อย ๆ ซึ่งทำให้การปฏิบัติงานบนอินเทอร์เน็ตในฐานะ CIO ของบริษัทที่กระจายไปทั่วโลกมีความท้าทายเพิ่มขึ้นทบทวี ความต้องการของ CIO ประจำแพลตฟอร์มจะช่วยให้ทำการตัดสินใจได้อย่างชาญฉลาดเพื่อเพิ่มประสิทธิภาพและรับประกันถึงความน่าเชื่อถือ ในขณะเดียวกันก็เพิ่มความยืดหยุ่นเพื่อเอื้อต่อการปฏิบัติตามข้อกำหนด
รวดเร็ว ในรูปแบบที่มีความหมายที่สุด
วิธีการดั้งเดิมในการวัดประสิทธิภาพของเครือข่าย เช่น การทดสอบความเร็ว ไม่ได้สื่อให้เห็นถึงเรื่องราวทั้งหมดเกี่ยวกับประสบการณ์ของผู้ใช้จริง แพลตฟอร์มยุคใหม่จะวัดประสิทธิภาพแบบองค์รวมและพิจารณาปัจจัยเฉพาะของแอปพลิเคชัน ควบคู่ไปกับการใช้ข้อมูลแบบเรียลไทม์เกี่ยวกับสถานภาพอินเทอร์เน็ต เพื่อเพิ่มประสิทธิภาพการรับส่งข้อมูลแบบ end-to-end
เชื่อถือได้ แม้จะมีปัจจัยที่อยู่เหนือการควบคุมของคุณ
เวลาหยุดทำงานตามกำหนดการเป็นเรื่องเริดหรูในอดีต: CIO ในปัจจุบันจำเป็นต้องดูแลเครือข่าย 24x7 พร้อมเวลาให้บริการและการเข้าถึงที่ใกล้เคียง 100% ให้ได้มากที่สุดจากทุกที่ทั่วโลก CIO ต้องการผู้ให้บริการที่ยืดหยุ่นในบริการของตนเอง แต่ยังมีความสามารถในการจัดการการโจมตีขนาดใหญ่ได้ด้วยความองอาจและมีความยืดหยุ่นในการกำหนดเส้นทางแก้ไขปัญหาร่วมกับผู้ให้บริการตัวกลาง ทีมเครือข่ายไม่ควรต้องดำเนินการใด ๆ หากเกิดการหยุดทำงานของศูนย์ข้อมูลที่อยู่ในแผนหรืออยู่นอกแผนของผู้ให้บริการ เช่น จำเป็นต้องกำหนดค่าการเชื่อมต่อศูนย์ข้อมูลใหม่ด้วยตนเอง และน่าจะสามารตระเตรียมสถานที่ใหม่ได้ตลอดเวลาโดยไม่ต้องรอให้ผู้จำหน่ายจัดเตรียมความจุเพิ่มเติมไว้ใกล้กับเครือข่ายของตน
แปลเป็นภาษาท้องถิ่นและสอดคล้องกับระเบียบข้อบังคับด้านความเป็นส่วนตัวของข้อมูล
กฎหมายอธิปไตยของข้อมูลมีพัฒนาการรุดหน้าอย่างรวดเร็ว CIO จำเป็นต้องเดิมพันแพลตฟอร์มที่จะให้ความยืดหยุ่นในการปรับตัวเมื่อมีการเปิดตัวการป้องกันใหม่ทั่วโลก ด้วยอินเทอร์เฟซเดียวที่จะใช้จัดการข้อมูลของตน (ไม่ใช่โซลูชันที่อยู่อย่างกระจัดกระจายในภูมิภาคต่างๆ)
กระบวนทัศน์ที่เปลี่ยนแปลงได้ตั้งแต่วันนี้
การเปลี่ยนแปลงเหล่านี้ดูรุนแรงและน่าตื่นเต้น แต่ก็ให้ความรู้แนวการข่มขู่ด้วย ยากที่จะดำเนินการตามการเปลี่ยนแปลงครั้งใหญ่นี้ใช่ไหม หรืออย่างน้อยก็อาจใช้เวลานานโขที่จัดการได้ลำบากภายในเครือข่ายสมัยใหม่ที่ซับซ้อน ซึ่งลูกค้าของเราได้พิสูจน์แล้วว่าไม่จำเป็นต้องเป็นอย่างนั้น
การเปลี่ยนแปลงที่มีความหมายเริ่มต้นด้วยการโฟลว์เพียงครั้งเดียว
แพลตฟอร์มยุคที่ 3 ควรให้ความสำคัญแรกสุดกับความสะดวกในการใช้งาน บริษัทต่าง ๆ ควรสามารถเริ่มต้นเส้นทาง Zero Trust ด้วยโฟลว์การรับส่งข้อมูลเพียงช่องทางเดียวและเพิ่มโมเมนตัมจากจุดนั้น มีมุมเริ่มต้นที่เป็นไปได้มากมาย แต่เราคิดว่าหนึ่งในวิธีที่ง่ายที่สุดคือการกำหนดค่าการเข้าถึง Zero Trust แบบไม่มีไคลเอนต์สำหรับแอปพลิเคชันเดียว โดยทุกคน ตั้งแต่องค์กรขนาดเล็กที่สุดไปจนถึงองค์กรใหญ่ที่สุด ควรสามารถเลือกแอปและพิสูจน์คุณค่าของแนวทางนี้ได้ภายในไม่กี่นาที
