隨著越來越多的組織共同開始採用 SASE 架構,很顯然,傳統的 SASE 市場定義(SSE + SD-WAN)已不再足夠。這迫使一些團隊與多個廠商合作來滿足他們的特定需求,這帶來了效能和安全之間的權衡。更令人擔憂的是,它更多地將注意力集中在服務清單上,而不是廠商的底層架構。如果組織最終透過分散的、有缺陷的網路傳送流量,那麼即使是最進階的個人安全服務或流量入口也無濟於事。
單一廠商 SASE 是融合不同安全與網路技術的重要趨勢,但企業「任意連線性」需要真正的網路現代化,SASE 才能為所有團隊服務。在過去幾年中,Cloudflare 推出了多項功能,幫助組織在 SASE 使用案例的短期和長期路線圖上實現網路現代化。不論領導該計畫的團隊狀況如何,我們都幫助簡化了 SASE 實作。
宣佈推出(更加)靈活的單一廠商 SASE 入口
今天,我們宣佈為 SASE 平台 Cloudflare One 推出一系列更新,進一步實現了對單一廠商 SASE 架構的承諾。透過這些新功能,Cloudflare 讓 SASE 網路對安全團隊而言更加靈活且更易於存取,對傳統網路團隊來說更加高效,並在更大的 SASE 連線相關討論中將覆蓋範圍延伸到服務不足的 DevOps 團隊。
這些平台更新包括:
- 用於網站到網站連線的靈活入口,支援基於代理程式/代理和基於設備/路由的實作,從而簡化安全和網路團隊的 SASE 網路。
- 新的 WAN 即服務 (WANaaS) 功能,如高可用性、應用程式感知、虛擬機器部署選項以及增強的可見性和分析,可提高營運效率,同時透過「輕分支,重雲端」方法降低網路成本。
- 適用於 DevOps 的 Zero Trust連線:網狀和點對點 (P2P) 安全網路功能,可延伸 ZTNA 以支援服務到服務工作流程和雙向流量。
Cloudflare 提供各種 SASE 入口和出口,包括用於 WAN、應用程式、服務、系統、裝置或任何其他內部網路資源的連接器,以更輕鬆地路由進出 Cloudflare 服務的流量。這有助於組織根據現有環境、技術熟悉度和工作角色,調整到最適合的連線典範。
我們最近在另一篇單獨的部落格文章中深入探討了 Magic WAN Connector,解釋了我們所有的入口如何在我們的 SASE 參考架構中組合在一起,包括我們新推出的 WARP Connector 。本部落格重點介紹這些技術對從不同角度接觸 SASE 網路的客戶所產生的主要影響。
對安全團隊而言更靈活、更易於存取
實作 SASE 架構的過程可能會給組織在 IT、安全性和網路方面的內部職責與協作現狀帶來挑戰。不同的團隊擁有各種安全或網路技術,其更換週期不一定一致,這可能會降低組織支援特定專案的意願。
安全或 IT 從業人員需要能夠保護位於任何位置的資源。有時,小的連線變化可以幫助他們更有效地保護給定資源,但該任務超出了他們的控制範圍。安全團隊不希望在工作中依賴網路團隊作,但他們也不希望現有網路基礎架構導致下游問題。他們需要一種更簡單的方法來連線子網路,而不會受到組織架構的阻礙。
基於代理程式/代理的網站到網站連線
為了幫助推動這些以安全為主導的專案克服與傳統孤島相關的挑戰,Cloudflare 為網站到網站或子網路到子網路連線提供基於代理程式/代理和基於設備/路由的實作。這樣,網路團隊就可以透過我們基於設備/路由的 WANaaS(現代架構與傳統 SD-WAN 的疊加)來追求他們熟悉的傳統網路概念。同時,安全/IT 團隊可以透過基於代理程式/代理的軟體連接器(如 WARP Connector)實現連線性,這可能更容易實作。這種基於代理程式的方法模糊了分支連接器和應用程式連接器的產業規範之間的界限,使 WAN 和 ZTNA 技術更加緊密地結合在一起,以幫助在任何地方實現最低權限存取。
