首席信息官(CIO)的世界已经发生了变化,今天的企业网络与 5 年或 10 年前已完全不同,这些变化已经在可见性和安全性方面造成了空白,带来了高成本和运营负担,并导致网络脆弱不堪。
我们乐观地认为,CIO 们可以期待一个更光明的未来。互联网已经从一个研究项目发展为企业所依赖的必要基础设施,我们认为,要解决 CIO 今天所面临最具挑战性的问题,使互联网变得更好就是正确的前进道路。Cloudflare 正在帮助建设一个更快、更安全、更可靠、更私密、可编程性更高的互联网,通过这样做,组织将能够在我们的网络上构建他们的下一代网络。
本周,我们将展示 Cloudflare One —— 我们的Zero Trust 即服务——如何帮助 CIO 改造他们的企业网络。我们推出新的功能,以扩大 Cloudflare 平台的范围,满足 CIO 的现有和新出现的需求。但在我们进入这一周前,我们想花些时间谈谈我们有关未来企业网络的愿景。我们希望能明确一下意识到这个机会的厂商和分析师所用的术语和缩写(例如,Zero Trust 网络即服务是什么意思呢?),以及我们的创新方式如何实现以上愿景。
第一代:城堡与护城河
多年来,企业网络都是这样的:
公司在主要办公地点内或附近自建或租用数据中心。他们在这些数据中心的服务上托管各种业务应用——电子邮件服务器、ERP 系统、CRM 等。办公室的员工通过局域网(LAN)或专用广域网(WAN)链路从分支机构连接到这些应用。每个数据中心都拥有一系列安全硬件(如防火墙),对所有进出流量实施安全保护。一旦进入企业网络,用户可以横向移动到其他连接的设备和托管的应用程序,但基本形式的网络认证和物理安全控制,如员工胸卡系统,通常可以防止不受信任的用户进入。
网络架构记分卡:第一代
| 特征 | 得分 | 描述 |
|---|---|---|
| 安全 | ⭐⭐ | 所有流量都通过边界安全硬件。通过物理控制限制网络访问。在网络上可横向移动。 |
| 性能 | ⭐⭐⭐ | 大多数用户和应用位于同一建筑物或区域网络中。 |
| 可靠性 | ⭐⭐ | 专用的数据中心、专用链路和安全硬件存在单点故障风险。购买冗余链路和硬件时需要进行成本权衡。 |
| 费用 | ⭐⭐ | 专用连接性和硬件为高成本的资本支出,为小型或新企业造成较大的障碍。然而,要求的链路/设备数量有限(与冗余/可靠性做权衡)。初始安装后,运行成本低至中等。 |
| 可见性 | ⭐⭐⭐ | 所有流量都路由通过中心位置,因此有可能对 100% 的流量执行 NetFlow/包捕获等操作。 |
| 敏捷性 | ⭐ | 重大网络变化需要较长时间才能实施。 |
| 精确性 | ⭐ | 控制主要在网络层(如 IP ACL)执行。实现“仅允许人力资源部门访问员工工资数据”看起来是这个样子的:X 范围内的 IP 允许访问 Y 范围内的 IP(并要求随附电子表格来跟踪 IP 分配)。 |
应用和用户离开城堡
那么,什么东西改变了呢?简而言之,互联网。互联网的发展比任何人预期的都要快,它对人们如何沟通和完成工作变得至关重要。互联网给企业对其计算资源的思考带来了彻底的转变:如果任何计算机都可以与其他任何计算机对话,那么公司为什么还需要将服务器放置在员工所在的大楼内呢?甚至更激进的是,他们为什么需要购买和维护自己的服务器呢?在这些问题中,云应运而生,使公司能在其他服务器上租用空间并托管应用,从而最大程度减少运营开销。全新的软件即服务(SaaS)出现了,使事情进一步简化,允许公司完全抽离容量规划、服务器可靠性和其他运营难题。
云和 SaaS 这个基于互联网的美好未来听起来非常棒!但 CIO 们很快就遇到了问题。在大规模转型过程中,采用城堡加护城河架构现有企业网络要数月或数年才会退役,因此大多组织处于混合状态,一只脚依然牢牢地站在数据中心、硬件和 MPLS 的世界中。发送到应用的任何流量依然需要保护,因此即使流量的目的地不再是公司自有数据中心中的服务器,很多公司仍继续将流量发送到那里(通过专用线路回传),并流经一系列防火墙盒子和其他硬件,然后才放行。
随着越来越多应用迁移到互联网上,离开分支机构并通过 MPLS 线路回传到数据中心进行安全检查的流量不断增长。在采用 Office 365 一个月后,很多公司的 CIO 在他们的带宽账单上遇到了令人不快的意外:在传统网络架构下,到互联网的流量越多,通过昂贵专用链路的流量也越多。
