企業的資訊長都面臨著巨大挑戰。現今多數的企業網路似乎仍停滯在五年甚至十年前的階段,網際網路生態的改變使得企業網路出現可見度及安全性漏洞、高成本營運開銷,企業網路也變得脆弱不堪。
我們有信心讓資訊長對網路的未來發展樂觀以待。網際網路已從大型學術研究計畫演進成為多間整合式基礎設備公司,因此我們相信打造更優質的網際網路環境,是處理資訊長最大難題的最佳解方。Cloudflare 致力打造一個更迅速、更安全可靠、更隱私並且可程式化的網際網路環境,讓各家企業可透過我們的網路服務,打造自有的新世代網路。
本週我們將示範我們的 Zero Trust 網路即服務 Cloudflare One 如何協助資訊長將他們的企業網路轉型。此外,我們會介紹 Cloudflare 平台以外的新延伸功能,以因應資訊長現有及未來的新興需求。本週主題開始前,我們想用一些時間聊聊我們對未來企業網路的願景。希望此段說明有助釐清廠商和分析師在部落格常用的專有名詞和類似概念 (好比「Zero Trust 網路即服務」究竟是什麼?),進而闡述如何透過我們的創新方法幫助資訊長們實現此願景。
第一代:城堡加護城河
長年以來企業網路使用的模型:
過去企業會自行建置實體資料中心或在資料中心租賃空間,而資料中心通常就位在公司內部或在公司總部附近。企業也會將業務應用程式 (如電子郵件伺服器、ERP 系統、CRM 等) 交由資料中心的伺服器託管。辦公室的員工是經由區域網路 (LAN) 或從分公司地點透過私人廣域網路 (WAN) 連結,能與這些應用程式連線。每個資料中心內都堆疊許多安全性硬體 (例如防火牆),而安全性硬體會強制管制進出流量。一旦進入企業網路,使用者便可水平移動至其他連線的裝置和託管應用程式,不過基本的網路身分驗證和實體安全控制 (如員工識別證系統),通常就能阻止不受信任的使用者存取企業網路。
網路架構記分卡:第一代
特色
評分
描述
安全性
⭐⭐
所有流量皆需通過周邊安全性硬體。實體控制限制了網路存取,而水平移動僅可在網路進行。
效能
⭐⭐⭐
大多數使用者和應用程式都必須得待在同個建築物或是區域網路。
可靠性
⭐⭐
專屬資料中心、私人連結和安全性硬體代表單一失敗點。基於成本折衷考量,購買不需要的連結和硬體。
成本
⭐⭐
私人連線和硬體皆為高資本支出,小公司或新創公司難以負擔,並且購買的連結或設備也有限 (基於備援或可靠性考量)。而且在初始安裝後,營運成本會從低成本逐漸增加。
可見度
⭐⭐⭐
所有流量皆經過集中式位置路由傳送,因此有可能存取 NetFlow 或封包擷取達到 100% 的流量。
敏捷性
⭐
重大網路改變需要漫長等待時間。
Precision
⭐
控制主要是透過網路層 (例如 IP ACL),再加上「僅允許 HR 存取員工薪資資料」,這就好比:允許 X 範圍的 IP 存取 Y 範圍的 IP (還需隨附追蹤 IP 位址分配的試算表)。
應用程式和使用者離開城堡
發生了什麼?簡單來說,網際網路變了。網際網路改變的速度超乎想像,現今的網際網路對人們的通訊及工作模式產生重大的影響。網際網路帶來的巨大變革也讓企業組織思考自有運算資源。假若電腦間可以直接對話,公司又何需將伺服器與員工的桌上型電腦置於同棟大樓呢?再更激進一點,就是思考是否還有購買和維護自有伺服器的必要?雲端概念的誕生,就是來自這些問題背後的思考。如此企業既可租借其他伺服器的空間和託管企業的應用程式,還可將營運開銷最小化。全新的「軟體即服務」產業應運而生,讓原有的事物更加簡化,企業得以不再煩惱容量規劃、伺服器可靠性以及其他營運層面的問題。
