Cloudflare 再一次入选 Gartner® 安全服务边缘 (SSE) 魔力象限™ 报告1。我们很高兴地告诉大家,该报告仅认可了十家供应商,Cloudflare 就是其中之一。这是我们连续第二年凭借执行能力和愿景完整性获得认可。如需了解 Cloudflare 在该报告中的具体位置的更多信息,请访问此处.
去年,Cloudflare 成为 2023 年 Gartner® SSE 魔力象限™ 报告中的唯一新供应商。自推出首款产品以来,我们在最短的时间内实现了这个目标。当时我们还向客户做出了承诺,表示会加快构建速度。我们很高兴向大家公布 Cloudflare 产品对客户的影响以及 Gartner 对客户反馈的认可。
得益于过去 14 年来对 Cloudflare 全球网络的持续投资,我们能够比友商更快速、更具成本效益地将产品功能推向市场。我们认为 Cloudflare 能够成为 2023 年入选的唯一新供应商,是因为我们组合利用多项现有优势,例如强大的多用途全球代理、快如闪电的 DNS 解析器、无服务器计算平台,并且能够可靠地路由和加速世界各地的流量。
我们认为,依托全球网络的优势,Cloudflare 去年在安全服务边缘 (SSE) 市场取得了进一步的发展,因为越来越多客户采用 Cloudflare One。我们利用了 Web Application Firewall (WAF) 的功能来扫描攻击,且不影响运行速度;将其用到了现在的全面数据丢失防护 (DLP) 解决方案。我们调整了用于衡量网络性能的工具的用途,推出了适用于管理员的日臻成熟的 Digital Experience Monitoring (DEX) 套件。此外,我们拓展了云访问安全代理 (CASB) 工具集,用于扫描更多应用程序,以便获取新的数据类型。
我们非常感谢在迄今为止的安全服务边缘旅程中选择信任 Cloudflare 的客户,并且我们对 Gartner® Peer Insights™ 专题讨论小组中的客户评价感到特别自豪,因为这些客户分享了各自的 Cloudflare One 使用体验。客户反馈一直非常积极,因此,Gartner 将 Cloudflare 评为 2024 年“客户之选”2。我们在此向客户做出与 2023 年相同的承诺:Cloudflare 致力于构建业界一流的 SSE 平台,我们会继续加快开发速度。
什么是安全服务边缘 (SSE)?
安全服务边缘 (SSE)“旨在确保安全访问网络、云服务和专用应用程序。其功能包括访问控制、威胁防护、数据安全、安全监测和可接受的使用控制(通过基于网络与基于 API 的集成来实施)。SSE 主要以基于云的服务形式提供,并且可能包含本地或基于代理的组件。”3
由于各个公司处理用户、设备和数据而留下大规模的安全边界,SSE 解决方案市场开始逐渐成型。在前几代,安全团队借助一个比喻意义上的“城堡与护城河”来躲避外界攻击,从而确保企业安全。保护设备和数据的防火墙位于办公空间的实体墙壁内,用户需要访问的应用程序处于同一个互联网中。如果用户偶尔离开办公室,则需要解决通过传统虚拟专用网络 (VPN) 客户端回传流量的麻烦。
当应用程序离开办公大楼时,前述概念开始瓦解。SaaS 应用程序是比自托管资源的应用程序更实惠、更简单的一种替代方案。它带来的节省成本和时间优势,促使 IT 部门进行迁移,而安全团队必须迎头赶上,因为所有最敏感的数据均已迁移。
与此同时,用户开始更频繁地远程办公。随着越来越多用户需要更多地连接到互联网的这种新需求,办公室内曾经极少使用的 VPN 基础设施突然变得难以维持正常运行。
因此,企业采用的各种快速修复失效了,某些情况下缓慢失效,其他情况下突然失效。SSE 供应商提供了基于云的解决方案。SSE 提供商在自有数据中心或公共云平台上运行各自的安全服务。与推动第一波迁移的 SaaS 应用程序一样,SSE 服务由供应商维护并以节省预算的方式进行扩展。通过避免回传改善最终用户体验,同时安全管理员可以更轻松地构建更智能、更安全的策略来保护团队。
SSE 领域涵盖的服务类别比较广泛。如果询问五个安全团队“什么是 SSE 或 Zero Trust 解决方案”,可能会得到六个答案。总体而言,SSE 提供了一个有用框架,在团队尝试采用 Zero Trust 架构时为其提供保护。它可以分成下述几个典型类别:
Zero Trust 访问控制:通过创建最低权限规则,检查每个请求或连接的身份以及其他上下文信号,保护存放敏感数据的应用程序。
出站内容过滤:通过过滤并记录 DNS 查询、HTTP 请求甚至是网络流量,确保用户和设备在连接到互联网的其他部分时保持安全。
保护 SaaS 使用:分析进入 SaaS 应用程序的流量并扫描应用程序中的数据,发现潜在的影子 IT 策略违规、错误配置或数据处理不当行为。
保护数据安全:扫描离开企业或发送至不符合企业政策的目的地的数据。查找企业内部存储的数据,包括受信任的工具中不应该保留或需要更严格访问控制的数据。
员工体验:监测并改善团队成员对互联网上或企业内部托管的各种工具和应用程序的使用体验。
SSE 领域是更大范围的安全访问服务边缘 (SASE) 市场的组成部分。您可以将 SSE 功能视为 SASE 安全概念的一半,而另一半则包括连接用户、办公室、应用程序和数据中心的网络技术。一些供应商仅侧重于提供 SSE 服务,并且依赖合作伙伴将客户与其安全解决方案连接起来。另一些公司则只提供网络技术服务。虽然今天的公告着重介绍我们的 SSE 服务功能,但 Cloudflare 作为综合型 SASE 单一供应商可以同时提供这两方面的服务。
Cloudflare One 如何融入 SSE 领域?
