Cloudflare One: One Year Later

Cloudflare One 帮助企业构建现代企业网络,高效安全地运行,一举淘汰本地硬件。这个产品套件发布已超过一年,我们想看看进展如何。

本周我们将为首席信息官们举办庆祝活动。无论其组织规模有多大,他们都经历了充满挑战的一年。一夜之间,他们的团队便开始着手负责多年的数字化转型,并使其网络和用户做好准备,以支持居家办公并采用新技术。他们与安全、工程和人员团队的合作伙伴展开合作,以确保其关键基础设施的运行。

今天,我们想重点介绍一下首席信息官 (CIO) 们在过去一年中利用 Cloudflare One 解决的问题。客户正在以我们一年前无法想象的规模使用 Cloudflare One,以此解决我们尚未掌握的各种问题。我们将在文章后面部分介绍一些具体用例,但我们首先将回顾一下为什么要创建 Cloudflare One,它能解决哪些问题,以及我们本周推出的一些新产品。

Cloudflare One 是什么?

Cloudflare One 使公司能够通过一个供应商和一个控制平面购买、配置和管理运营企业网络所需的连接、安全和分析工具。

从历史角度看,CIO 们已从几十家硬件供应商那里购买点解决方案。他们组装出各种设备和服务,以确保其组织的连接和安全。尽管有成本和维护负担,但这些权宜之计还是能坚持一段时间。

然而,随着需要连接的设备增多,这种模式也被打破。办公地点变得更加分散,而且远程办公最近变得非常普遍。原来仅存在于企业数据中心的应用程序转移到公共云提供商或 SaaS 模式。这些转变使原本的权宜之策无法再提供支持,而针对网络和端点的攻击也变得更加复杂。

为此,我们与客户讨论了这个问题。他们认为这些变化带来了各种问题:在其基础层,他们需要将其用户、办公室、数据中心和云端相互连接并与互联网相连。接下来,他们需要对这些实体之间的流量进行筛选。最后,他们需要对这些流量进行记录、诊断和分析。在这些初步需求得到满足后,需要确保解决方案快速可靠,并能够符合当地法律和法规。

Cloudflare 运行着一个全球性可编程边缘网络。我们可利用这个网络来提高互联网上一些大型网站和服务的速度和安全性。我们创建 Cloudflare One 的目的是使企业客户能够使用该网络来解决他们面临的新挑战。今天,无论客户或其员工在何处办公,Cloudflare 都能帮助 CIO 在不以降低性能为代价的前提下,提供连接性、安全性和可视性。

工作原理

Cloudflare One 以连接性为出发点。您的团队可以将办公室、数据中心、设备和云财产连接到 Cloudflare 的网络。对于您想如何向我们发送流量,我们秉持灵活开放的态度。通过 SD-WAN 合作伙伴关系或我们即将推出的 Cloudflare for Offices 基础设施将您的办公室和数据中心连接到 Cloudflare。从本周开始,除了我们现有的 GRE 隧道之外,您还可以开始使用 IPsec 隧道。

使用轻量级代理连接您的内部资源和互联网的其他部分。您的团队是否依赖于承包商和未受管设备?以完全无代理的模式将其连接到内部工具。我们还将宣布对 Cloudflare Tunnel 和我们的网络接口配置的新改进,以继续使您的组织能够更轻松地连接到我们的全局网络。

Cloudflare 的网络在连接后便可提供一套全面的安全功能来保护您的流量。客户可以依靠我们的网络来执行所有操作,从 IP 层的 DDoS 缓解到用远程浏览器隔离来阻止威胁。我们将在本周晚些时候分享有关新网络防火墙功能的详情,帮助您的团队继续解决更多的问题。

除了保护您的组织免受互联网威胁外,Cloudflare One 还可为您的团队提供全面的 Zero Trust 控制,即控制哪些人可以访问您的内部资源和 SaaS 应用程序。

由于流量已通过 Cloudflare 连接并得到保障,我们可以帮助您提高速度。Cloudflare 正在建设世界上最快的网络。您可以通过阅读更多地了解我们目前在哪些领域能够提供最快的速度,以及我们如何努力在任何位置实现最快的速度。本周,我们将分享我们网络性能的更新内容,以及智能加速网络数据包的新功能。

