早在 2020 年 10 月,我们就推出了Cloudflare One,这是我们对未来企业网络和安全的愿景。自那时以来,我们一直专注于交付这个平台的更多组成部分,今天我们欣然宣布该平台上两个最基本的组件:Magic WAN 和 Magic Firewal。Magic WAN 为您的整个企业网络提供安全、高性能的连接和路由,降低成本和操作复杂性。Magic Firewall 与 Magic WAN 无缝集成,使您能在边缘执行网络防火墙策略,覆盖来自贵组织网络内部任何实体的流量。
传统网络架构无法解决今天的问题
企业网络一向以来采用了少数几种模型之一,这些模型设计为确保办公室与数据中心之间的安全信息流,锁定对互联网的访问并在办公室边界进行管理。随着应用程序上云和员工移出办公室,这些设计不再起作用,而类似 VPN 盒子这样的临时解决方案不能解决企业网络架构的核心问题。
在连接性方面,全网状 MPLS(多协议标签交换)网络成本高昂且部署费时,维护不易又极难扩展,而且往往在可见性方面有巨大缺口。其他架构需要将流量回传到中央位置后再发送到源,导致不可接受的延迟,并必须购置成本高昂的中枢硬件来获得最大容量,而非按实际使用量配置。我们所接触的大多数客户都在与两个世界最糟糕的情况作斗争:多年甚至数十年来拼凑起来的各种架构的组合,根本无法管理。安全架构师也在与这些模型作斗争——随着网络增大,他们不得不应对来自不同供应商的一大堆安全硬件盒子,并在成本、性能和安全之间进行权衡。
将您的网络边界移到边缘并通过服务确保其安全
通过 Magic WAN,您可安全地将任何流量来源——数据中心、办公室、设备和云资产——连接到 Cloudflare 的网络,并配置路由策略来将数据传输到它们所需去的地方,全部在一个 SaaS 解决方案中完成。不再需要投资购置 MPLS 并等待部署,不再蒙受流量“长号”效应带来的性能损失,不再需要经历管理一堆过时解决方案的噩梦:取而代之,使用 Cloudflare 的 Anycast 网络来延伸您的网络,获得更佳的性能和内建的可见性。
一旦您的流量连入 Cloudflare,如何控制您的网络中的哪些实体可彼此交互或与互联网交互呢?这就是 Magic Firewall 发挥作用的时候了。Magic Firewall 允许您集中管理您整个网络中的策略,全部以服务的形式在边缘运行。Magic Firewall 让您精细地控制哪些数据可以进出您的网络,或在您的网络内传输。更妙的是,您能通过单一仪表板掌握流量具体如何流经您的网络。
Magic WAN 为 Cloudflare One所包含的一整套功能组件提供了基础,这些功能组件都是在软件中从零构建的,可无缝扩展和集成。Magic Firewall 在 Magic WAN 可供直接使用,客户能轻松启用额外的零信任安全和性能特性,例如我们包含远程浏览器隔离的安全 Web 网关(SWG)、IDS、Smart Routing 等。
云采用日渐兴盛,加上人们最近向远程工作转移,导致互联网、SaaS 和 IaaS 流量增多,给 MPLS 等传统网络架构造成巨大压力。对于希望提高运营敏捷性和降低总体拥有成本的组织而言,提供全球规模的WAN 架构、集成的企业网络安全功能以及与远程用户的直接安全连接,这一切至关重要。— Ghassan Abdo,IDC Research 全球电信、虚拟化和 CDN 副总裁
具体是怎样的呢?让我们通过示例客户 Acme Corp 探索如何使用 Magic WAN 和 Magic Firewall 来解决企业网络和安全方面的问题。
取代分支机构与数据中心之间的 MPLS
今天,Acme Corp 在世界各地设有办公室,各自通过 MPLS 连接到区域数据中心及与彼此连接。每个数据中心都运行着企业应用程序,通过一堆硬件盒子来保障其安全,也租用专线连接到至少另一个数据中心。Acme 也在将部分应用程序迁移到云,并计划建立从数据中心到云提供商的直接连接,以便提高安全性和可靠性。