網際網路帶來的極美好未來 (一切皆使用雲端和 SaaS 服務) 似乎是完美的解決方案,然而資訊長很快又遇到了其他難題。儘管網際網路經歷大規模的轉變,無法在短短數月或數年,就完全淘汰採用城堡加護城河架構的既有企業網路,因此多數的企業處於混用並行的狀態,仍無法完全擺脫資料中心、硬體和 MPLS 的束縛。由於進入應用程式的流量仍需安全性,因此即使流量不會進到企業自有資料中心的伺服器,許多企業仍會繼續將流量傳送到伺服器 (經由私人線路回傳),流量需通過一堆防火牆裝置和其他硬體設備才能到達目的地。
由於有越來越多應用程式轉到網際網路,因此流量產生分支。基於安全考量,經由資料中心的 MPLS 通道將流量回傳,使得要處理的流量大增。許多資訊長在採用 Office 365 後,發現頻寬的費用超乎預期的高。因為對傳統網路架構而言,網際網路流量越大,就代表要支付更多昂貴的私人連線成本。
光是管理混合式架構第一個難題,就會帶來許多無法預期的成本。然而挑戰絕不僅僅於此,資訊長還需面臨其他挑戰。網際網路不僅改變應用程式產業生態,還包括使用者的使用行為。由於實體伺服器不再需要放在企業總部,員工也不需非得使用辦公室的 LAN 存取工具。員工可透過 VPN 存取託管在公司網路 (無論是實體或雲端) 的應用程式,在公司外也能工作。
VPN 可授予遠端使用者企業網路的存取權限,但連線速度很慢,使用不便,而且只能支援有限數量的使用者,否則有可能拖累效能,完全無法使用。從安全性角度而言,許多企業擔心使用者可透過 VPN,水平移動去探訪並存取企業網路的其他資源。對資訊長和資安長而言,控制使用 VPN 連線的筆記型電腦更是難上加難,因為電腦可能會攜帶到任何地方 (例如公園、大眾運輸工具、酒吧),相較於管理由配戴識別證的員工操作、採用城堡加護城河環境的電腦。
2020 突如其來的 COVID-19,使得關於 VPN 成本、效能和安全性的隱憂,一夕之間成為足以撼動企業存亡的重大議題,而且這些問題會在員工陸續返回辦公場所之後持續存在。
第二代:自助餐式單點解決方案
許多新興廠商開始著手因應因網路生態轉變所帶來的挑戰,大多著重在單一案例或眾多使用案例。有一部分廠商推出硬體設備的虛擬版本,經由不同雲端平台提供服務,而另一些廠商則採用雲端原生方法,專門解決特定問題 (例如應用程式存取或網站篩選功能)。但這些拼湊的單點解決方案往往使資訊長更加頭疼,因為大多數這類產品只能稍加改善身分識別、端點和應用程式安全性,但都無法完全解決網路安全性問題。
可見度漏洞
相較於流量皆需通過層層中央設備的「城堡加護城河」模型,現代網路有可見度極為分散的缺點。這使得 IT 團隊需要透過多種工具拼湊資訊,才能找出流量的問題。通常要找到真正的問題極為困難,即便有了 SIEM 和 SOAR 應用程式這類工具的協助,能整合來自多個來源的資料。這種現象使故障排除工作變得很困難,使得待解決問題的 IT 支援工單如雪片般飛來。看不見的東西要從何管理?