基於代理程式/代理的連線可能適合於組織總網路連線的一部分。這些軟體驅動的網站到網站使用案例可能包括沒有路由器或防火牆的微型網站,或者可能是團隊無法設定 IPsec VPN 或 GRE 通道的情況,例如在嚴格監管的受管理網路或 Kubernetes 之類的雲端環境中。組織可以混合和匹配流量入口以滿足其需求;所有選項都可以組合和同時使用。
我們基於代理程式/代理的網站到網站連線方法使用相同的底層技術,可幫助安全團隊完全取代 VPN,透過伺服器發起的流量或雙向流量支援應用程式的 ZTNA。其中包括 VoIP 和工作階段啟動通訊協定 (SIP) 流量、Microsoft 系統中心設定管理器 (SCCM)、Active Directory (AD) 網域複寫,以及下文將詳細介紹的 DevOps 工作流程。
這個新的 Cloudflare 入口可實現網站到網站、雙向和網狀網路連線,無需變更底層網路路由基礎架構。該入口充當私人網路內子網路的路由器,透過 Cloudflare 進行流量往返。
對傳統網路團隊來說更加高效
同時,對於偏好使用基於網路層設備/路由之實作來實現網站到網站連線的網路團隊來說,產業規範依然在安全性、效能、成本和可靠性之間強加了過多的權衡。許多(甚至是大多數)大型企業仍然依賴於 MPLS 之類的傳統私人連線形式。MPLS 通常被認為昂貴且不靈活,但它高度可靠,並且具有用於頻寬管理的服務品質 (QoS) 等功能。
商品性網際網路連線已在世界大部分地區廣泛使用,但存在許多挑戰,導致並不能完全取代 MPLS。在許多國家,高速網際網路既快速又便宜,但並非普遍如此。速度和成本取決於當地基礎架構和區域服務提供者的市場。總的來說,寬頻網際網路也不如 MPLS 可靠。服務中斷和速度減慢並不罕見,客戶對服務中斷的頻率和持續時間有不同程度的容忍度。對企業來說,服務中斷和速度減慢是不能容忍的。網路服務中斷意味著業務損失、客戶不滿意、生產力下降和員工沮喪。因此,儘管事實上大量企業流量已轉移到網際網路上,但許多組織仍面臨著從 MPLS 遷移的困難。
SD-WAN 引入了 MPLS 的替代方案,不受傳輸技術限制,比僅僅依靠傳統寬頻能夠提供更高的網路穩定性。然而,它帶來了新的拓撲和安全挑戰。例如,如果繞過分支機構之間的檢查,許多 SD-WAN 實作可能會增加風險。它還存在特定於實作的挑戰,例如如何解決中間傳輸的擴展和使用/控制,或者更準確地說,是缺乏對中間傳輸的使用和控制。因此,對於許多組織來說,完全切換到網際網路連線並消除 MPLS 的承諾仍然沒有實現。一些客戶在購買時並不清楚這些問題,需要持續的市場教育。
企業 WAN 的演變
Cloudflare Magic WAN 遵循一種不同的典範,在 Cloudflare 的全球連通雲中從頭構建;它採用「輕分支、重雲端」的方法來增強並最終取代現有的網路架構,包括 MPLS 電路和 SD-WAN 疊加。雖然 Magic WAN 具有與客戶期望的傳統 SD-WAN 類似的雲端原生路由和設定控制,但它更易於部署、管理和使用。它可以根據不斷變化的業務需求進行擴展,並內建安全性。Solocal 等客戶一致認為,該架構的優勢最終會降低他們的總體擁有成本:
