Trong Security Week 2025, chúng tôi đã ra mắt giải pháp Cổng Web An toàn (Secure Web Gateway, SWG) và Zero Trust hậu lượng tử đầu tiên trong ngành, hoạt động trên đám mây - một bước tiến quan trọng nhằm bảo vệ lưu lượng mạng doanh nghiệp được gửi từ thiết bị người dùng cuối đến các mạng công cộng và riêng tư.
Nhưng đây chỉ là một phần của bài toán. Để thực sự đảm bảo tương lai của mạng doanh nghiệp, bạn cần một giải pháp Biên Dịch vụ Truy cập An toàn (Secure Access Service Edge, SASE) hoàn chỉnh.
Hôm nay, chúng tôi hoàn thiện mảnh ghép còn lại: Cloudflare One là nền tảng SASE đầu tiên hỗ trợ mã hóa hậu lượng tử (PQ) tuân thủ các tiêu chuẩn hiện đại về Cổng Web An toàn cũng như trên toàn bộ các kịch bản Zero Trust và Mạng Diện Rộng (Wide Area Network, WAN). Cụ thể hơn, Cloudflare One hiện cung cấp cơ chế mã hóa khóa dựa trên lưới mô-đun (Module-Lattice-based Key-Encapsulation Mechanism, ML-KEM) lai hậu lượng tử trên tất cả các cổng vào và cổng ra chính.
Để hoàn thiện phương trình, chúng tôi đã bổ sung hỗ trợ mã hóa hậu lượng tử cho Cloudflare IPsec (dịch vụ WAN hoạt động trên đám mây của chúng tôi) và Cloudflare One Appliance (thiết bị WAN vật lý hoặc ảo của chúng tôi dùng để thiết lập kết nối Cloudflare IPsec). Cloudflare IPsec sử dụng giao thức IPsec để thiết lập các đường hầm mã hóa từ mạng của khách hàng đến mạng toàn cầu của Cloudflare, trong khi IP Anycast được sử dụng để tự động định tuyến đường hầm đó đến trung tâm dữ liệu Cloudflare gần nhất. Cloudflare IPsec đơn giản hóa cấu hình và cung cấp khả năng hoạt động liên tục cao; nếu một trung tâm dữ liệu cụ thể gặp sự cố, lưu lượng truy cập sẽ tự động được chuyển hướng đến trung tâm dữ liệu gần nhất đang hoạt động bình thường. Cloudflare IPsec hoạt động trên quy mô mạng lưới toàn cầu của chúng tôi và hỗ trợ kết nối giữa các địa điểm trong mạng WAN cũng như các kết nối ra Internet.
Bản nâng cấp Cloudflare One Appliance hiện đã có sẵn cho người dùng phổ thông kể từ phiên bản thiết bị 2026.2.0. Bản nâng cấp Cloudflare IPsec hiện đang trong giai đoạn thử nghiệm kín, và bạn có thể yêu cầu quyền truy cập bằng cách thêm tên của mình vào danh sách thử nghiệm kín của chúng tôi.
Giờ đây, mật mã hậu lượng tử rất quan trọng
Các mối đe dọa lượng tử không phải là vấn đề của "thập kỷ tới". Dưới đây là lý do tại sao khách hàng của chúng tôi hiện đang ưu tiên mật mã hậu lượng tử (PQC):
Hạn chót đang đến gần. Vào cuối năm 2024, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã đưa ra một tín hiệu rõ ràng (mà các cơ quan khác cũng lặp lại): kỷ nguyên của mật mã khóa công khai truyền thống đang đi đến hồi kết. NIST đã đặt ra hạn chót năm 2030 để loại bỏ RSA và Mật mã đường cong elliptic Elliptic Curve Cryptography (ECC) và chuyển sang PQC, loại mật mã không thể bị phá vỡ bởi các máy tính lượng tử mạnh mẽ. Các tổ chức chưa bắt đầu quá trình chuyển đổi có nguy cơ vi phạm quy định và dễ bị tổn thương khi thời hạn đến gần.