客户可以依靠 Cloudflare 来解决以 SSE 领域的服务类别为代表的各种安全问题。客户也可以选择从其中的单个解决方案开始。我们深知,整个“数字化转型”对任何企业来说都是势不可挡的前景。虽然一起实施下述所有用例会发挥更好的协同效应,但我们可以支持团队轻松开始转型之旅,一次只解决一个问题。
Zero Trust 访问控制
大多数企业着手解决的首要问题是虚拟专用网络 (VPN) 攻击。许多情况下,传统 VPN 的运行模式是默认专用网络上的任何人均可访问任何内容。这导致驻留在专用网络上的应用程序和数据容易受到任何可以连接到此网络的用户的攻击。我们看到,客户采用 Zero Trust 的主要用例之一是增强或替换传统 VPN,部分原因是为了消除本地部署的防火墙和网关中持续存在一系列具有重大影响的 VPN 漏洞所造成的痛苦。
Cloudflare 为团队提供制定 Zero Trust 规则的能力,这些规则将取代传统 VPN 的运行模式,评估每个请求和连接,获取身份、设备态势、位置等信任信号,并进行多因素身份验证。借助 Zero Trust 网络访问 (ZTNA),管理员可以采用完全无客户端访问选项,将应用程序提供给员工和第三方承包商,让这些用户在使用传统工具时获得与使用 SaaS 应用程序一样的体验。需要更多专用网络的团队仍然可以在 Cloudflare 平台上构建一个,支持任意 TCP、UDP 和 ICMP 流量,包括双向流量,同时仍然执行 Zero Trust 规则。
Cloudflare One 还可以将这些规则应用于企业基础设施之外的应用程序。您可以部署 Cloudflare 的身份代理来实施一致且精细的策略,从而确定团队成员登录其 SaaS 应用程序的方式。
DNS 过滤与安全 Web 网关功能
Cloudflare 运营着全球快如闪电的 DNS 解析器,帮助用户安全地连接到互联网,无论他/她们是在咖啡店办公还是在世界上某些最大型的网络中执行操作。
除了 DNS 过滤之外,Cloudflare 还为企业提供全面的安全 Web 网关 (SWG),检查离开设备或整个网络的 HTTP 流量。Cloudflare 会过滤每个请求,以便识别危险目的地或潜在的恶意下载。除了 SSE 用例之外,Cloudflare 还运营着全球最大规模之一的互联网隐私正向代理,Apple iCloud Private Relay、Microsoft Edge Secure Network 等都在使用。
您还可以混合搭配向 Cloudflare 发送流量的方式。您的团队可以决定从每个移动设备发送所有流量,或者只需将办公室或数据中心网络接入 Cloudflare 网络。每个请求或 DNS 查询都会被记录下来供您在 Cloudflare 仪表板中查看,也可以将记录导出到第三方日志记录解决方案。
内联与静态 CASB
SaaS 应用程序可以减轻 IT 团队托管、维护和监测业务背后的各种工具的负担。但是,它们也给相应的安全团队带来了新的麻烦。
现在,企业中的用户都需要连接到公共互联网上的应用程序才能完成工作,一些用户更喜欢使用自己最爱的应用程序,而不是经过 IT 部门审核和批准的应用程序。这种影子 IT 基础设施可能会导致意外费用、违规行为和数据丢失。
Cloudflare 提供全面的扫描和过滤功能,可以检测团队成员何时正在使用未经审批的工具。只需单击一下,管理员便可直接阻止这些工具,或控制应用程序的使用方式。如果您的营销团队需要使用 Google Drive 与供应商协作,则可以应用一个快速规则,确保团队成员只能下载文件而无法上传。或者,允许用户访问应用程序并阅读其中的内容,但阻止一切文本输入。Cloudflare 的影子 IT 策略提供易于部署的控制措施,管理企业使用互联网的方式。
