สมัครเพื่อรับการแจ้งเตือนเมื่อมีโพสต์ใหม่:สมัครรับข้อมูล

กฎการเชื่อมโยงเครือข่ายส่วนตัว Zero Trust

08/12/2564

1 นาทีที่อ่าน
Zero Trust Private Networking Rules

ก่อนหน้านี้ในปีนี้ เรา ประกาศ ความสามารถในการสร้างเครือข่ายส่วนตัวบนเครือข่าย Cloudflare ด้วยการควบคุมการเข้าถึงที่ต้องใช้ข้อมูลระบุตัวตน เราตื่นเต้นที่จะแบ่งผันข้อมูลกับคุณว่า เร็วๆ นี้ คุณจะสามารถเพิ่มการควบคุมการเข้าร่วมและเข้าสู่ระบบภายในได้ด้วย

เครือข่ายส่วนตัวไม่สามารถปรับใช้ได้

เครือข่ายส่วนตัวเป็นเครือข่ายหลักของแอปพลเคชันบริษัทมาหลายปี ทีมความปลอดภัยใช้มันเพื่อสร้างขอบเขตความปลอดภัยที่เข้มงวดในแอปพลิเคชัน ในการเข้าถึงข้อมูลที่ละเอียดอ่อน ผู้ใช้ต้องอยู่บนเครือข่ายจริงทางกายภาพ หมายความว่าพวกเขาต้องอยู่ที่ออฟฟิศ และเชื่อมต่อโดยใช้อุปกรณ์ที่จัดการโดยบริษัท ซึ่งไม่ใช่สิ่งที่สมบูรณ์แบบ — การเข้าถึงเครือข่ายผ่านการเชื่อมต่อทางกายภาพหรือผ่าน Wi-Fi อาจทำให้เกิดการรั่วไหลของข้อมูลได้ แต่ก็มีเครื่องมืออย่างใบรับรองและไฟร์วอลทางกายภาพ ที่มีไว้เพื่อป้องกันภัยคุกคามเหล่านี้

ขอบเขตนี้เป็นความท้าทายเพราะการทำงานจากระยะไกลเริ่มเพิ่มมากขึ้นเรื่อยๆ ออฟฟิศสาขา ศูนย์ข้อมูล และพนักงานที่ทำงานจากระยะไกล ต้องมีการเข้าถึงแอปพลิเคชัน ดังนั้นองค์กรจึงเริ่มไว้วางใจเครือข่ายส่วนตัวเสมือน (VPN) เพื่อทำให้ผู้ใช้ระยะไกลอยู่บนเครือข่ายเดียวกันกับแอปพลิเคชัน

ในทางตรงกันข้ามกับปัญหาในการเชื่อมต่อผู้ใช้จากที่ไหนก็ได้ โมเดลความปลอดภัยของเครือข่ายส่วนตัวกลายเป็นปัญหาที่อันตรายยิ่งขึ้น เมื่อเข้าไปในเครือข่ายส่วนตัวแล้ว ผู้ใช้สามารถเข้าถึงทรัพยากรใดๆ บนเครือข่ายได้จากค่าเริ่มต้น เว้นแต่จะมีข้อห้ามไว้อย่างชัดเจน การควบคุมและบันทึกที่ต้องใช้ข้อมูลระบุตัวตนนั้นแทบจะเป็นไปไม่ได้ในการนำมาใช้

ยิ่งไปกว่านั้น เครื่อข่ายส่วนตัวก็มีค่าใช้จ่ายในการดำเนินการ เครือข่ายส่วนตัวเดินตามเส้นทาง RFC 1918 ของพื้นที่ IP ที่จองไว้ ซึ่งมีจำกัดและอาจทำให้มีการทับซ้อนหรือขัดแย้งกันของ IP address ผู้ดูแลระบบยังต้องพิจารณาโหลดทั้งหมดที่เครือข่ายส่วนตัวจะรับได้ โหลดที่อาจลดประสิทธิภาพลงได้โดยการที่พนักงานที่ใช้ VPN ใช้งานวิดีโอคอล หรือแม้แต่ดูวิดีโอในเวลางาน