Việc nâng cấp từ trước đến nay luôn gặp nhiều khó khăn. Mặc dù năm 2030 có vẻ còn xa, nhưng việc nâng cấp các thuật toán mã hóa lại vô cùng khó khăn. Lịch sử đã chứng minh rằng việc loại bỏ dần thuật toán mã hóa lỗi thời có thể mất hàng thập kỷ: chúng ta đã tìm thấy những ví dụ về việc MD5 gây ra sự cố 20 năm sau khi nó bị loại bỏ. Sự thiếu linh hoạt trong mật mã - tức khả năng dễ dàng thay thế các thuật toán mật mã - là một điểm nghẽn lớn. Bằng cách tích hợp mã hóa PQ trực tiếp vào Cloudflare One, nền tảng SASE của chúng tôi, chúng tôi mang đến khả năng linh hoạt về mã hóa tích hợp sẵn, đơn giản hóa cách các tổ chức cung cấp quyền truy cập từ xa và kết nối giữa các địa điểm.
Dữ liệu có thể đã gặp rủi ro. Cuối cùng, "Thu thập dữ liệu ngay, Giải mã sau" là một mối đe dọa hiện hữu và dai dẳng, trong đó kẻ tấn công thu thập lưu lượng mạng nhạy cảm ngay hôm nay và lưu trữ nó cho đến khi máy tính lượng tử đủ mạnh để giải mã. Nếu dữ liệu của bạn có thời hạn sử dụng hơn vài năm (ví dụ: thông tin tài chính, dữ liệu sức khỏe, bí mật nhà nước), thì chúng đều đang gặp rủi ro trừ khi được bảo vệ bằng mã hóa PQ.
Hai chuyển đổi trên con đường hướng tới an toàn lượng tử: thỏa thuận khóa và chữ ký số.
Việc chuyển đổi lưu lượng mạng sang mật mã hậu lượng tử (PQC) đòi hỏi phải thay thế toàn diện hai thành phần mật mã cơ bản: cơ chế thỏa thuận khóa và chữ ký số.
Chuyển đổi 1: Cơ sở chủ chốt. Thỏa thuận khóa cho phép hai bên thiết lập một bí mật chung thông qua một kênh không an toàn; bí mật chung này sau đó được sử dụng để mã hóa lưu lượng mạng, dẫn đến mã hóa hậu lượng tử. Ngành công nghiệp hiện nay phần lớn đã thống nhất lựa chọn ML-KEM (Cơ chế đóng gói khóa dựa trên lưới mô-đun) làm giao thức thỏa thuận khóa tiêu chuẩn cho mật mã hậu lượng tử (PQ).
ML-KEM đã được áp dụng rộng rãi trong TLS, thường được triển khai cùng với thuật toán trao đổi khóa an toàn Elliptic Curve Diffie Hellman (ECDHE) cổ điển, trong đó khóa được sử dụng để mã hóa lưu lượng mạng được tạo ra bằng cách kết hợp đầu ra của các thỏa thuận khóa ML-KEM và ECDHE. (Phương pháp này còn được gọi là “ML-KEM lai”). Hiện tại, hơn 60% lưu lượng TLS do con người tạo ra hướng đến mạng của Cloudflare được bảo vệ bằng mô hình ML-KEM lai. Việc chuyển đổi sang hệ thống ML-KEM lai đã thành công vì:
Vì ML-KEM hoạt động song song với ECDHE cổ điển, nên không có sự suy giảm về bảo mật và tuân thủ so với phương pháp ECDHE cổ điển.
Chuyển đổi 2: Chữ ký điện tử. Trong khi đó, chữ ký số và chứng chỉ số bảo vệ tính xác thực, ngăn chặn các đối tượng xấu mạo danh máy chủ đối với máy khách. Đáng tiếc là, các chữ ký PQ hiện có kích thước lớn hơn so với các thuật toán ECC cổ điển, điều này đã làm chậm quá trình áp dụng chúng. May mắn thay, việc chuyển đổi sang chữ ký PQ không quá cấp bách, bởi vì chữ ký PQ được thiết kế để ngăn chặn các đối tượng xấu đang hoạt động được trang bị máy tính lượng tử mạnh mẽ, loại máy tính mà hiện chưa được biết là có tồn tại hay không. Do đó, trong khi Cloudflare đang tích cực đóng góp vào việc tiêu chuẩn hóa và triển khai chữ ký số PQ, thì bản nâng cấp IPsec hiện tại của Cloudflare tập trung vào việc nâng cấp quá trình thiết lập khóa lên mô hình ML-KEM lai.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thừa nhận bản chất của hai quá trình chuyển đổi này trong ấn phẩm tháng 1 năm 2026 có tiêu đề: "Product Categories for Technologies That Use Post-Quantum Cryptography Standards" (Các danh mục sản phẩm cho các công nghệ sử dụng tiêu chuẩn mật mã hậu lượng tử).