这一重大变化(使用复杂的混合式架构带来意料之外的成本增加)还不是全部,CIO 同时还要面临另一个挑战。互联网不仅改变了应用,也改变了用户。正如服务器不再需要放置于公司总部一样,员工也不需要身处办公室的局域网中才能访问他们的工具。VPN 允许办公室外的员工访问托管于公司网络的应用(无论是物理网络还是在云端)。
这些 VPN 允许远程用户访问企业网络,但它们速度缓慢、使用笨拙,并且只能支持数量有限的员工访问,以防性能下降至无法使用的地步。而且,从安全角度来看,VPN 是很可怕的——只要用户进入了 VPN,他们就能横向移动,发现和访问企业网络上的其他资源。对 CIO 和 CISO 而言,相比佩戴员工卡的员工在传统城堡加护城河办公室环境中使用的计算机,控制带有 VPN 访问权限的笔记本电脑难度就大得多了,这些笔记本电脑有可能被带到任何地方:公园、公共交通工具、酒吧等。
2020 年新冠疫情爆发后,这些有关 VPN 成本、性能和安全的新担忧变成影响到业务的关键性挑战,即使部分员工返回办公室,这种挑战仍将继续存在。
第二代:单点解决方案的大杂烩
市场上出现很多厂商来解决这些重大转变带来的挑战,它们往往仅关注一个或少数几个用例。一些供应商提供硬件设备的虚拟化版本,通过不同的云平台交付;其他供应商使用云原生方式来解决特定问题,例如应用访问或 web 过滤。但将这些单点解决方案拼凑起来给 CIO 造成了更大的麻烦,而且大多可用的产品仅关注增强身份、端点和应用安全,而没有真正解决网络安全问题。
可见性中的空白
与城堡和护城河模型(所有流量通过一系列位于中央位置的设备)相比,现代网络的可见性极其分散。IT 团队需要将来自多个工具的信息整合在一起,才能了解其流量发生了什么情况。即使得到 SIEM 和 SOAR 应用等工具的支持,通常也无法组合出全貌。这给排除故障带来了挑战:IT 支持工单队列充斥着未解决的谜团。您如何管理看不到的东西呢?
安全性中的空白
这种拼凑而成的架构,加上其带来的可见性空白,也造成了安全性方面的挑战。“影子 IT”的概念描述的是,在未获得明确 IT 允许或集成到企业网络的流量和安全策略中的情况下,员工采用和使用的服务。针对特定用户和用例的过滤策略的例外已经变得难以管理,而由于互联网发展速度比任何人预期都要快,我们的客户将他们的网络描述为“狂野西部”。让 CIO 担忧的不仅仅是过滤中的空白。影子 IT 的普遍使用意味着,公司的数据现已能够并确实存在于互联网上大量不受管理的地方。
糟糕的用户体验
回传流量以通过中央位置来执行安全检查给最终用户带来延迟,用户工作的地点距离办公室越远,延迟就越大。同时,尽管互联网发展了很长时间,但从根本上来说,依然是不可预测、不可靠的,在不受他们控制的很多因素(甚至包括不稳定的咖啡店 Wi-Fi)影响下,IT 团队难以确保应用对用户的可用性和性能。
成本高企(并继续增加)
CIO 仍在为 MPLS 链路和硬件支付费用,以保护尽可能多的流量,如今还要承担单点解决方案带来的额外成本,以保护日益复杂的网络。由于支离破碎的可见性和安全性空白,叠加性能挑战,以及对更优质用户体验的期望日益提高,提供 IT 支持的成本也在不断增加。
网络脆弱性
所有这些复杂性意味着,进行更改将非常困难。在当前混合架构的传统部分,配置 MPLS 线路并部署新的安全硬件周期很长,全球硬件供应链最近出现的问题更是雪上加霜。至于为管理网络各方面而拼凑起来的点解决方案,对一个工具的更改可能对另一个工具产生意想不到的后果。IT 部门中这些错综复杂的影响往往成为阻碍业务变化的瓶颈,限制了组织适应不断加速的变化的灵活性。
网络架构记分卡:第二代
| 特征 | 得分 | 描述 |
|---|---|---|
| 安全 | ⭐ | 很多流量在边界安全硬件以外路由,影子 IT 泛滥,即使有管控措施,也无法对东拼西凑而成的各种工具一致地实施。 |
| 性能 | ⭐ | 随着员工办公地点越来越远,回传通过中央位置的流量带来延迟;VPN 和拼凑而成的安全工具带来处理开销和额外的网络跳转。 |
| 可靠性 | ⭐⭐ | 第一代的冗余/成本权衡依然存在;部分云采用在一定程度上增强了韧性,但越来越多地使用不可靠的互联网带来新的挑战。 |