ทางเลือกที่ทันสมัยก็ไม่สามารถแก้ไขกรณีการใช้งานได้ทั้งหมด

แอปพลิเคชัน SaaS และโซลูชันเครือข่าย Zero Trust อย่าง Cloudflare Access ทำให้การห้บริการความปลอดภัยโดยไม่ต้องใช้ VPN เป็นเรื่องง่ายขึ้น ผู้ดูแลระบบสามารถสร้างการควบคุม เช่น การยืนยันตัวตนหลายขั้นตอนและการแจ้งเตือนการเข้าสู่ระบบที่ผิดปกติสำหรับแต่ละแอปพลิเคชัน การควบคุมความปลอดภัยสำหรับแอปพลิเคชันสาธารณะได้ล้ำหน้าแอปพลิเคชันเครือข่ายส่วนตัวไปแล้ว

อย่างไรก็ตาม แอปพลิเคชันบางตัวก็ต้องใช้เครือข่ายส่วนตัวแบบดั้งเดิมมากกว่า กรณีการใช้งานที่รวมถึงลูกค้ารายใหญ่ภายนอกเบราว์เซอร์ หรือ TCP แบบกำหนดเอง หรือ โปรโตคอล UDP เข้ากันได้ดีกับโมเดลการเชื่อมต่อนอกเบราว์เซอร์

เราได้ยินลูกค้าที่ตื่นเต้นที่จะได้ใช้โมเดล Zero Trust แต่ก็ยังต้องสนับสนุนกรณีการใช้งานเครือข่ายส่วนตัวแบบคลาสสิกอยู่ ในการแก้ปัญหานี้ เราจึงประกาศความสามารถในการสร้างเครือข่ายส่วนตัวบนเครือข่ายทั่วโลกของเรา ผู้ดูแลระบบสามารถสร้างกฎ Zero Trust ไปยังคนที่เข้าใช้ IP และปลายทางที่เฉพาะเจาะจง ผู้ใช้ปลายทางเชื่อมต่อจากเอเจนต์ Cloudflare ตัวเดียวกันที่ขับเคลื่อนการเชื่อมต่อเข้ากับอินเทอร์เน็ตทั้งหมด แต่ก็ยังมีกฎอย่างหนึ่งขาดหายไป

การควบคุมการเข้าร่วมเครือข่ายส่วนตัวของ Cloudflare

เครือข่ายทั่วโลกของ Cloudflare ทำให้เป็นจริงได้และเร็วดุจสายฟ้า ขั้นตอนแรกคือการเชื่อมต่อเครือข่ายส่วนตัวของ Cloudflare ที่ปลอดภัย ซึ่งสามารถทำได้โดยกสร้างการรักษาความปลอดภัย tunnel ขาออกเท่านั้นโดยใช้ Cloudflare Tunnel หรือใช้วิธีการเชื่อมต่อแบบดั้งเดิม เช่น GRE หรือ IPSec tunnels

เมื่อได้สร้างการเชื่อมต่อ tunnel แล้ว ช่วง IP ส่วนตัวที่เฉพาะเจาะจงจะปรากฏบน Cloudflare ซึ่งทำได้ด้วยชุดคำสั่งเพื่อนำทาง tunnel ไปที่ CIDR block ของ IP address ในภาพหน้าจอข้างล่าง ช่วง CIDR ถูกนำทางไปที่ Cloudflare Tunnels อันโดดเด่น -- ซึ่งแต่ละอันก็มีตัวระบุและชื่อที่เป็นค่าเฉพาะของตัวเอง

เมื่อแอปพลิเคชันสามารถจัดการเครือข่าย Cloudflare ได้แล้ว ผู้ใช้ต้องการวิธีการในการเข้าถึง IP ส่วนตัวนี้ ตรงนี้คือจุดที่จะต้องใช้ VPN แบบดั้งเดิมเพื่อทำให้ผู้ใช้อยู่บนเครือข่ายเดียวกันกับแอปพลิเคชัน แต่ลูกค้า WARP ของ Cloudflare คุ้นเคยกับการเชื่อมต่อการรับส่งข้อมูลอินเทอร์เน็ตของผู้ใช้ไปที่เครือข่าย Cloudflare