Mở ra những hướng đi mới với IPsec
Để đạt được một kiến trúc SASE được bảo vệ hoàn toàn bằng mã hóa hậu lượng tử, chúng tôi đã nâng cấp các sản phẩm Cloudflare IPsec nhằm hỗ trợ ML-KEM lai trong giao thức IPsec.
Hành trình hướng tới mật mã hậu lượng tử của cộng đồng IPsec rất khác so với TLS. TLS là tiêu chuẩn thực tế để mã hóa lưu lượng truy cập Internet công cộng ở Lớp 4 — ví dụ: từ trình duyệt đến mạng phân phối nội dung (CDN) — do đó, bảo mật và khả năng tương tác giữa các nhà cung cấp là ưu tiên hàng đầu trong thiết kế của nó. Trong khi đó, IPsec là một giao thức Lớp 3 thường kết nối các thiết bị do cùng một nhà cung cấp sản xuất (ví dụ: hai bộ định tuyến), vì vậy, khả năng tương thích giữa các thiết bị này trước đây ít được quan tâm. Với suy nghĩ đó, chúng ta hãy cùng nhìn vào hành trình của IPsec hướng tới tương lai lượng tử.
Khóa chia sẻ trước? Phân phối khóa lượng tử?
RFC 8784, được công bố vào tháng 5 năm 2020, được thiết kế như bản cập nhật hậu lượng tử cho cơ chế Trao đổi khóa Internet phiên bản 2 (IKEv2) của IPsec - cơ chế dùng để thiết lập các khóa đối xứng nhằm mã hóa lưu lượng mạng IPsec. RFC 8784 ngụ ý việc sử dụng khóa chia sẻ trước có thời gian tồn tại lâu dài (PSK) hoặc phân phối khóa lượng tử (QKD). Cả hai cách tiếp cận này đều không mấy khả thi.
RFC 8784 đề xuất kết hợp một khóa chia sẻ trước (PSK) với một khóa được tạo ra từ cơ chế trao đổi Diffie Hellman (DHE), về bản chất là triển khai PSK theo mô hình lai cùng với DHE. Cách tiếp cận này giúp bảo vệ chống lại các kẻ tấn công thu thập dữ liệu trước rồi giải mã sau, nhưng không cung cấp tính bảo mật chuyển tiếp chống lại các đối tượng xấu sử dụng công nghệ lượng tử.
Bảo mật chuyển tiếp là một yêu cầu tiêu chuẩn của các giao thức thỏa thuận khóa. Điều này đảm bảo hệ thống vẫn an toàn ngay cả khi khóa có thời hạn dài bị rò rỉ. Phương pháp PSK trong RFC 8784 dễ bị tổn thương trước kẻ thù "thu thập trước, giải mã sau" có được bản sao của PSK có thời hạn dài, và sau đó có thể giải mã lưu lượng truy cập trong tương lai (bằng cách phá vỡ thỏa thuận khóa DHE) khi các máy tính lượng tử mạnh mẽ trở nên khả dụng.
Để giải quyết vấn đề bảo mật chuyển tiếp này, RFC 8784 có thể được sử dụng để kết hợp khóa từ DHE cổ điển với một khóa mới được tạo ra từ giao thức QKD.