安全性漏洞
這種拚湊出的架構再加上因其導致的可見度漏洞,又增加了新的安全性問題。「影子 IT」這個新概念,是描述員工使用的服務,並未取得明確 IT 許可的服務或符合企業網路的流量和安全性原則。由於特定使用者和使用案例的網站篩選原則特例無法管理,而由於網際網路的演變超乎預期,我們的客戶將他們的網路形容為「脫韁野馬」。令資訊長感到擔憂的不只是網站篩選漏洞,層出不窮的影子 IT 現象意味著公司資料可能並且已經在網際網路散落各地。
不佳的使用者體驗
透過集中式位置回傳流量強化安全性,會造成終端使用者的延遲現象,這種狀況會因終端使用者距離辦公室越遠,延遲更加嚴重。網際網路雖然發展好長一段時間,本質上仍是不可預測和不可靠,使得 IT 團隊經常得確保使用者在各種因子影響下,使用應用程式的可用度和效能 (即便是使用咖啡店不穩定的 Wi-Fi)。
高昂 (不斷增加的) 成本
資訊長仍需支付 MPLS 連線和硬體的費用,盡可能強化所有流量的安全性,但現在還得付出額外成本購買單點解決方案,以防護日益複雜的網路。由於分散化的可見度和安全性漏洞,再加上效能問題以及日益受到重視的更優質使用者體驗,因此 IT 支援成本勢必大幅提升。
網路脆弱性
種種複雜因素使得改變更加艱鉅。從目前混合式架構的造成的局面而言,佈建 MPLS 通道和部署新的安全性硬體都需要漫長的等待時間,而且狀況只會因全球近期硬體供應鏈的問題而加劇。由於混合使用多個單點解決方案來管理網路的多個面向,只要其中有一個工具改版,無可避免就會牽連其他工具。這些問題對 IT 部門的影響,往往成為企業轉型的瓶頸,限縮了企業因應不斷加速變革局勢的彈性。
網路架構記分卡:第三代
特色
評分
描述
安全性
⭐
許多流量從周邊安全性硬體外路由傳入、影子 IT 猖獗,並且現有控制強制管制原則不一致,而且還得使用一堆工具來管理。
效能
⭐
透過集中式位置回傳流量,會造成使用者距離辦公室越遠,延遲更加嚴重的情況。VPN 和一堆安全性工具只會增加處理負荷及不必要的網路躍點。
可靠性
⭐⭐
第一代的備援或成本取捨問題依舊存在。雖然部分雲端採用架構能提供一些彈性,但隨著使用量不斷攀升,不可靠的網際網路勢必引發新的問題。
成本
⭐
第一代 1 架構的成本維持不變 (目前僅有少數幾間公司成功淘汰 MPLS 或安全性硬體),而新添購額外工具的成本、營運開銷日益增加。
可見度
⭐
流量和可見度分散化,IT 團隊跨多個工具只能拼湊部分流量現況。
敏捷性
⭐⭐
部分企業能輕鬆將業務移轉至雲端,然而有些企業變得更加辛苦,因為使用額外工具複雜度提升。。
Precision
⭐⭐
多項控制會分別在網路層和應用程式層施行,再加上「僅允許 HR 存取員工薪資資料」,這就好比: 群組 X 的使用者可存取 Y 範圍的 IP (還需隨附追蹤 IP 位址分配的試算表)
總的來說,回到前面提到的部分,現代資訊長的工作吃重,但我們仍舊堅信未來會更好。
第三代:將網際網路打造成新的企業網路
新世代的企業網路將建置在網際網路上。這項轉變已是可行之道,但資訊長需要有個平台協助他們取得_更優質_的網際網路。新世代的網際網路更加安全、快速可靠且不用擔心複雜的全球資料法規,即可保障使用者的隱私權。
網際網路等級的 Zero Trust 安全性
資訊長往往會猶豫是否要放棄昂貴的私人連線的方式,因為他們覺得這個至少比公共網際網路安全多了。但在網際網路進行傳送的 Zero Trust 方法,能大幅度提升網路安全性,遠勝過傳統的「城堡和護城河」模型或拼湊式設備,以及號稱打造「深度防禦能力」的單點軟體解決方案。不同於信任企業網路上的使用者並允許使用者平行移動,Zero Trust 要求凡是進出網路實體,皆需驗證才根據每次請求授權,以確保訪客只能進入有明確授予權限的應用程式。從優勢位置傳送此驗證和強制執行原則給使用者,有益於大幅提升效能,而非強迫流量經過集中式應用程式回傳或是在一堆安全性工具間周遊。