仅速度快是远远不够的。即便存在您无法掌控的因素,为您的组织提供支持的网络也应该足够可靠。全世界与 Cloudflare 网络相连的网络有 10,000 多个。有了这种互联性最强的网络,当互联网其他地方发生中断时,我们便可以找到很多从 A 点到 B 点的路径。

最后,越来越多的客户表示需要一个具有本地化合规功能的全局网络。Cloudflare One 使遵守当地数据保护法规变得容易。客户可以选择 Cloudflare 的网络在哪里应用安全功能,以及我们如何存储和导出您的日志。作为 CIO Week 的一部分,我们将预先介绍一些新功能,而这些新功能可以使您的团队在我们的网络中创建元数据边界。

综上所述,我们认为,了解 Cloudflare One 如何运作的最好方式就是逐一分析我们客户不再存在的问题。

客户维护的流量增加了 5 倍

通过 Cloudflare One 的整体网络流量比去年增加了近 400%,高级流量控制和过滤技术以线速应用于每一比特的数据。

Cloudflare 的可组合流量过滤堆栈使客户能够选择将哪些安全控制措施应用于哪些流量,进而确保了流量管理的灵活性和特殊性。有些客户使用简单的“4 元组”规则,以此允许或拒绝基于 IP 地址和端口号的流量进入他们的网络。有些客户则在 eBPF 中编写自己的网络过滤器(本周晚些时候会有更多相关内容!),以便对每次数百千兆比特的流量执行自定义逻辑。还有一些客户使用纯粹的 Zero Trust 架构,将基于身份的策略执行和端点保护相集成。

在最近很平常的 24 小时内, 客户已通过自定义规则阻止 9.3 万亿 个不需要的数据包、请求和其他网络“名词”进入其网络。这些规则都可以集中管理,不会造成任何性能损失,而且可以对流量强制执行这些规则,无论流量来自哪里或要去哪里,无论是办公室、数据中心还是云供应商。

相同规则和过滤逻辑适用于所有进入我们网络的流量。我们的整个边缘网络是一个巨大的防火墙,因此无需回传到中央设备或网络位置,就可以应用防火墙策略。

我们认为,Cloudflare One 的架构优势使其成为一个超强的防火墙,其使用量的增加恰恰证明了这一点。但真正使我们的网络及其综合安全功能与众不同的是,我们能够在同一网络中提供 Zero Trust 控制,使 CIO 们能够去考虑保护应用程序和用户的安全,而不是 IP 地址和 TCP 端口。

客户保护了 192,000 多款应用程序

传统的专用网络和 VPN 客户端提供的连接很脆弱,无法实现真正的安全性。在大多数部署中,除非明确禁止,否则专用网络中的用户可以随意连接到任何资源。安全团队没有基于身份的控制措施,且缺乏对网络的可见性,而 IT 团队则苦于处理那些求助台问题单。

Cloudflare Access 通过 Zero Trust 模型取代了专用网络安全功能,使任何内部应用程序感觉就好像是互联网上最快的 SaaS 应用程序一样。客户可以在不破坏防火墙的情况下将其内部资源连接到 Cloudflare 的网络。连接后,管理员可以建立全局规则和针对每个资源的规则,以控制登录人和连接方式。用户只需点击一下就可启动应用程序,由 Cloudflare 的网络执行这些规则,并在全世界范围内加速其流量。

在过去一年中,客户通过 Cloudflare 中的 Zero Trust 规则保护了 192,000 多款应用程序。这些应用程序包括为业务提供动力的关键任务工具、保存公司最敏感数据的管理面板以及下一个版本的新营销网站等。自去年发布 Cloudflare One 以来,我们还在浏览器中引入了非 HTTP 用例,在未使用任何额外客户端软件的情况下,对 SSHVNC 客户端进行了渲染。

无论保护什么,客户都可以对规则进行分层,从“只有我的团队可以登录”到“只允许来自这些国家/地区的这组用户通过公司设备上的物理硬键进行连接。”我们也知道,有时需要第二种方法来实现安全性。今年早些时候,我们推出了多种新功能 以提示用户输入其连接资源的原因, 并要求第二个管理员实时签署该请求。

我们还认为安全性决不应破坏性能。客户使用我们的 Zero Trust 产品保护的应用程序受益于一些互联网大型网站所使用的同一种路由加速。我们还让安全决策更贴近用户,以避免减慢他们的工作速度 - Cloudflare 的网络在我们全球所有 250 个数据中心中执行 Zero Trust 规则,通过在我们自己的无服务器计算平台上运行,而让速度变得更快。