| 费用 | ⭐ | 第一代架构的成本依然存在(迄今极少公司成功淘汰了 MPLS/安全硬件),同时增加了额外工具的新成本,运营开销不断增加。 |
| 可见性 | ⭐ | 流量和可见性碎片化;IT 整合来自多个工具的信息但未能获得完整的全貌。 |
| 敏捷性 | ⭐⭐ | 对于迁移到云的业务而言,某些改变更容易做到;其他改变更为困难,因为额外的工具增加了复杂性。 |
| 精确性 | ⭐⭐ | 网络层和应用层执行混合控制。实现“仅允许人力资源部门访问员工工资数据”看起来是这个样子的:X 组的用户允许访问 Y 范围中的 IP(并要求随附电子表格来跟踪 IP 分配) |
总而言之,重申开头所说的一点,现代 CIO 的工作确实不容易做。但我们相信未来将更加美好。
第三代:互联网成为新的企业网络
下一代企业网络将建在互联网上。这一转变已经在进行中了,但 CIO 们需要一个平台来帮助他们利用一个更好的互联网——更安全、更快、更可靠、保护用户隐私,并遵守复杂的全球数据法规。
互联网规模的 Zero Trust 安全性
CIO 并不愿意放弃昂贵的专用连接方式,因为他们觉得专用连接比公共互联网更加安全。但是,相比传统的城堡加护城河模式,或者为创造“纵深防御”而拼凑的一堆设备和单点软件解决方案而言,通过互联网交付的 Zero Trust 方式显著提高了安全性。在 Zero Trust 模型中,用户并非在进入企业网络后即被信任,并能进行横向移动,而是要求对进出网络上每一个实体或实体之间的每一个请求进行身份验证和授权,确保访问者只能访问他们被明确允许访问的应用。同时,从接近用户的边缘位置执行这一身份验证和策略,可以大幅提高性能,无需回传流量以通过中央数据中心或一大堆安全工具。
要使这种新模式成为可能,CIO 们需要一个具备如下能力的平台:
连接企业网络上的所有实体
这不仅要成为可能,也要简单可靠,从而尽可能灵活地在用户、应用、办公室、数据中心和云资产之间建立连接。这意味要支持客户现有的各种硬件和连接方法,从适用于不同版本操作系统的移动客户端,到兼容标准隧道协议,以及与全球电信提供商的网络对等连接。
应用全面的安全策略
CIO 需要一个与现有身份和端点安全提供商紧密集成的解决方案,并针对网络中所有流量在 OSI 堆栈的每一层提供 Zero Trust 保护。这包括对网络上不同实体之间和传入/传出互联网的流量进行端到端加密、微分段、复杂精确的过滤和检查,并防御其他威胁,例如 DDoS 和机器人攻击。
可视化并提供对流量的洞察
基本而言,CIO 需要了解其流量的全貌:谁在访问什么资源,性能(延迟、抖动、丢包)情况如何?但是,除了提供必要信息来回答有关流量和用户访问外,下一代可见性工具应帮助用户了解趋势并主动突出潜在的问题,并应当提供易于使用的控制来响应这些潜在问题。想象一下,登录到一个仪表板后,就能获得对网络攻击面、用户活动、性能/流量状况的全面视图,收到有关加强安全和优化性能的定制建议,并能一键就这些建议采取行动。
无论在天涯海角都能获得更佳体验
对于公共互联网,较为经典的批评是:速度慢,不可靠,日益受到复杂法规的约束。因此,作为一家全球分布式公司的 CIO,在互联网上运营面临巨大的挑战。CIO 们需要的平台将做出智能决定来优化性能,确保可靠性,同时提供使合规轻松自如的灵活性。
快速——在最重要的指标上
测量网络性能的传统方法(例如速度测试)不能反映实际用户体验的全部情况。下一代平台将全方位衡量和考虑针对特定应用的因素,同时使用有关互联网运行状况的实时数据,从而实现端到端的流量优化。
可靠——尽管存在不可控的因素
计划停机是过去的一种奢侈:今天的 CIO 需要运行 24x7 的网络,正常运行时间尽可能接近 100%,具备从世界各地的可达性。他们需要的供应商不仅本身的服务具有韧性,还有能力优雅地应对庞大的攻击,并能灵活地来绕过中间提供商的问题。网络团队也不需要为其供应商的计划内或计划外数据中心停机采取任何行动,例如手动配置新的数据中心连接。他们应能随时添加新的地点,无需等待供应商在接近其网络的地方配置额外容量。
本地化并遵守数据隐私法规。
数据主权法律正在迅速发展。随着全球各地出台新的保护性法规,CIO 希望平台能提供适应的灵活性,通过一个界面来管理数据(而非在不同地区割裂开来的多个解决方案)。
今天就有可能启动的范式转变
