Cloudflare 在执行能力和视野完整性方面的表现获得了 Gartner 在 2023 年发布的“Gartner® 安全服务边缘 (SSE) Magic Quadrant™”报告的认可。我们非常高兴地与大家分享这一消息。作为 Cloudflare One 平台的一部分,Cloudflare Zero Trust 解决方案已经入选仅有的十大提供商之一。
Cloudflare 是今年入选 Gartner® Magic Quadrant™报告的 10 家公司中唯一的新增提供商。您可以点击此处查看报告,以了解我们在其中的位置并浏览客户的 Cloudflare One 使用体验反馈。
如果以我们在 SSE 领域推出首批产品的日期作为衡量标准,则 Cloudflare 属于最新的提供商。我们早在五年前就推出了 Cloudflare Access,这是我们业界领先的 Zero Trust 访问控制产品。此后,我们又推出了数百项功能,交付了十余款产品,打造了上万家机构信赖的全方位 SSE 解决方案,使其组织数据、设备、团队保持安全、快速的运行状态。我们动作如此之快的原因在于 Cloudflare One 是基于为大多数互联网内容提供安全性和加速功能的同一网络而构建的。
我们的 SSE 服务是由为全球最具规模的若干互联网资产提供服务的同一批服务器在同一地点提供的。我们对包括全球最快的 DNS 解析器、Cloudflare 的无服务器计算平台和我们在全球范围内的路由及流量加速能力在内的现有优势加以整合。虽然我们是入围该报告的新成员,但选择 Cloudflare One 的客户并非押宝某家新兴提供商。他们选择的是一种每天为数百万目的地、数十亿用户提供安全保障的业界领先解决方案。
对于 Gartner 本周对我们的认可,我们感到惊喜万分,而让我们更加激动的是今天我们在客户领域所取得的成就。换句话说,我们的任务尚未完成,因此我们会更加积极地努力向前。
什么是安全服务边缘 (SSE)?
安全服务边缘 (SSE)“旨在确保网络、云服务和私人应用程序的访问安全性。其功能主要涵盖访问控制、威胁保护、数据安全、安全监控以及可接受使用控制(通过基于网络和 API 的整合实施)。SSE 主要以基于云的服务形式提供,同时也可以包含本地或代理式组件。”1
SSE 领域是为满足组织在遇到新的安全问题时的需求而开发的。以往,团队可通过防火墙和网络安全策略 (castle-and-moat) 保护其设备、服务和数据。企业的防御面与其办公场所的实体墙壁相当。应用程序在服务器机柜或自助式数据中心内运行。企业能够以本地硬件的形式对防火墙、代理以及过滤设备进行部署。远程用户在设置过程中饱受困扰,因其需要使用传统的虚拟专用网络 (VPN) 客户端向物理办公室回传自己的流量。
随着应用程序走出企业内部,这种模式方面的问题开始显露。团队开始向 SaaS 工具和公共云提供商迁移。通过在通往互联网的单一路径上放置物理设备来保障网络的安全性已变得不再可行。
另外,用户离开办公场所后,自主管理的私有网络也面临着处理更多流量的压力。为处理增加的流量,企业部署了更多的权宜之计并尽量延缓问题的发生,但这对网络性能和可用性产生了负面影响,并增加了开支。
恶意主体也在不断进化。攻击变得日益复杂,并利用了超越传统安全边界的迁移技术。所部署的旧设备无法适应不断演化的攻击模式和规模。
为帮助组织应对这些挑战,SSE 提供商提供了基于云的解决方案。安全服务会在 SSE 提供商的自有入网点或公共云服务提供商中进行部署和管理。企业在连接到互联网或内部工具之前,可从 SSE 提供商处获得安全的第一跃点支持。无需再使用需要花费 IT 团队数天时间进行维护的实体或虚拟设备。持续更新的过滤和策略可帮助安全团队抵御新的威胁。
通过助力客户让用户连接到具有 Zero Trust 访问控制规则的内部工具,某些 SSE 功能可取代远程访问。SSE 平台的其他组件集中于将 Zero Trust 审查应用于互联网的其余部分,采用基于云的防火墙、解析器和代理来替换企业内部的本地过滤设备,使其能够在靠近用户设备的位置进行流量过滤和记录,而无需强制将流量回传到集中位置进行处理。
那么,SASE 呢?