10,000 多支小团队现在更为安全

我们推出 Cloudflare One 的目的是确保任何规模的组织都能实现 Zero Trust 安全性。当我们三年前首次发布 Cloudflare Access 时,小型团队很难甚至无法更换其 VPN。他们被那些只为企业服务的供应商拒之门外,被迫使用传统的专用网络。

我们很兴奋地看到,现在已有 10,000 多家组织在积极保护他们的资源,而无需与 Cloudflare 签订任何合同。我们还努力确保小型组织能够更容易地获取这些工具。去年,我们将客户可以添加到其计划中的免费用户数量提高到了 50 位

现在已有 5,500 多家组织可确保其外部 Internet 流量的安全

Zero Trust 并不适用于您的内部应用程序。当您的用户连接互联网的其他地方时,攻击者就会努力通过网络欺诈他们的密码,在他们的设备上安装恶意软件,并窃取他们的数据。

Cloudflare One 可为客户提供多层安全过滤器,并跨越多个入口,使您的组织免受数据损失和威胁。自去年发布 Cloudflare One 以来,已有 5,500 多家组织用这款产品保护其离开设备、办公室和数据中心的流量。

在过去一年中,由这些组织部署的安全措施每月都在改善。客户依靠世界上最快的 DNS 解析器和 Cloudflare 对互联网的可见性所提供的情报来过滤 DNS 流量的安全威胁和内容类别。Cloudflare 用基于身份的策略对其网络流量进行过滤阻止文件传输并检查 HTTP 流量中是否存在病毒。组织可以控制员工可使用哪些 SaaS 应用程序的租户,随后 Cloudflare 的网络将生成一份全面的 Shadow IT 报告

如果组织不信任互联网上的任何内容,则可以连接到 Cloudflare 的隔离浏览器。客户可以隔离所有目的地或只隔离特定目的地,而无需使用特殊的浏览器客户端,也不需要忍受像素推送和 DOM 操作等传统的浏览器隔离方法。Cloudflare 的网络还可以在浏览器中直接增加数据控制 — 阻止复制粘贴、打印,甚至阻止用户和目的地的文本输入。

所有这些都是通过一个不断扩大的全局网络来实现的,其目的是为了扩大规模

所有这些功能均通过 Cloudflare 拥有的裸机硬件在我们的整个全局网络上交付,并在全球 250 多座城市中运行。我们不会使用任何公共云,我们所有的服务都在世界各个地点的各个服务器上运行。无论是物理的还是虚拟的,都不存在硬件尺寸的位置选择。所有服务器都能处理客户的数据包。

这种独特的架构使我们能够快速有效地创建可靠的产品。我们的网络目前每天最多可以处理 1.69Tbps 的转发代理流量。我们最大的客户在单个虚拟接口上传输的流量以每秒数百千兆比特的速度计算。

客户既能从我们提供的连接性、安全性和可视性产品中获得利益,也能通过我们其他客户的网络获得价值。大多数 Cloudflare One 客户与连接到 Cloudflare 的其他客户网络有着重要的互动关系,其中很多客户通过世界各地的 158 个对等设施提供的直接物理连接进行互联。

客户如何使用 Cloudflare One?

在过去一年中,数以万计的客户使用 Cloudflare One 解决了大量问题。我们还想特别介绍几个组织,以及其在此模型自去年发布以来的具体迁移历程。

防止美国联邦政府受到攻击

在美国国土安全部内,网络安全和基础设施安全局 (CISA) 作为“国家的风险顾问”展开工作。CISA 与公共和私有部门的团队合作,以确保联邦政府以及州、地方、部落与领土机构和部门的关键基础设施的安全。

CISA 反复强调的一个风险是来自于恶意主机名、恶意链接钓鱼邮件和不可信任的上游域名系统解析器的威胁。攻击者可在骗过这些终端后,向某个特定主机名发送 DNS 查询来破坏设备和用户。当用户连接到该解析查询背后的目的地时,攻击者就可以窃取密码、数据,并在设备上安装恶意软件。

今年年初,CISA 和美国国家安全局 (NSA) 建议相关团队部署保护性 DNS 解析器,以防止这些攻击得逞。与标准 DNS 解析器不同,保护性 DNS 解析器可检查被查询的主机名,进而确定目的地是否存在恶意。如果主机名有风险,该解析器可通过不回答 DNS 查询来阻止连接。