以上变化听起来既激进又令人兴奋。但它们也令人生畏——在如此复杂的现代网络中,如此大规模的转变是否不可能实现?或者,至少所需时间将长得无法控制?我们的客户已经证明不必如此。
从一种流量启动有意义的改变
第三代平台应优先考虑易用性。公司应该有可能从仅仅一种流量开始其 Zero Trust 之旅,然后逐步扩大。有很多潜在的启动角度,但我们认为,最容易的一个是为一个应用配置无客户端 Zero Trust 访问。任何企业,无论大小,都应该能够选择一个应用并在几分钟内证明这种方法的价值。
连接新旧世界的桥梁
从网络级访问控制(IP ACL,VPN 等)到应用和用户级控制,再到整个网络中实施 Zero Trust,这一转变将需要时间。CIO 应选择一个能够轻松随着时间推移而轻松迁移基础设施的平台,允许:
- 随着时间推移,从 IP 级架构升级到应用级架构:首先通过 GRE 或 IPsec 隧道连接,然后使用自动服务发现来识别高优先级应用,以进行更精细化的连接。
- 随着时间推移,从更开放的策略升级到更严格的策略:首先使用与传统架构一致的安全规则,然后,在能够看到谁访问什么内容后,利用分析和日志来实施更严格的策略。
- 使改变快速轻松:使用现代 SaaS 界面来设计您的下一代网络。
网络架构记分卡:第三代
| 特征 | 得分 | 描述 |
|---|---|---|
| 安全 | ⭐⭐⭐ | 对每一种流量实施精细化的安全控制;在接近来源的地方阻止攻击;利用浏览器隔离等类似技术,使恶意代码完全无法进入用户设备。 |
| 性能 | ⭐⭐⭐ | 在最接近每个用户的地方执行安全策略;智能的路由决策,确保所有类型的流量均实现最佳性能。 |
| 可靠性 | ⭐⭐⭐ | 平台利用冗余基础设施来确保 100% 可用性;没有任一设备负责持有策略,没有任一链路负责传输所有关键流量。 |
| 费用 | ⭐⭐ | 通过整合功能来降低总拥有成本。 |
| 可见性 | ⭐⭐⭐ | 来自边缘的数据被聚合、处理并呈现,同时提供可据以采取行动的洞察和控制。 |
| 敏捷性 | ⭐⭐⭐ | 在仪表板上一键即可改变网络配置或策略;更改可在数秒内传播到全球。 |
| 精确性 | ⭐⭐⭐ | 在用户和应用层执行控制。实现“仅允许人力资源部门访问员工工资数据”看起来是这个样子的:人力资源部门的用户在可信设备上允许访问员工工资数据 |
Cloudflare One 是第一个为下一代网络从零开始构建的统一平台。
为了实现我们提出的宏伟愿景,CIO 们需要一个能结合 Zero Trust 和网络服务,并在一个世界级全球性网络上运行的平台。我们相信,Cloudflare One 是第一个能让 CIO 们完全实现这一愿景的平台。
我们利用通用硬件上运行的软件,在我们的全球网络上构建了我们的 Zero Trust 网络即服务平台——Cloudflare One。这个平台最初是为了满足我们自身 IT 和安全团队的需求。后来我们意识到,这个平台具备帮助其他公司改造其网络的潜力,因而逐步将相关能力提供给客户。Cloudflare 的每个服务都运行于分布在 250 多个城市的每一台服务器上,网络总容量超过 100 Tbps,提供前所未有的规模和性能。我们的安全服务本身也更快——我们的 DNS 过滤服务运行于世界最快的公共 DNS 解析器上,身份检查服务运行于 Cloudflare Workers 上,后者是最快的无服务器平台。
利用来自每秒 2800 多万个请求以及上万个互连的洞察,我们为所有客户做出更智能的安全和性能决策。我们在单一平台上提供网络连接和安全服务,通过单次检查和单一面板管理来填补可见性的空白,提供的价值远远超过单点解决方案的总和。我们向 CIO 们提供一个全球分布、迅如闪电的智能网络,将其用作自身网络的扩展。
在本周,我们将就 Cloudflare One 进行回顾和扩大,介绍一些真实客户如何在 Cloudflare 上构建其下一代网络。我们将更深入地解析目前可用的各种能力,以及这些能力如何解决第二代网络中带来的问题,并介绍一些新的产品领域,这些产品将使 CIO 们更加轻松,它们将消除传统硬件的成本和复杂性,强化整个网络及各个角度的安全性,并进一步加速通过我们本就快速的网络路由的流量。
我们很高兴,能在这里分享我们正如何使有关企业网络未来的梦想成为现实,希望阅读本文的 CIO 们(和所有人!)也一样兴奋。