安全访问服务边缘 (SASE) 一词大家可能也很熟悉。客户提及他们的“SASE”目标的频率比提及“SSE”还要高。SASE 通过管理被保护流量的连通性来对 SSE 的定义进行了扩展。企业在网络即服务提供商的帮助下连接其用户、设备、站点和服务,而 SSE 提供商则专注于确保通过网络的流量安全。
大部分提供商只专注于问题的一个方面。当企业将所有流量发送到 SSE 提供商处进行过滤时,网络即服务公司提供的旨在帮助企业管理和加强连接速度的软件定义广域网 (SD-WAN)、互连和流量优化解决方案就会失去优势。尽管 SSE 提供商提供的安全工具几乎覆盖了任何类型的流量,但客户仍需要额外购买网络服务来将这些流量传输到自身所在地。
作为单一提供商 SASE 平台,Cloudflare One 为企业提供全方位的网络即服务解决方案,帮助团队将所有流量导向其网络,协助团队管理网络连接并提升表现。有多种接入方式可供企业灵活选择,包括使用现有的硬件路由器、在笔记本电脑和移动设备上运行代理程序、物理和虚拟互联,或者使用 Cloudflare 自带的“最后一英里连接器”。
我们的 SSE 服务会在流量进入 Cloudflare 网络时,将安全过滤应用于我们管理和路由连接的相同位置。Cloudflare 的 SSE 解决方案不包含额外的跃点;我们所提供的过滤和记录基于为客户加速的流量。自从十年前首次推出反向代理以来,我们始终怀有强烈的执着:不应让客户在性能和安全之间进行取舍。
那么,Cloudflare One 的定位是怎样的呢?
企业可通过 Cloudflare One 访问其所需的解决方案,确保设备、应用程序和数据的安全,同时不影响性能。该平台分为两个主要部分:我们的 Cloudflare Zero Trust 产品(也就是我们的 SSE 解决方案)和网络即服务解决方案。即使公告中清晰区分了这些要素,我们仍然想要讨论它们之间的相互作用。
Cloudflare 的网络即服务解决方案(即我们的 Magic WAN 解决方案)将我们的网络作为客户自身的网络进行了扩展。利用我们在过去数载所进行的投资,企业可以建立全球对等互联最多、性能最佳、可用性最高的网络。通过 Cloudflare,团队可以将个人漫游设备、办公场所和物理站点或整个网络和数据中心与互联网的其余部分或内部目的地进行连接。
为了方便客户将流量传输到我们的平台上,我们提供了多种灵活的“入口”。这些“入口”可轻松适应客户已有的基础设施。企业可以使用我们的漫游代理来连接用户设备,也可以使用我们提供的 Cloudflare Tunnel 服务来进行应用程序级别的连接。此外,还可使用我们提供的 Magic WAN Connector 或其现有路由器或 SD-WAN 硬件的网络级 tunnel,或者进行物理或虚拟的直接互连,从而实现到全球 1600 多个地点的本地或云基础结构的专用连接。我们会在最近的 Cloudflare 地点对收到的数据包进行优化、加速和记录,以便客户可以看到其流量。
相较于向额外的中间设备发送加速流量来进行安全过滤,我们的 Cloudflare Zero Trust 平台可在与我们的网络即服务功能相同的位置(通常在同一服务器上)接管提供 SSE 安全过滤。通过选择自身所需启用的 SSE 功能,企业可逐渐增强其安全态势。
Cloudflare One 和 SSE 功能集
Cloudflare One 内置的安全功能可提供全面的 SSE 覆盖,适用于以任何规模运营的企业。一切交由 Cloudflare Zero Trust 处理,客户只需将流量发送到距用户几毫秒的 Cloudflare 位置即可。
Cloudflare One SSE 的特性