QKD sử dụng cơ học lượng tử để thiết lập một khóa mật mã mật mã được chia sẻ giữa hai bên. Điều quan trọng cần lưu ý là, để QKD hoạt động, các bên phải có phần cứng chuyên dụng hoặc được kết nối bằng một đường truyền vật lý riêng biệt. Đây là một hạn chế đáng kể, khiến QKD trở nên vô dụng đối với các trường hợp sử dụng Internet thông thường như kết nối máy tính xách tay với máy chủ từ xa qua Wi-Fi. Những hạn chế này cũng là lý do tại sao chúng tôi chưa bao giờ đầu tư vào việc triển khai QKD cho Cloudflare IPsec. Cơ quan An ninh Quốc gia Hoa Kỳ (NSA), Cơ quan Điều tra Liên bang Đức (BSI) và Trung tâm An ninh mạng Quốc gia Anh cũng đã cảnh báo không nên chỉ dựa vào QKD.
Nhưng còn về khả năng tương tác thì sao?
RFC 9370 được ban hành vào tháng 5 năm 2023, quy định việc sử dụng thỏa thuận khóa lai thay vì PSK hoặc QKD. Nhưng không giống như TLS vốn chỉ hỗ trợ sử dụng ML-KEM hậu lượng tử song song với DHE cổ điển, tiêu chuẩn IPsec này cho phép sử dụng tối đa bảy thỏa thuận khóa khác nhau để chạy đồng thời song song với Diffie Helman cổ điển. Hơn nữa, văn bản này không nêu rõ chi tiết các thỏa thuận quan trọng đó, để các nhà cung cấp tự lựa chọn thuật toán và cách triển khai của họ. Ví dụ, Palo Alto Networks đã xem xét vấn đề này một cách nghiêm túc và tích hợp hỗ trợ cho hơn bảy bộ mã hóa PQC khác nhau vào tường lửa thế hệ tiếp theo (NGFW) của mình, hầu hết trong số đó không tương thích với các nhà cung cấp khác và một số vẫn chưa được NIST tiêu chuẩn hóa.
Qua nhiều năm, TLS lại đi theo hướng ngược lại, giảm số lượng bộ mã hóa được đăng ký từ hàng trăm trong TLS 1.2 xuống còn khoảng năm trong TLS 1.3. Triết lý giảm thiểu "sự phình to của bộ mã hóa" này cũng phù hợp với tiêu chuẩn SP 800 52 của NIST năm 2019. Lý do cần thiết để giảm thiểu "sự phình to của bộ mã hóa" gồm:
Cải thiện khả năng tương tác giữa các nhà cung cấp và khu vực
Giảm nguy cơ các cuộc tấn công lợi dụng việc hạ cấp các bộ mã hóa yếu
Giảm nguy cơ xảy ra sự cố bảo mật do cấu hình sai
Giảm thiểu rủi ro sai sót trong quá trình triển khai bằng cách thu nhỏ kích thước mã nguồn
Đây là lý do tại sao ban đầu chúng tôi không xây dựng hỗ trợ cho RFC 9370
Các tiêu chuẩn, cuối cùng, cũng đang đi đúng hướng
Đó cũng là lý do tại sao chúng tôi rất hào hứng khi cộng đồng IPsec đưa ra draft-ietf-ipsecme-ikev2-mlkem. Bản dự thảo Internet này chuẩn hóa việc trao đổi PQ cho IPsec theo cùng cách thức mà việc trao đổi khóa PQ đã được triển khai rộng rãi cho TLS: ML-KEM dạng lai. Bản dự thảo mới này bổ sung những thiếu sót trong RFC 9370 bằng cách quy định cách thức vận hành ML-KEM như một cơ chế trao đổi khóa bổ sung song song với Diffie Hellman cổ điển trong IKEv2.
Giờ đây, khi thông số kỹ thuật này đã có sẵn, chúng tôi đã tiến hành hỗ trợ IPsec hậu lượng tử trong các sản phẩm Cloudflare IPsec của mình.
Cloudflare IPsec chuyển sang kỷ nguyên hậu lượng tử
Cloudflare IPsec là giải pháp WAN theo mô hình Mạng như một dịch vụ , thay thế các kiến trúc mạng riêng truyền thống bằng cách kết nối các trung tâm dữ liệu, văn phòng chi nhánh và VPC đám mây với mạng IP Anycast toàn cầu của Cloudflare.