随着 Acme 发展,其网络团队最一致的痛点之一是管理和维护其 MPLS 连接性。MPLS 成本高昂且部署费时,限制了 Acme 扩张到新地点(尤其是国际上)或对通过收购而增加的办公室提供支持的速度。Acme 办公室中连接到云提供商和 SaaS 应用程序的员工面临令人沮丧的延迟,因为流量必须先挤过 Acme 数据中心由一堆硬件盒子执行的安全策略,然后才能发送到目的地。办公室之间的流量,例如 IP 电话和视频会议,没有应用任何安全策略,代表了 Acme 安全态势中的一个缺口。
就在 Acme 努力迁移到云计算和云储存之际,该公司希望摆脱这些专用链接,改为以安全的方式利用互联网来建立连接。他们考虑在互联网上建立全网状站到站 IPSec VPN 隧道,但其复杂性使其网络团队和异构路由器部署均捉襟见肘。Magic WAN 已经准备好满足他们今天的需求,简化网络管理并立即带来性能裨益,并使 Acme 能逐步摆脱 MPLS。
在这个 Magic WAN 示例部署中,Acme 通过 Anycast GRE 隧道将每个办公室和 VPC 连接到 Cloudflare。通过这个架构,Acme 只需要为每个站点/互联网连接建立单一隧道,就能自动获得对 Cloudflare 整个全球网络(遍布全球 100 多个国家的 200 多个城市)的连接——就像轮辐式架构,只是这个中心点无处不在。Acme 也选择使用 Cloudflare Network Interconnect 从其数据中心建立专用连接,通过 Cloudflare 高度互联的网络实现甚至更加安全和可靠的流量交付和对其他网络/云提供商的更佳连接性。
一旦建立了这些隧道,Acme 就能为其私有网络(RFC 1918 空间)中的流量配置允许的路线,Cloudflare 将流量引导至需要前往的地方,提供弹性和流量优化。只用完成数小时的简单设置过程,Acme Corp 就能开始从 MPLS 迁移出来。随着 QoS 和 Argo for Networks 等 Cloudflare One 新功能的引入,Acme 的网络性能和可靠性将继续提高。
保护远程员工对私有网络的访问
去年 Acme Corp 员工因新冠疫情而突然转移到远程工作时,Acme 的 IT 部门匆忙寻找短期应对措施来维持员工对内部资源的访问。他们的传统 VPN 不堪使用——由于设备负荷超过设计极限,居家工作的 Acme 员工遭遇到了连接性、可靠性和性能问题。
值得庆幸的是,有一个更好的解决方案!使用 Cloudflare for Teams 和 Magic WAN,无论员工在何处工作,Acme Corp 都能为他们访问私有网络内部的资源提供一种安全的方式。Acme 员工在其设备上安装 WARP 客户端,以便将流量发送到 Cloudflare 网络,在此经过验证后路由到通过 GRE 隧道(如上例所示)、Argo Tunnel、Cloudflare Network Interconnect 或 IPSec(即将推出)连接到 Cloudflare 的数据中心或 VPC 上的私有资源。此架构解决了 Acme 使用其传统 VPN 时遭遇的性能和容量问题——它并非通过单一阻塞点发送所有流量,而是将流量路由到距离最近的 Cloudflare 节点,在边缘应用策略后通过一条优化路径发送到目的地。
来自 Acme Corp 员工设备、数据中心和办公室的流量也将能由 Magic Firewall 应用策略,对所有“入口”执行强大、精细的策略控制。因此,无论员工从其手机或笔记本电脑接入,还是在 Acme 办公室工作,都可在相同的地方应用相同的策略。这简化了配置,并为 Acme IT 和安全团队改善了可见性,他们可以登录到 Cloudflare 仪表板并从一个地方查看和控制策略——与管理各种 VPN、防火墙和云服务上的员工访问相比,这是颠覆性的变化。