今年年初,CISA 宣布其不仅建议使用保护性 DNS 解析器 — 而且还向其中一个合作伙伴机构提供了一款解析器。CISA 选择 Cloudflare 和 Accenture Federal Services 提供一个联合解决方案,以此帮助政府抵御网络攻击。

确保硬件制造商劳动力的安全性和生产效率

早在 2018 年,一家世界最大的电信及网络设备公司的内部开发者运营团队就对其传统 VPN 失去了耐心。该组织中的开发人员依靠 VPN 连接其工作所需的工具。这种需求降低了他们的工作速度,并给用户带来了麻烦,最终导致 IT 部门苦于处理求助台问题单。

该集团的领导团队决定摆脱 VPN,以脱离窘境。他们当时注册了 Cloudflare Access,最初使用一名管理员的个人信用,将他们的开发工具转移到一个无缝平台,以使其内部应用程序对用户来说就像 SaaS 应用程序一样好用。

在过去三年里,组织中的更多部门很羡慕,也要求在他们的小组中放弃 VPN 的使用。随着组织中的上千个用户迁移到 Zero Trust 模型,其安全团队开始利用可以创建的规则,以及无需任何服务器代码更改而生成的日志。

上个月,该安全团队开始使用 Cloudflare One 为互联网的其余部分构建 Zero Trust 规则。其组织选择了 Cloudflare Gateway,以将其旧版 DNS 过滤解决方案替换为更快、更易管理的平台,使 100,000 多个团队成员免受任何位置的网络钓鱼攻击、恶意软件和勒索软件侵犯。

保护构建 BlockFi 的团队

BlockFi 的使命是为传统上服务不足的市场带来金融授权。BlockFi 的利息帐户、加密货币支持贷款、奖励卡和加密交易平台让数十万个用户能够使用新的金融工具。截至 2021 年 6 月 30 日,BlockFi 支持超过 450,000 名资金客户并管理超过 100 亿美元的资产。

面对他们增长过程中所带来的新挑战,使其服务保持可用且安全。在注册 API 上遇到重大 DDoS 攻击之后,BlockFi 开始其 Cloudflare One 之旅。BlockFi 团队联系了 Cloudflare,我们能够帮助缓解 DDoS 和 API 攻击,在几小时内使其系统恢复启动并运行。然后,BlockFi 能够在添加 Cloudflare 的自动程序管理平台的第一天阻止大约 1000 万个恶意自动程序。

一旦公共 Web 基础结构再次启动并运行,BlockFi 开始评估如何提高其内部用户和应用程序的安全性。BlockFi 依赖使用 IP 地址阻止或允许用户连接的私有网络,花费预留维修时间专门维护 IP 列表。当用户离开办公室时,该模型崩溃了。

BlockFi 将其旧版网络替换为 Cloudflare One,以将身份驱动的 Zero Trust 控制引入其内部资源,从而解决了该挑战。团队成员从任何位置连接,并通过其单点登录进行身份验证。

其安全团队并不止步于此。为了保护员工免受网络钓鱼和恶意软件攻击,BlockFi 部署了 Cloudflare One 的 DNS 过滤和安全 Web 网关,以阻止针对其全体员工或特定员工的攻击。

利用 Cloudflare 的网络覆盖能力,让电话保持畅通

我们的最后一个客户故事涉及最近遭受勒索攻击的一家大型 VoIP 和统一通信基础结构公司。他们迅速(全程不到 24 小时)在其全部互联网业务前端部署了 Cloudflare Magic Transit,包括其企业和生产网络。

鉴于互联网电话的性质,他们非常担心性能下滑和通话质量影响。幸运的是,部署 Cloudflare 实际上改善了关键网络质量指标,如延迟和抖动,这让他们的网络管理员感到惊喜。

Cloudflare 的网络非常擅长驱动和保护那些毫秒必争、可靠性至上的性能关键型工作负载。

接下来?

在本周之内,我们将分享利用 Cloudflare One 解决新问题的几十个新公告。我们刚刚开始构建下一代企业网络,本周敬请关注,了解更多信息。

自去发布以来,许多组织给予我们充分信任,采用 Cloudflare One 作为企业网络,对此我们也深表感激。如果您的团队打算开启这段旅程,请关注此链接,立即开始行动。