สะพานเชื่อมระหว่างโลกเก่าและโลกใหม่
อาจต้องใช้เวลาเพื่อเปลี่ยนจากการควบคุมการเข้าถึงระดับเครือข่าย (IP ACL, VPN เป็นต้น) เป็นแอปพลิเคชันและการควบคุมระดับผู้ใช้เพื่อบังคับใช้ Zero Trust ทั่วทั้งเครือข่ายของคุณ CIO ควรเลือกแพลตฟอร์มที่ทำให้ง่ายต่อการโยกย้ายโครงสร้างพื้นฐานเมื่อเวลาผ่านไปด้วยการอนุญาตให้:
- มีการอัปเกรดจากสถาปัตยกรรมระดับ IP เป็นสถาปัตยกรรมระดับแอปพลิเคชันเมื่อเวลาผ่านไป: เริ่มต้นด้วยการเชื่อมต่อกับ GRE หรือ IPsec tunnel จากนั้นใช้การค้นหาบริการอัตโนมัติเพื่อระบุแอปพลิเคชันที่มีลำดับความสำคัญสูงเพื่อกำหนดเป้าหมายสำหรับการเชื่อมต่อที่ละเอียดยิ่งขึ้น
- มีการอัปเกรดจากนโยบายที่เปิดกว้างมากขึ้นเป็นนโยบายที่เข้มงวดมากขึ้นเมื่อเวลาผ่านไป: เริ่มต้นด้วยกฎความปลอดภัยที่สะท้อนสถาปัตยกรรมแบบเดิมของคุณ จากนั้นใช้ประโยชน์จากการวิเคราะห์และไฟล์บันทึกเพื่อใช้นโยบายที่เข้มงวดมากขึ้นเมื่อคุณเห็นได้ว่าใครกำลังเข้าถึงอะไร
- ทำการเปลี่ยนแปลงให้รวดเร็วและง่ายดาย: ออกแบบเครือข่ายยุคใหม่ของคุณโดยใช้อินเทอร์เฟซ SaaS ที่ทันสมัย
ตารางสรุปคะแนนสถาปัตยกรรมเครือข่าย: ยุคที่ 3
| ลักษณะ | คะแนน | รายละเอียด |
|---|---|---|
| ความปลอดภัย | ⭐⭐⭐ | มีการควบคุมความปลอดภัยอย่างละเอียดในทุกกระแสการรับส่งข้อมูล การโจมตีถูกปิดกั้นใกล้กับแหล่งที่มา เทคโนโลยีต่าง ๆ เช่น การแยกเบราว์เซอร์จะป้องกันไม่ให้โค้ดที่เป็นอันตรายออกจากอุปกรณ์ของผู้ใช้ทั้งหมด |
| ประสิทธิภาพ | ⭐⭐⭐ | มีการบังคับใช้การควบคุมความปลอดภัยในตำแหน่งที่ใกล้กับผู้ใช้แต่ละคนมากที่สุด การตัดสินใจกำหนดเส้นทางที่ชาญฉลาดช่วยให้มั่นใจถึงประสิทธิภาพสูงสุดของการรับส่งข้อมูลทุกประเภท |
| ความน่าเชื่อถือ | ⭐⭐⭐ | แพลตฟอร์มนี้ใช้ประโยชน์จากโครงสร้างพื้นฐานที่ซ้ำซ้อนเพื่อให้แน่ใจว่ามีความพร้อมใช้งาน 100% ไม่มีอุปกรณ์ใดรับผิดชอบในการยึดตามนโยบายและไม่มีลิงก์ใดรับผิดชอบการรับส่งข้อมูลที่สำคัญทั้งหมด |
| ค่าใช้จ่าย | ⭐⭐ | ต้นทุนรวมในการเป็นเจ้าของลดลงโดยการรวมฟังก์ชันต่าง ๆ เข้าด้วยกัน |
| การมองเห็น | ⭐⭐⭐ | ข้อมูลจากเซิร์ฟเวอร์ Edge จะถูกรวบรวม ประมวลผล และนำเสนอพร้อมกับข้อมูลเชิงลึกและการควบคุมเพื่อดำเนินการ |
| ความคล่องตัว | ⭐⭐⭐ | การเปลี่ยนแปลงการกำหนดค่าเครือข่ายหรือนโยบายเครือข่ายทำได้ง่ายเพียงแค่กดปุ่มในแดชบอร์ด เปลี่ยนแปลงการจัดสรรในทั่วโลกภายในไม่กี่วินาที |
| ความแม่นยำ | ⭐⭐⭐ | มีการใช้การควบคุมที่เลเยอร์ผู้ใช้และเลเยอร์แอปพลิเคชัน การดำเนินการ "อนุญาตให้ฝ่ายบุคคลเท่านั้นที่สามารถเข้าถึงข้อมูลการชำระเงินของพนักงาน" ดูเหมือนว่า: ผู้ใช้จากฝ่ายบุคคลบนอุปกรณ์ที่เชื่อถือได้ได้รับอนุญาตให้เข้าถึงข้อมูลการชำระเงินของพนักงาน |