这个解决方案允许 Acme 从其 VPN、防火墙和安全 web 网关设备转移出来,改善性能,并轻松地管理来自员工任何工作地点的流量。
将网络和安全功能迁移到边缘
一向以来,Acme 依赖于实体办公室和数据中心内的硬件设备堆栈来保障网络安全,并掌握网络上的动态:专门的防火墙检查进出流量,入侵检测系统和 SIEM。随着其组织迁移到云并重新思考远程工作的未来,Acme 安全团队在寻找可持续的解决方案,以便提高安全性,甚至超越其传统城堡加护城河”架构中的可能性。
在前面,我们已经介绍了 Acme 如何配置 Magic WAN 来从办公室、数据中心、云资产和设备向 Cloudflare 的网络发送流量。一旦这些流量通过 Cloudflare,就能轻松地添加访问控制和过滤功能,以便增强或替代本地安全硬件,这一切都可以通过单一控制面板交付和管理。
通过 Magic Firewall,客户获得在边缘运行的单一防火墙即服务,替代在分支机构或数据中心安装的笨重硬件。Magic Firewall 不但允许他们轻松管理配置,也能简化合规审计。
要控制访问,客户可部署策略,确定具体哪些流量可前往何处。例如,Acme 希望流量通过端口 80 和 443 从互联网流向数据中心内的 web 服务器,但希望锁定 SSH 访问仅限于分支机构内的特定私有网络。
如果 Acme 希望进一步锁定网络,他们可采用一种零信任访问模型,使用 Access and Gateway 来在通过 Cloudflare 的全部流量中控制谁能及如何访问什么内容。随着 Cloudflare 推出新的过滤和控制功能,例如我们即将发布的 IDS/IPS 和 DLP 解决方案,只需点击几下鼠标,Acme 就能启用它们并进一步增强安全性。
Acme 的长期目标是将全部安全和性能功能转移到云,作为服务使用。Magic WAN 为这一迁移铺平了道路,允许他们在淘汰传统硬件的同时逐步深化其安全态势。
数字化转型向传统网络架构发起了挑战,导致笨拙的“螺栓固定式”安全实践全然不适用于当今的全球企业。随着越来越多智能移向边缘,企业必须利用现代 WAN 技术来提供广泛的、以云交付的内置安全服务。如今,企业真正需要的是具有强大安全性的快速边缘全局连接。— Christopher Rodriguez,IDC Research 网络安全产品经理
Cloudflare 网络成为贵组织网络的扩展
和我们的许多产品一样,Cloudflare One 最初是针对我们在扩大和保护自身网络时所遭遇问题的一套解决方案。Magic WAN 和 Magic Firewall 让我们能够将过去 10 年谨慎架构决策的益处带给客户:
全球规模,接近用户: 不管您的办公室、数据中心和用户在哪里,我们都近在咫尺。通过我们的 CDN 服务,我们努力建立了到最终用户的良好连接性,对于居家工作并需要与贵公司网络建立良好连接的员工而言,这也带来了好处。这也意味着,我们能在接近来源的边缘阻止威胁,而不用承担恶意流量令容量有限的本地设备不堪重负的风险。
****与硬件和运营商无关:使用您现有的任何硬件与我们连接,从我们的多样化运营商连接性所提供的韧性中获益。
****从头构建,协同工作:我们的产品是在软件中从零开发的,以便能轻松集成。在我们的产品构建和发展过程中,我们不断思考它们能如何集成来互相促进。
立即开始使用
Magic WAN 目前作为限量测试版提供,Magic Firewall 提供给所有 Magic Transit 客户使用(并包含于 Magic WAN 即开即用)。如果您有兴趣测试 Magic WAN,或者希望进一步了解 Cloudflare 能如何帮助贵组织替代传统 MPLS 架构、保障远程员工的安全访问并深化您的安全态势,同时降低总体拥有成本,请联系我们 注册表链接!