Với Cloudflare IPsec, mạng lưới của Cloudflare đóng vai trò là Bộ phản hồi IKEv2 , chờ đợi các yêu cầu kết nối từ bộ khởi tạo IPsec, là thiết bị kết nối nhánh trong mạng của khách hàng. Cloudflare IPsec hỗ trợ các phiên IPsec được khởi tạo bởi các trình kết nối nhánh bao gồm thiết bị Cloudflare One Appliance của chúng tôi, cùng với các trình kết nối nhánh từ nhiều nhà cung cấp khác nhau, bao gồm Cisco, Juniper, Palo Alto Networks, Fortinet, Aruba và các nhà cung cấp khác.
Chúng tôi đã triển khai hỗ trợ ML-KEM lai cho môi trường sản xuất trong Bộ phản hồi IKEv2 của Cloudflare IPsec như đã được quy định trong draft-ietf-ipsecme-ikev2-mlkem. Bản dự thảo yêu cầu bước trao đổi khóa đầu tiên phải được thực hiện bằng phương pháp trao đổi khóa Diffie Helman cổ điển. Khóa được tạo ra được sử dụng để mã hóa quá trình trao đổi khóa thứ hai được thực hiện bằng ML-KEM. Cuối cùng, các khóa được tạo ra từ hai cơ chế trao đổi sẽ được kết hợp lại, và kết quả này được sử dụng để bảo vệ lưu lượng trên mặt phẳng dữ liệu trong chế độ ESP (Encapsulating Security Payload) của IPsec. Chế độ ESP sử dụng mật mã đối xứng và do đó đã an toàn trước các cuộc tấn công lượng tử mà không cần bất kỳ nâng cấp bổ sung nào. Chúng tôi đã kiểm thử phần triển khai của mình với thành phần khởi tạo IPsec trong bản triển khai tham chiếu strongSwan.
Bạn có thể xem bộ mã hóa được sử dụng trong quá trình đàm phán IKEv2 bằng cách xem nhật ký IPsec của Cloudflare.
Chúng tôi đã chọn triển khai ML-KEM lai thay vì ML-KEM "thuần túy", tức là chỉ sử dụng ML-KEM, không chạy song song với DHE, vì hai lý do. Thứ nhất, chúng tôi đã sử dụng mô hình ML-KEM lai trên tất cả các sản phẩm khác của Cloudflare, vì đây là phương pháp được cộng đồng TLS áp dụng rộng rãi. Thứ hai, nó cung cấp một lớp bảo mật "kép": ML-KEM bảo vệ chống lại các cuộc tấn công lượng tử "thu thập dữ liệu trước, giải mã sau", trong khi DHE cung cấp một thuật toán đã được kiểm chứng chống lại các đối tượng xấu không sử dụng dữ liệu lượng tử.
Lời mời hợp tác bảo đảm khả năng tương thích
Giá trị đầy đủ của việc triển khai này chỉ có thể được hiện thực hóa thông qua khả năng tương tác. Vì lý do này, chúng tôi mời các nhà cung cấp khác đang xây dựng hỗ trợ cho các Thành phần khởi tạo Ipsec trong các trình kết nối nhánh của họ theo bản draft-ietf-ipsecme-ikev2-mlkem để thử nghiệm với triển khai Cloudflare Ipsec của chúng tôi. Khách hàng của Cloudflare muốn thử nghiệm khả năng tương tác với các trình kết nối nhánh của bên thứ ba trong giai đoạn thử nghiệm beta kín có thể đăng ký tại đây. Chúng tôi dự định sẽ phát hành chính thức và xây dựng khả năng tương tác với các nhà cung cấp khác khi ngày càng nhiều nhà cung cấp bắt đầu hỗ trợ draft-ietf-ipsecme-ikev2-mlkem.
Phần cứng an toàn lượng tử: Cloudflare One Appliance
Nhiều khách hàng của chúng tôi mua bộ kết nối chi nhánh (phần cứng hoặc ảo hóa) từ Cloudflare, thay vì từ nhà cung cấp bên thứ ba. Đó là lý do tại sao Cloudflare One Appliance - thiết bị cắm và chạy của chúng tôi kết nối mạng cục bộ của bạn với Cloudflare One - cũng đã được nâng cấp với mã hóa hậu lượng tử.