Cloudflare One เป็นแพลตฟอร์มแบบรวมศูนย์ที่สร้างขึ้นตั้งแต่เริ่มต้นสำหรับเครือข่ายยุคใหม่
เราจะทำตามวิสัยทัศน์ที่ทะเยอทะยานนี้ได้หาก CIO มีแพลตฟอร์มที่สามารถรวม Zero Trust และบริการเครือข่ายที่ทำงานบนเครือข่ายระดับโลกเข้าไว้ด้วยกัน เราเชื่อว่า Cloudflare One เป็นแพลตฟอร์มแรกที่ช่วยให้ CIO สามารถบรรลุวิสัยทัศน์นี้ได้อย่างสมบูรณ์แบบ
เราสร้าง Cloudflare One ซึ่งเป็นแพลตฟอร์มเครือข่าย Zero Trust ที่รวมกันเป็นบริการบนเครือข่ายระดับโลกในซอฟต์แวร์บนฮาร์ดแวร์สินค้าโภคภัณฑ์ เราเริ่มต้นการเดินทางครั้งนี้เพื่อตอบสนองความต้องการของทีมไอทีและความปลอดภัยของเราเอง และขยายขีดความสามารถให้กับลูกค้าของเราเมื่อเวลาผ่านไป เนื่องจากเราตระหนักว่าพวกเขาสามารถช่วยบริษัทอื่น ๆ เปลี่ยนแปลงเครือข่ายของตนเองได้ บริการ Cloudflare ทั้งหมดทำงานบนทุกเซิร์ฟเวอร์ในกว่า 250 เมืองด้วยความจุมากกว่า 100 Tbps เพื่อให้ความครอบคลุมและประสิทธิภาพที่ไม่เคยมีมาก่อน บริการรักษาความปลอดภัยของเราเองก็เร็วขึ้นเช่นกัน กล่าวคือ การกรอง DNS ของเราทำงานบน DNS Resolver สาธารณะที่เร็วที่สุดในโลก และการตรวจสอบตัวตนทำงานบน Cloudflare Workers ซึ่งเป็นแพลตฟอร์มไร้เซิร์ฟเวอร์ที่เร็วที่สุด
เราใช้ประโยชน์จากข้อมูลเชิงลึกจากคำขอมากกว่า 28 ล้านรายการต่อวินาที และการเชื่อมต่อมากกว่า 10,000 รายการเพื่อตัดสินใจด้านความปลอดภัยและประสิทธิภาพที่ชาญฉลาดยิ่งขึ้นสำหรับลูกค้าของเราทุกคน เราให้บริการทั้งการเชื่อมต่อเครือข่ายและการรักษาความปลอดภัยในแพลตฟอร์มเดียวด้วยการตรวจสอบแบบครั้งเดียวและการจัดการแบบระนาบเดียวเพื่อเติมเต็มช่องว่างในการมองเห็นภาพรวม และมอบคุณค่าที่มากกว่าผลรวมของโซลูชันจุดเพียงอย่างเดียว เรากำลังเปิดทางให้ CIO เข้าถึงเครือข่ายอัจฉริยะที่กระจายอยู่ทั่วโลกของเราอย่างรวดเร็วและเพื่อใช้เป็นส่วนเสริมของเครือข่ายเหล่านี้
สัปดาห์นี้ เราจะสรุปและขยาย Cloudflare One ด้วยตัวอย่างจากลูกค้าจริงที่กำลังสร้างเครือข่ายยุคใหม่บน Cloudflare เราจะเจาะลึกถึงความสามารถที่มีอยู่ในปัจจุบันและวิธีที่พวกเขากำลังแก้ปัญหาที่นำมาใช้ในยุคที่ 2 ตลอดจนแนะนำผลิตภัณฑ์ใหม่ ๆ ที่จะทำให้ชีวิตของ CIO ง่ายขึ้นโดยกำจัดค่าใช้จ่ายและความซับซ้อนของฮาร์ดแวร์รุ่นเก่า เพิ่มความปลอดภัยให้กับเครือข่ายของพวกเขาและจากหลาย ๆ มุม และทำให้การรับส่งข้อมูลทั้งหมดถูกส่งผ่านเครือข่ายที่รวดเร็วอยู่แล้วของเราให้เร็วยิ่งขึ้นไปอีก
เรารู้สึกตื่นเต้นมากที่ได้แบ่งปันวิธีที่เราสร้างอนาคตของเครือข่ายองค์กรตามแบบที่ฝันให้เป็นจริงได้ เราหวังว่า CIO (และทุกคน!) ที่ได้อ่านบทความนี้จะตื่นเต้นที่จะได้ยินเรื่องนี้