若要採用新模型,資訊長需要具備以下條件的平台:
可與企業網路中所有的實體連線。
我們不只辦得到,還可富有彈性地輕鬆且穩定的讓使用者、應用程式、辦公室、資料中心和雲端屬性與任何人連線。這意味著我們可支援當今客戶有的硬體和連線方式。包括透過行動裝置用戶端操作所有作業系統版本、與標準通道通訊協定相容,並且在網路實力上與全球電信業者並駕齊驅。
採用全面的安全性原則。
資訊長需要的廠商,必須能提供完美整合現有身分識別和端點安全性的解決方案,並替企業網路內部所有網路流量,提供所有層級的 OSI 堆疊 Zero Trust 防護。這包含端對端加密、微切分、複雜而精準的網站篩選及企業網路實體間 (「東向/西向」) 和出入網際網路 (「南向/北向」) 的流量檢查,以及對於其他威脅 (例如 DDoS 和機器人攻擊) 的防護。
視覺化並洞見流量
資訊長最基本要能掌控流量的整體狀況,例如使用者存取哪些資源和效能 (延遲、抖動、封包遺失) 的整體狀況。除了能提供流量和使用者最基本的資訊,新世代的可見度工具還可協助使用者看到趨勢並強調潛在問題,以便能預先防範,並且還要能提供容易上手的控制選項來因應潛在問題。想像只需登入一個儀表板便可看到全面的資訊,例如您網路的受攻擊面、使用者活動和效能/流量的健康狀態、收到加強安全性和使效能最佳化的客製化建議,以及根據建議輕鬆一鍵解決問題。
在世界各處皆能享受更優質的體驗
公共網際網路最為人詬病的部分包括:速度慢、不穩定,甚至牽涉到複雜的法規,這使得在全球有分公司且負責網路運作的資訊長倍受挑戰。符合資訊長需求的平台,必須能進行智能判斷,使效能最佳化,並能在遵守法規的前提下,有足夠的彈性確保可靠性。
快是一切的重點。
傳統的衡量網路效能方法 (如網路速度測試) 無法判斷使用者體驗的實際狀況。新世代平台會以整體性來衡量效能,會考量特定應用程式的要素,並會使用網際網路健康狀態的即時資料,端到端進行效能最佳化。
可靠,即便有超出預期的要素。
計畫性停機時間已是屬於過去的奢侈品:今日的資訊長需要全年無休地運作其網路,並在世界各地盡可能地達成 100% 正常運作時間與觸及率。他們不僅需要讓自家產品具有韌性,也需要能優雅地處理大量攻擊,並靈活利用中間商以解決各式問題的服務商。網路團隊也不必因為自身的供應商的中心服務發生計畫或非計畫性資料中斷而被迫採取行動,例如必須手動設定新的資料中心連線。他們也應要在任何時刻都得以納入新的地點,不須等待承包商提供靠近自家網路的額外處理能力。
針對資料保護法的本地化與法規遵循。
資料主權法規正在快速地轉變。資訊長必須仰賴平台所賦予的彈性,以持續適應全球各地陸續新定的相關法規,並以同一種介面管理他們的資料,而不是在不同地區切換不同種解決方案。
從今天就可以開始的典範轉移
這些轉變聽起來既劇烈又令人興奮。但它們也令人卻步。如此巨大的改變是否可以實際執行,或是在複雜現代的網路中,將花費無法計數的漫長時間?我們的客戶已經證明不必如此。
有意義的改變只從一個簡單導入開始
Generation 3 平台應優先考量易用性。平台應該要讓公司得以透過單一流量,就能從 Zero Trust 開始浩大地成長。有很多可能的切入點以達成這個目標,但我們認爲其中最簡單的方法,就是替一個應用程式設定無用戶端 Zero Trust Access。不管小至個人或大至規模龐大的組織,都應該可以在數分鐘內,選擇一個應用程式,並證明該方法的價值。