「Cloudflare 的 Magic WAN Connector 以直覺的方式提供網路和安全基礎架構的集中式自動化管理。作為 Cloudflare SASE 平台的一部分,它提供了基於市場標準和最佳做法的一致且同質的單一廠商架構。確保了對所有資料流的控制,並降低了外洩或安全漏洞的風險。對於 Solocal 來說,很明顯,它可以為我們節省大量成本,將與採購、安裝、維護和升級分支機構網路設備相關的所有成本降低多達 40%。這是一個極具潛力的連線解決方案,可幫助我們的 IT 實現網路現代化。」
– 網路營運經理 Maxime Lacour,Solocal
這與其他單一廠商 SASE 方法截然不同,後者一直試圖協調圍繞根本不同的設計理念設計而成的所購產品。這些「縫合在一起」的解決方案由於其分散的架構而導致不融合的體驗,類似於組織在管理多個獨立廠商時可能會看到的情況。相比將不同的網路和安全解決方案拼湊在一起,利用構建了統一的整合式解決方案的廠商來整合 SASE 的元件,能夠降低複雜性,避免繞過安全控制和潛在的整合或連線挑戰,最終大幅簡化部署和管理。
Magic WAN 可以透過我們的 Connector 裝置自動建立到 Cloudflare 的 IPsec VPN 通道,也可以透過客戶邊緣路由器或防火牆上啟動的 Anycast IPsec VPN 或 GRE 通道,或者透過私人對等互連位置或公有雲端執行個體上的 Cloudflare 網路互連 (CNI),手動建立到 Cloudflare 的 IPsec 通道。它超越了 SSE 所提出的「整合」理念,真正融合了安全性和網路功能,幫助組織更高效地實現網路現代化。
新的 Magic WAN Connector 功能
2023 年 10 月,我們宣佈全面推出 Magic WAN Connector,這是一種輕量級裝置,客戶可以將其放入現有網路環境中,以實現到 Cloudflare One 的零接觸連線,並最終用於取代傳統 SD-WAN 裝置、路由器和防火牆等其他網路硬體。今天,我們很高興地宣佈,Magic WAN Connector 推出新功能,包括:
- 關鍵環境的高可用性 (HA) 設定:在企業部署中,組織通常希望支援高可用性以降低硬體故障的風險。高可用性使用一對 Magic WAN Connector(作為虛擬機器執行或在支援的硬體裝置上執行),它們相互配合工作,以便在一個裝置發生故障時無縫恢復操作。客戶可以從一個統一的 Cloudflare One 儀表板管理 HA 設定,就像管理 Magic WAN Connector 的所有其他方面一樣。
- 應用程式感知:與更傳統的網路裝置相比,SD-WAN 的一個主要區別性特徵是,除了 IP 和連接埠範圍等網路層屬性之外,還能夠基於眾所周知的應用程式建立流量原則。應用程式感知原則可提供更輕鬆的管理和更細粒度的流量。Cloudflare 的應用程式感知實作利用了我們全球網路的智慧,使用安全 Web 閘道等安全工具中共用的相同分類,因此 IT 和安全團隊可以期望在路由和檢查決策中實現一致的行為——在雙廠商或拼接在一起的 SASE 解決方案中無法提供這一功能。
- 虛擬機器部署選項:Magic WAN Connector 現在作為虛擬設備軟體映像提供,可以下載並立即部署在任何受支援的虛擬化平台/hypervisor 上。虛擬 Magic WAN Connector 具有與硬體設備相同的超低接觸部署模型和集中式群體管理體驗,並且免費提供給所有 Magic WAN 客戶。
- 增強的可見性和分析能力:Magic WAN Connector 增強了對關鍵指標的可見性,例如連線狀態、CPU 使用率、記憶體耗用和裝置溫度。這些分析可透過儀表板和 API 取得,因此營運團隊可以將資料整合到其 NOC 中。
將 SASE 的覆蓋範圍延伸到 DevOps