Zero Trust 访问控制针对托管和管理自有资源的团队,Cloudflare 提供了一个 Zero Trust VPN 替代方案。客户可在无需代理的情况下,通过在 Cloudfare 的网络内部署私人网络来实现更常规的连接,或将访问权限赋予承包商。Cloudflare 网络可使管理员在每个资源或全球范围内建立细化的规则,以支持用户对所需任何类型目的地的连接。团队可结合一个或多个标识提供程序、设备态势输入等信号来源来决定用户何时和如何连接。
通过在登录流程中引入 Cloudflare 身份代理,组织可将这些 Zero Trust 访问控制规则扩展至其未控制托管的 SaaS 应用程序。在继续使用现有的标识提供程序的同时,其可以增加设备态势、国家和多因素等其他检查。
DNS 过滤全球最快的 DNS 解析器为 Cloudflare 的 DNS 过滤解决方案提供动力,该服务可过滤并记录从特定设备或某些全球最大网络发出的 DNS 查询。
网络防火墙通过将流量路由到 Cloudflare,我们的“防火墙即服务”可过滤和记录流量,让维护本地硬件防火墙或其基于云的同类产品的组织无需再依赖于其设备。具备 L3-L7 过滤、入侵检测以及与我们的威胁情报反馈及 SSE 套件的其他部分直接集成等功能,是我们网络防火墙的特点。有了它的加持,安全团队可以制定先进的策略,而无需应对传统硬件所带来的挑战,例如规划容量或冗余、吞吐量限制以及手动打补丁或升级等问题。
安全 Web 网关无论用户的工作地在何处,Cloudflare 的安全网络网关 (SWG) 服务都可以对用户附近 Cloudflare PoP 中的流量进行检查、过滤和记录。无需额外硬件或虚拟化服务,SWG 便可以阻止前往危险目的地的 HTTP 请求,扫描流量中的病毒和恶意软件,并对流量路由到互联网其他部分的方式加以管理。
内联式云访问安全代理和影子 ITSaaS 应用程序的广泛使用可帮助公司节省资金,但这也带来了实质性的风险;因为用户所选工具偶尔会与其 IT 或安全团队所选工具不同。借助 Cloudflare 内联式云访问安全代理 (CASB) 提供的工具,管理员能够确保员工按既定用途使用 SaaS 应用程序。团队可设置租户控制规则,限制员工登录个人帐户,创建策略,只允许上传特定类型文件到经批准的 SaaS 应用程序,且建立过滤机制,限制员工使用未经批准的服务。
IT 和安全团队可通过 Cloudflare 的“影子 IT”服务对用户的互联网流量进行扫描和分类,以检测和监控对 SaaS 应用程序的未经授权使用。例如,团队可对经批准的云存储是否为用户上传材料的唯一地点进行验证。
基于 API 的云访问安全代理Cloudflare 的强项在于我们的网络,然而最为严峻的攻击往往是从数据的静态状态开始的。团队可利用 SaaS 应用程序将工作分享到任何地方并进行协作,但这种便利也使得恶意主体或错误极易造成重大数据泄露。
有时,带有敏感信息的文件可能会因某些员工错误地选择了“分享”菜单中的按钮而被过度分享。只需轻轻一点,便可在互联网上公开载有客户联络资料的电子表格。或者,用户可能会在没有意识到的情况下,通过其个人帐户共享某份报告,进而违反内部合规规则。
Cloudflare 基于 API 的 CASB 会持续扫描团队使用的 SaaS 应用程序,以防止错误配置和数据丢失,无论数据泄露的起因是什么。若发现问题,Cloudflare 的 CASB 会通知管理员,并为事件的解决提供全面的指导方针。
数据丢失防护为发现和预防潜在的数据丢失,Cloudflare 的数据丢失预防服务会对流量进行扫描。管理员可以选择社会安全号或信用卡号等常见的预创建配置文件,也可以使用规则表达式创建自定义条件或集成到现有的微软信息保护标签中。
远程浏览器隔离通过在我们的网络内运行浏览器,在距离用户几毫秒的数据中心,Cloudflare 的浏览器隔离服务可将网页的矢量渲染发送到本地设备。不同于其他方法,团队成员可采用任何现代浏览器,让互联网的体验保持不变。管理员可随时对站点进行隔离,选择仅对未知目的地进行隔离或为承包商提供无代理工作站。安全团队可增加包括阻止复制粘贴或打印在内的其他保护措施。