新舊世界之間的橋樑
將您的整個網路從網路級存取 (例如:IP ACL、VPN) 轉換成應用程式和使用者控制存取以執行 Zero Trust 需要時間。資訊長應挑選允許下列幾點的平台,使其能逐步簡單地移轉基礎設備:
逐步從 IP 等級升級至應用程式等級的架構:首先建立 GRE 或 IPsec 通道的連線,然後使用自動服務探索以找出應優先建立精細連線的應用程式。
逐步從開放性政策升級至較嚴格的政策:從反映您的傳統架構的網路安全規則開始,然後在您可以看出是誰在存取什麼的時候,利用分析資料與登入以執行更嚴格的安全性政策。
使改變快速又容易:使用現代的 SaaS 介面設計您的次世代網路。
網路架構記分卡:第三代
特色
評分
描述
安全性
⭐⭐⭐
在所有流量上執行精密網路安全性控制;在接近源頭的地方阻擋攻擊;科技像是「瀏覽器隔離」替使用者裝置徹底隔絕惡意代碼。
效能
⭐⭐⭐
在最靠近每個使用者的地點實施網路安全控制;智慧型路由決策確保所有類型的流量都有最佳效能。
可靠性
⭐⭐⭐
平台利用備援基礎設備確保 100% 可用性;沒有單一的裝置負責掌握政策,也沒有單一的連結負責執行所有關鍵流量。
成本
⭐⭐
透過整合功能以降低總持有成本。
可見度
⭐⭐⭐
來自邊緣的資料經過彙整、處理,並連同洞察與如何控制該資料一起呈現。
敏捷性
⭐⭐⭐
在網路設定或政策中做出改變就如同在儀表板上按按鈕一樣簡單;在數秒鐘內在全球傳播改變。
Precision
⭐⭐⭐
在使用者與應用程式層執行控制。完成「只允許人資取得員工薪資資料」看起來像是:允許屬於人資的使用者在可信任的裝置上取得員工薪資資料
Cloudflare One 是第一個從零開始,為了次世代網路所建構的統一平台。
為了達成我們遠大的願景,資訊長需要一個能結合 Zero Trust 與在世界級全球網路營運網路服務的平台。我們相信 Cloudflare One 是第一個能夠讓資訊長完全實現該願景的平台。
我們打造的 Cloudflare One 是一個結合 Zero Trust 網路即服務的平台,並在我們的全球網路軟體內建的商用硬體上運行。我們從最初只是為了滿足自家 IT 與網路安全團隊的需求,直到我們意識到這套平台能夠協助其他公司轉變他們的網路,進而開始逐漸向我們的客戶提供服務。每一個 Cloudflare 服務以高於 100 Tbps 的運算能力在超過 250 個國家的每一個伺服器上運行,提供前所未有的規模與效能。我們的網路安全服務也非常快速。我們的 DNS 篩選器在全球最快的公共 DNS 解析器上運行,並在最快的無伺服器平台 Cloudflare Workers 上執行身份識別。
我們運用每秒超過 2800 萬則要求與超過 1 萬個互連所獲得的洞見,為我們的客戶執行更聰明的網路安全性與效能決策。我們在搭配單遍檢查與單一面板管理的統一平台上提供網路連線服務與網路安全服務。我們相信這能填補上可見度漏洞,並提供超越數個單點解決方案總和起來的價值。我們讓資訊長宛如使用自己的擴充功能般,使用我們遍佈全球又非常快速的智慧型網路。
這個禮拜,我們將回顧並延伸介紹 Cloudflare One,搭配來自真實世界的客戶範例,了解他們如何在 Cloudflare 上打造他們的次世代網路。我們將深入了解當今產品所擁有的能力,以及如何處理在 Generation 2 上遇到的問題,並介紹一些能讓資訊長事半功倍的新產品領域,例如消除舊版硬體的費用與複雜度、從不同的角度增加自家網路網路安全性,還有讓所有流量在我們已經非常快速的網路中運行的更快。
我們真的非常興奮能夠和大家分享我們如何塑造企業網路的未來。希望資訊長 (還有所有人!)也對此同樣感到振奮。