Cloudflare One Appliance không sử dụng IKEv2 cho thỏa thuận khóa hoặc thiết lập phiên, thay vào đó sử dụng TLS. Thiết bị định kỳ khởi tạo một phiên "bắt tay" TLS với điểm biên của Cloudflare, chia sẻ một bí mật đối xứng thông qua kết nối TLS được thiết lập, sau đó đưa bí mật đối xứng này vào lớp ESP của IPsec; lớp này sẽ mã hóa và xác thực lưu lượng dữ liệu IPsec. Thiết kế này cho phép chúng tôi không phải xây dựng phần logic khởi tạo IKEv2, đồng thời giúp Trình kết nối dễ bảo trì hơn nhờ tận dụng các thư viện TLS sẵn có.
Do đó, việc nâng cấp Cloudflare One Appliance lên mã hóa PQ chỉ đơn giản là nâng cấp TLS 1.2 lên TLS 1.3 với ML-KEM lai - điều mà chúng tôi đã thực hiện nhiều lần trên các sản phẩm khác nhau tại Cloudflare.
Làm thế nào để kích hoạt? Chi phí ra sao?
Như thường lệ, việc nâng cấp lên Cloudflare IPsec này hoàn toàn miễn phí cho khách hàng của chúng tôi. Vì chúng tôi tin rằng một Internet an toàn và riêng tư nên được cung cấp cho tất cả mọi người, chúng tôi đang nỗ lực tích hợp PQC vào tất cả các sản phẩm của mình mà không cần phần cứng chuyên dụng, và không tính thêm chi phí cho khách hàng và người dùng cuối.
Khách hàng sử dụng Cloudflare One Appliance đã nhận được bản nâng cấp lên PQC trong phiên bản 2026.2.0 (phát hành ngày 11/02/2026). Quá trình nâng cấp được thực hiện tự động (không cần khách hàng thao tác) theo khoảng thời gian ngắt được cấu hình cho từng thiết bị.
Đối với khách hàng sử dụng Cloudflare IPsec với thiết bị kết nối nhánh của nhà cung cấp khác, chúng tôi sẽ tương thích với các thiết bị này khi bản draft-ietf-ipsecme-ikev2-mlkem được hỗ trợ đầy đủ hơn. Bạn cũng có thể liên hệ trực tiếp với chúng tôi để được tham gia bản thử nghiệm kín và yêu cầu chúng tôi tích hợp với trình kết nối nhánh của một nhà cung cấp cụ thể.
Toàn cảnh: SASE hậu lượng tử
Giá trị mà giải pháp SASE hậu lượng tử mang lại rất rõ ràng: các tổ chức có thể ngay lập tức có được sự bảo vệ toàn diện cho lưu lượng mạng riêng của họ bằng cách truyền tải nó qua các đường hầm được bảo vệ bởi mô hình ML-KEM lai. Điều này giúp bảo vệ lưu lượng truy cập khỏi các cuộc tấn công "thu thập dữ liệu trước, giải mã sau" ngay cả khi các ứng dụng riêng lẻ trong mạng doanh nghiệp chưa được nâng cấp lên PQC.
Sơ đồ trên minh họa cách thức cung cấp giải pháp ML-KEM lai hậu lượng tử trong các cấu hình mạng Cloudflare One khác nhau. Nó bao gồm các cổng vào sau:
và các cổng ra tiếp theo:
Sơ đồ bên dưới minh họa một cấu hình mạng mẫu sử dụng cổng vào Cloudflare One Client để kết nối thiết bị với máy chủ phía sau cổng ra Cloudflare One Appliance. Thiết bị của người dùng cuối kết nối với mạng Cloudflare (liên kết 1) bằng MASQUE với ML-KEM lai. Lưu lượng truy cập sau đó sẽ di chuyển trên mạng toàn cầu của Cloudflare thông qua TLS 1.3 với ML-KEM lai (liên kết 2). Sau đó, lưu lượng truy cập rời khỏi mạng Cloudflare thông qua liên kết hậu lượng tử Cloudflare IPsec (liên kết 3) và được kết thúc tại thiết bị Cloudflare One Appliance. Cuối cùng, nó kết nối với một máy chủ bên trong môi trường của khách hàng. Lưu lượng truy cập được bảo vệ bằng mật mã hậu lượng tử khi truyền tải qua mạng Internet công cộng, ngay cả khi bản thân máy chủ không hỗ trợ mật mã hậu lượng tử.