หลังจากนั้นผู้ดูแลระบบก็ต้องควบคุมการรับส่งข้อมูลจากอุปกรณ์ของผู้ใช้ โดยสามารถสร้างกฎ นโยบายยืนยันตัวตน เพื่อควบคุมการเข้าถึงแอปพลิเคชันเฉพาะของผู้ใช้บน IP ส่วนตัว หรือชื่อโฮสต์ ในเร็วๆ นี้

นี่เป็นก้าวที่ยิ่งใหญ่ของทีม IT และทีมความปลอดภัย เนื่องจากมันช่วยกำจัดปัญหาเวลาแฝง การจัดการและแบ็คฮาวล์ที่เกิดจาก VPN อย่างไรก็ตาม เมื่อผู้ใช้ยืนยันตัวตนแล้วครั้งหนึ่ง เขาจะสามารถเชื่อมต่อได้อย่างไม่จำกัด จนกว่าจะถูกเรียกคืน เรารู้ว่าลูกค้าบางรายต้องการให้บังคับการเข้าสู่ระบบทุกๆ 24 ชั่วโมง ตัวอย่างเช่น หรือให้ตั้งหมดเวลาหลังจากผ่านไปหนึ่งสัปดาห์ เราตื่นเต้นที่จะให้ลูกค้าทำอย่างนั้นได้

การเปิดตัวเวอร์ชันเบต้า ผู้ดูแลระบบสามารถเพิ่มกฎเซสชันในทรัพยากรที่มีในโมเดลเครือข่ายส่วนตัวได้ ผู้ดูแลระบบจะสามารถกำหนดระยะเวลาเซสชันโดยเฉพาะสำหรับนโยบายของพวกเขา และผู้ใช้ต้องยืนยันตัวตนอีกครั้งด้วยการยืนยันตัวตนหลายขั้นตอน

แล้วยังไงต่อ

การประกาศนี้เป็นเพียงส่วนหนึ่งของการทำให้เครือข่ายส่วนตัว Zero Trust ของ Cloudflare ทรงพลังยิ่งขึ้นเพื่อองค์กรของคุณ และสิ่งที่ประกาศออกมาในสัปดาห์นี้เช่นกันก็คือการรองรับ UDP ในโมเดลนี้ ทีมจะสามารถใช้งานชื่อเซิร์ฟเวอร์ DNS ส่วนตัวที่มีอยู่ได้เพื่อนำทางชื่อโฮสต์แอปพลิเคชันบนโดเมนในเครื่อง ซึ่งจะป้องกันปัญหาความขัดแย้งหรือความไม่ยั่งยืนของ IP address ส่วนตัวสำหรับแอปพลิเคชัน

เราตื่นเต้นที่จะเสนอเวอร์ชันนเบต้าของคุณลักษณะทั้งสองอย่างนี้ หากคุณต้องการทดลองใช้คุณลักษณะก่อนปีใหม่ กรุณาใช้ ลิงก์การสมัคร นี้ เพื่อรับการแจ้งเตือนเมื่อเวอร์ชันเบต้าพร้อมให้บริการ

หากคุณต้องการเริ่มใช้งานการควบคุม Zero Trust สำหรับเครือข่ายส่วนตัวของคุณ สำหรับผู้ใช้ 50 รายแรกสามารถใช้โซลูชันของ Cloudflare ได้ฟรี ไปที่ dash.teams.cloudflare.com เพื่อเริ่มใช้งาน!