SSE 之外的安全性
很多客户提到 SSE 目标时,并未准备好从一开始就使用类别中的所有安全服务。反之,其通常会面临战略上的 SSE 目标和需要立即解决的战术问题。这一点可以理解。无论客户处于何种阶段,我们可以与之建立联系并提供支持,有时,痛点就在现有的 SSE 定义之外,而我们也能够为其提供帮助。
电子邮件不属于通常的 SSE 定义范围,尽管 SSE 模型试图阻止的许多攻击都始于电子邮件。攻击者会利用当今电子邮件提供商提供的标准过滤功能所遗漏掉的网络钓鱼链接或恶意软件,来攻击特定员工或整个员工队伍。
与其等待 DNS 或 SWG 过滤等 SSE 功能生效,我们更希望协助客户将这些攻击阻止在收件箱外。Cloudflare One 会针对所有电子邮件提供商在我们的 Area 1 产品中提供业界领先的邮件安全功能,为团队保驾护航。Area 1 不单单只作为一种与我们的 SSE 捆绑的独立解决方案;与 Area 1 搭配,Cloudflare Zero Trust 的功能可发挥最佳协同效应。例如,针对在一个单独的浏览器中打开 URL 的可疑电子邮件,赋予客户深度防御的安全模型,进而避免增加 IT 服务台工单量。
Cloudflare One 的客户还可以受益于 Cloudflare 另一个已获得 Gartner 认可的平台,即我们的应用安全套件。Cloudflare 业界领先的应用安全功能可与我们的 Zero Trust 安全功能一起部署,这些功能包括我们的 DDoS 缓解服务和 Web 应用程序防火墙。只需轻轻一点,团队就能将自动程序管理警报、API 保护以及更快的缓存添加至自身的内部工具。
为什么选择 Cloudflare?
依靠 Cloudflare One 来连接和保护其企业的组织超过 1 万家。Cloudflare One 为全球最大的 IT 组织(美国联邦政府)以及依靠我们 Free 计划的无数小型团体提供保护和加速服务。数月前,我们在 CIO Week 期间与一些客户进行了交流,以了解其使用 Cloudflare One 的动机。从客户的反馈中可以得出若干反复出现的主题。
1) Cloudflare One 提供更为完整的安全性几乎每家 SSE 提供商都提供了比传统防火墙和网络安全策略 (castle-and-moat) 更高的安全性,但那只是一项很低的标准。我们在 Cloudflare One 上建立的安全功能在同类产品中堪称翘楚。借助更多的内置选项,我们的领先访问控制解决方案可对连接到助力您的企业的工具的人员身份进行管理。
我们与 Microsoft 和 CrowdStrike 等标识提供程序和端点保护平台的业界领导者合作,提供超过市面同类产品的 Zero Trust VPN 替代方案。每个出站过滤的选择都依赖于 Cloudforce One(我们专门的威胁研究团队)获取并选择的威胁情报。
2) Cloudflare One 助力您的团队加速采用全球最快的 DNS 解析器,Cloudflare One 让终端用户从连接互联网的第一刻就开始加速。我们的消费者前向代理深受终端用户欢迎,数百万用户使用它传输 DNS 查询,并通过安全隧道建立连接。而我们也根据用户反馈不断优化该隧道。我们为全球最大的 3000 个网络中的绝大部分提供最快的连接速度,整个网站通过多种隧道选项与 Cloudflare 的网络相连接。
我们与单纯提供连接服务的提供商竞争并评估自身。根据不同的使用情况,我们的表现明显优于其他单纯提供 SSE 的提供商(如 Zscaler),优势比例在 38% 至 59% 之间。