複雜的持續整合和持續交付 (CI/CD) 管道互動因敏捷而聞名,因此支援這些工作流程的連線性和安全性應該能夠與之匹配。DevOps 團隊經常依賴傳統 VPN 來完成對各種開發和營運工具的遠端存取。VPN 管理起來很麻煩,容易被已知漏洞或 zero-day 漏洞利用,並且使用傳統的中樞和支點連線模型,對於現代工作流程來說速度太慢。
在所有員工群體中,開發人員特別擅長找到創造性的解決方法來減少日常工作流程中的摩擦,因此所有公司安全措施僅需要「能夠工作」,不要妨礙到他們。理想情況下,無論使用什麼元件和工具,也無論它們位於何處,所有建置、暫存和生產環境中的使用者和伺服器都應透過集中式、Zero Trust 存取控制進行協調。應該允許臨時的原則變更,以及在生產伺服器事件期間為承包商甚至緊急回應人員提供臨時 Zero Trust 存取權限。
DevOps 的 Zero Trust 連線
ZTNA 作為安全、最低權限的使用者到應用程式存取的產業典範表現良好,但它應該進一步延伸,以保護涉及伺服器發起的流量或雙向流量的網路用例。這遵循了一種新興趨勢,即跨雲端、VPC 或網路分段的覆蓋式網狀連線模型,無需依賴路由器。要實現真正的任意連線性,客戶需要涵蓋其所有網路連線和應用程式存取用例的靈活性。並非每個 SASE 廠商的網路入口都能夠在不需要變更網路路由或進行安全權衡的情況下,延伸到用戶端發起的流量之外,因此通用的「任意連線性」聲明可能並非像最初看起來的那樣。
Cloudflare 延伸了 ZTNA 的覆蓋範圍,以確保覆蓋所有使用者到應用程式用例,同時提供網狀和點對點安全網絡,使連線選項盡可能廣泛和靈活。DevOps 服務到服務工作流程可以在完成 ZTNA、VPN 取代或企業級 SASE 的相同平台上高效執行。Cloudflare 充當所有 DevOps 使用者和資源之間的連線「粘合劑」,無論每個步驟的流量如何流動。正是這一項技術(即 WARP Connector)使管理員能夠管理具有重疊 IP 範圍(VPC 和 RFC1918)的不同私人網路,支援伺服器發起的流量和現有私人網路上的點對點應用程式(例如 SCCM、AD、 VOIP 和 SIP 流量)連線,建構點對點私人網路(例如 CI/CD 資源流),並確定地路由流量。組織還可以透過 Cloudflare 的 Terraform 提供者自動管理其 SASE 平台。
Cloudflare 的不同之處
Cloudflare 的單一廠商 SASE 平台 Cloudflare One 在我們的全球連通雲之上構建,這是公有雲端的演進方向,提供了一個可程式設計、可組合服務的統一智慧平台,可實現所有網路(企業和網際網路)、雲端、應用程式和使用者之間的連線。我們的全球連通雲足夠靈活,可以讓實作 SASE 架構的組織更輕鬆地實現「任意連線性」,同時適應部署偏好和規範指導。Cloudflare 旨在提供所需的廣度和深度,幫助組織透過單一廠商 SASE 及其他方式重新獲得 IT 控制,同時簡化整個過程中做出貢獻的每個團隊的工作流程。
其他 SASE 廠商將其資料中心設計為用於網際網路的輸出流量。它們並非設計用於處理或保護東西向流量,對於分支機搆到總部或分支機搆之間的流量,既不提供中間傳輸,也不提供安全服務。Cloudflare 的中間傳輸全球骨幹網路支援適用於任意連線性的安全和網路服務,無論使用者是在本地還是遠端,無論應用程式是在資料中心還是在雲端。
要瞭解更多資訊,請閱讀我們的參考架構《透過 Cloudflare 進化到 SASE 架構》,或與 Cloudflare One 專家交談。