Cuối cùng, chúng tôi lưu ý rằng lưu lượng đi vào Cloudflare One rồi thoát ra Internet công cộng cũng có thể được bảo vệ bằng Cloudflare Gateway - Cổng web an toàn (Secure Web Gateway, SWG) hỗ trợ mã hóa hậu lượng tử của chúng tôi. Đây là sơ đồ minh họa cách thức hoạt động của SWG:
Như đã thảo luận trong bài đăng trên blog trước, SWG của chúng tôi hiện đã có thể hỗ trợ ML-KEM lai trên lưu lượng truy cập từ SWG đến máy chủ gốc (miễn là máy chủ gốc hỗ trợ ML-KEM lai) và trên lưu lượng truy cập từ máy khách đến SWG (nếu máy khách hỗ trợ ML-KEM lai, thường có ở hầu hết các trình duyệt hiện đại). Quan trọng là, mọi lưu lượng đi vào cổng web an toàn SWG thông qua thiết bị đã cài đặt Cloudflare One Client vẫn được bảo vệ bằng ML-KEM dạng lai - ngay cả khi chính trình duyệt web chưa hỗ trợ mật mã hậu lượng tử. Điều này là do đường hầm MASQUE hậu lượng tử mà Cloudflare One Client thiết lập với mạng lưới toàn cầu của Cloudflare. Điều tương tự cũng xảy ra với lưu lượng truy cập vào SWG thông qua đường hầm hậu lượng tử Cloudflare IPsec.
Tóm lại, Cloudflare One hiện cung cấp mã hóa hậu lượng tử trên các giao thức TLS, MASQUE và IPsec, cho cả lưu lượng mạng riêng và lưu lượng truy cập ra Internet công cộng thông qua SWG của chúng tôi.
Tương lai an toàn trước công nghệ lượng tử
Bằng cách hoàn thiện phương trình SASE hậu lượng tử với Cloudflare IPsec và Cloudflare One Appliance, chúng tôi đã mở rộng mã hóa hậu lượng tử trên tất cả các cổng vào chính của mình. Chúng tôi chủ ý lựa chọn hướng đi đề cao khả năng tương thích và sự đơn giản - áp dụng phương pháp ML-KEM dạng lai do IETF và NIST thúc đẩy - thay vì khóa chặt khách hàng vào các triển khai độc quyền, làm phình to bộ thuật toán mật mã, hay buộc phải nâng cấp phần cứng không cần thiết.
Đây là lời hứa của Cloudflare One: một nền tảng SASE không chỉ nhanh hơn và đáng tin cậy hơn so với các kiến trúc cũ mà nó thay thế, mà còn cung cấp mã hóa hậu lượng tử. Cho dù bạn đang bảo mật trình duyệt của nhân viên làm việc từ xa hay đường truyền dữ liệu đa gigabit tại trung tâm dữ liệu, giờ đây bạn có thể tự tin rằng dữ liệu của mình được bảo vệ khỏi các cuộc tấn công "thu thập trước, giải mã sau" và các mối đe dọa tiềm tàng khác.
Đăng ký tại đây để xem bản trình diễn đầy đủ về các khả năng hậu lượng tử của chúng tôi trên nền tảng SASE Cloudflare One, hoặc đăng ký tại đây để được đưa vào danh sách tham gia chương trình thử nghiệm kín của Cloudflare IPsec. Chúng tôi tự hào dẫn dắt ngành công nghiệp bước vào kỷ nguyên mật mã mới, và trân trọng mời bạn cùng chúng tôi xây dựng một Internet có khả năng mở rộng, tuân thủ tiêu chuẩn và sẵn sàng cho thời đại hậu lượng tử.