3) Cloudflare One 更便于管理我们的 Free 计划几乎涵盖了所有功能,这使得 Cloudflare Zero Trust 产品在 SSE 市场中独树一帜。我们将这些服务免费提供给 50 人以下的团体,因为我们认为无论预算如何,任何人都应在互联网上获得安全保障。
我们的产品一定要简单好用,才能秉持我们的承诺。与其他专注于企业销售的 SSE 提供商不同的是,我们需要在不依靠庞大的系统集成商进行部署的情况下,开发出一种适合所有团队的解决方案。适用对象范围广泛,从没有全职 IT 部门的人权组织到希望将更多时间用于发展而不是担心安全威胁的初创企业。
我们也知道,相较于直观的仪表板,管理员更想要的是多样化的选择。我们提供 API 支持来管理每项 Cloudflare One 功能。并且,对于需要进行同行评审的配置即代码管理选项的团队,我们还提供一款 Terraform 提供程序。
4) Cloudflare One 是最具成本效益的综合性 SASE 产品Cloudflare 每天保护数百万个网站并为其正常运行负责,为了应对如此庞大的流量,我们的网络必须围绕规模和成本效益进行构建。
即便是最大型企业的内部网络流量,(目前)也还无法与适度普及的互联网资产相提并论。当这些团队向 Cloudflare One 发送流量时,为了实现安全性和网络功能,我们仰仗于与驱动我们的应用服务业务相同的技术和数据中心。因此,我们可以为任何团队提供全面的安全保障,并且这是基于我们对网络的现有投资实现的,因而价格也更加合理。
5) Cloudflare 是您的单一整合安全提供商Cloudflare One 仅仅是 Cloudflare 平台中最新被业界分析报告认可的部分。2022 年,Cloudflare 被 Gartner 评为网络应用和 API 保护 (WAAP) 领域的领先提供商。客户选择 Cloudflare 来解决 SSE 挑战时,可获得来自同一提供商的顶级解决方案。
多家独立分析机构对 Cloudflare 有能力通过包括 DDoS 防护、CDN、边缘计算和自动程序管理在内的各种服务满足消费者的需求给予持续认可。
接下来?
选择 Cloudflare One 就意味着客户信任我们的网络能够在不影响其业务运营的同时,为企业的关键领域提供保护。过去五年中,有一万多家组织选择了我们作为服务提供商,包括使用 Free 计划的小团队、财富 500 强公司和政府机构。对此,我们深表感谢。
此次的公告不仅对 Cloudflare One 的发展有着推波助澜的作用,为了帮助客户更好地专注于完成使命,我们还着重打造了下一代的安全性和连接功能。为了支持更多的组织,我们将继续更快地向前推进。您是否有兴趣与我们一起展开这项事业?请点击此处留下您的联系方式,我们会尽快与您联系。
Gartner,“安全服务边缘 Magic Quadrant”,分析师:Charlie Winckless、Aaron McQuaid、John Watts、Craig Lawson、Thomas Lintemuth、Dale Koeppen,2023 年 4 月 10 日。
......1https://www.gartner.com/en/information-technology/glossary/security-service-edge-sse
GARTNER 是 Gartner 的注册商标和服务标志,而 Magic Quadrant 是 Gartner, Inc. 和/或其美国和国际附属公司的注册商标且在此经许可使用。保留一切权利。Gartner 不支持其研究出版物中提及的任何提供商、产品或服务,也不建议技术用户只选择那些获得最高评分或其他称号的提供商。Gartner 研究出版物中包含的是 Gartner 研究组织的意见,不应被视为事实陈述。Gartner 对本研究不作出任何明示或暗示担保,包括适销性或针对特定用途适用性方面的任何担保。