เราปกป้องเครือข่ายของทั้งองค์กร โดยช่วยลูกค้าสร้างแอปพลิเคชันรองรับผู้ใช้อินเทอร์เน็ตทั่วโลกได้อย่างมีประสิทธิภาพ เพิ่มความรวดเร็วของการใช้เว็บไซต์หรือแอปพลิเคชันอินเทอร์เน็ต จัดการการโจมตีแบบ–DDoS ป้องปรามบรรดาแฮกเกอร์ และช่วยเหลือคุณตลอดเส้นทางสู่ Zero Trust

เข้าไปที่ 1.1.1.1 จากอุปกรณ์ใดก็ได้เพื่อลองใช้แอปฟรีของเราที่จะช่วยให้อินเทอร์เน็ตของคุณเร็วขึ้นและปลอดภัยขึ้น

หากต้องการศึกษาข้อมูลเพิ่มเติมเกี่ยวกับภารกิจของเราเพื่อปรับปรุงการใช้งานอินเทอร์เน็ต เริ่มได้จากที่นี่ หากคุณกำลังมองหางานในสายงานใหม่ ลองดูตำแหน่งที่เราเปิดรับ
CIO Week (TH)ไทยProduct News (TH)Zero Trust (TH)

ติดตามบน X

Kenny Johnson|@KennyJohnsonATX
Cloudflare|@cloudflare

โพสต์ที่เกี่ยวข้อง

11 ธันวาคม 2564 เวลา 13:59

เวอร์ชันและการจัดการการกำหนดค่าการเปลี่ยนแปลงด้วยแอปพลิเคชัน HTTP เวอร์ชันเบต้า

วันนี้ เราประกาศแอปพลิเคชัน HTTP เวอร์ชันเบต้าแบบปิด ซึ่งเป็นวิธีในการทดสอบและใช้งานการเปลี่ยนแปลงได้อย่างปลอดภัยในการรับส่งข้อมูล HTTP ของคุณ แอปพลิเคชัน HTTP นำเสนอการเปลี่ยนแปลงการกำหนดค่าและความสามารถในการควบคุมว่าเมื่อใดจะเปิดใช้งานการเปลี่ยนแปลงนั้นกับการรับส่งข้อมูล ...

11 ธันวาคม 2564 เวลา 13:59

การอัปเดตการรับรองและรายงานเรื่องความปลอดภัยและความเป็นส่วนตัวของ Cloudflare

ผลิตภัณฑ์และบริการของ Cloudflare ปกป้องลูกค้าได้มากกว่าที่เคย โดยที่มีการขยายตัวอย่างมากมายตลอดปีที่ผ่านมา เมื่อต้นสัปดาห์นี้ เราได้เปิดตัว Cloudflare Security Center เพื่อให้ลูกค้าสามารถแมปพื้นผิวการโจมตี ตรวจสอบคว...

11 ธันวาคม 2564 เวลา 13:59

มีอะไรใหม่ในการแจ้งเตือน

ย้อนไปเมื่อปี 2019 เรา เราเขียนบล็อกเกี่ยวกับศูนย์แจ้งเตือนใหม่ของเรา เพื่อเป็นศูนย์กลางในการสร้างการแจ้งเตือนบนบัญชีของคุณ ตั้งแต่นั้นเป็นต้นมาเราได้พูดเกี่ยวกับการแจ้งเตือนแบบใหม่ที่คุณสามารถติดตั้งได้ แต่ไม่ค่อยพูดเกี่ยวกับการอัปเดตแพลตฟอร์มการแจ้งเตือน ดังนั้น มีอะไรใหม่ในการแจ้งเตือน?...

11 ธันวาคม 2564 เวลา 13:59

การปรับปรุงแพลตฟอร์มทั้งหมดที่เราทำในปี 2021 เพื่อให้ CIO ใช้ชีวิตได้ง่ายขึ้น

CIO Week เต็มไปด้วยนวัตกรรมผลิตภัณฑ์ใหม่ ๆ เพื่อให้ CIO มีเครื่องมือที่จำเป็นในการรักษาความปลอดภัย ปกป้อง และเพิ่มความเร็วให้กับเครือข่ายของตน เราที่ Cloudflare ทราบดีว่าสิ่งที่มีความสำคัญสำหรับ CIO ไม่...