除了未经审批的应用程序之外,即便是已获审批的资源也可能引起麻烦。您的日常工作可能离不开 Microsoft OneDrive,但企业合规策略禁止人力资源部门在该工具中存储包含员工社会保险号的文件。Cloudflare 的云访问安全代理 (CASB) 可以定期扫描您的团队所依赖的 SaaS 应用程序,检测不当使用、缺少控制措施或潜在的错误配置。
数字体验监测
企业用户对如何连接到互联网抱有消费者期望。当遇到延迟时,他们会向 IT 服务台投诉。如果服务台缺乏适当的工具来详细了解或解决问题,这些抱怨将只会有增无减。
Cloudflare One 为团队提供了 Digital Experience Monitoring 工具包,这个工具包是基于我们内部多年用于监测 Cloudflare 全球网络的工具而构建。管理员可以衡量互联网上的应用程序出现的全球、区域或个人延迟。IT 团队可以打开 Cloudflare 仪表板,对单个用户的连接问题进行故障排除。我们用于代理大约 20% Web 流量的相同功能,现可供任何规模的团队使用,为其各自的用户提供帮助。
数据安全
过去一年来,我们从首席信息官和首席信息安全官那里听到的最紧迫的问题,是他/她们对数据保护的担忧。无论是恶意或无意丢失数据,其后果可能会削弱客户的信任并给企业带来损失。
我们还听说,部署任何类型的数据安全有效措施都非常困难。客户向我们讲述了这样的轶事:他们购买了昂贵的单点解决方案,本是为了快速实施并确保数据安全,但这些解决方案最终要么不起作用,要么拖慢了团队速度,以至于成为摆设不再被使用。
去年我们一直在积极改进针对这种问题的解决方案,将其作为 Cloudflare One 团队最大的单一投资重点领域。我们的数据安全产品组合,包括数据丢失防护 (DLP) 现在可以扫描离开企业的数据和存储在 SaaS 应用程序内的数据,并根据用户提供的精确数据匹配或通过更模糊的匹配来防止数据丢失。团队可以应用光学字符识别 (OCR) 来发现图像中的字符损失,一键扫描公共云密钥软件,以及检测公司所依赖的预定义、基于机器学习的源代码。
未来一年,数据安全将继续是我们 Cloudflare One 团队最关注的问题。我们很高兴将继续提供 SSE 平台,让管理员能够全面掌控如何保护数据安全,同时不干扰或减慢用户的速度。
除了 SSE 之外
SSE 解决方案的范围涵盖了困扰企业的各种安全问题。我们还知道,超出这个定义的其他问题也可能会危及团队。除了提供业界领先的 SSE 平台之外,Cloudflare 还为团队提供各种工具,用于保护企业、连接团队以及保护所有应用程序。
IT 入侵往往从电子邮件开始。其中大多数始于某种多渠道的网络钓鱼活动或社会工程学攻击,将电子邮件发送到企业边界最大的漏洞,也就是员工的收件箱。我们认为,即使在 Cloudflare SSE 平台各个层开始启动以捕获电子邮件中的恶意链接或文件之前,用户也应该受到保护。因此,Cloudflare One 还特别提供了一流的 Cloud Email Security。各项功能与 Cloudflare One 的其他功能协同发挥作用,有助于阻止所有网络钓鱼渠道,例如收件箱(云电子邮件安全)、社交媒体 (SWG)、短信(ZTNA 和硬件密钥)以及云协作 (CASB)。例如,允许团队成员仍然可以单击电子邮件中的潜在恶意链接,并强制在对用户保持透明的隔离浏览器中加载这些目的地。
但大多数 SSE 解决方案仅止于此,只解决安全问题。团队成员、设备、办公室和数据中心仍然需要连接到高性能、高可用的网络。其他 SSE 供应商与网络提供商合作解决这一挑战,但同时增加了额外的步骤或延迟。Cloudflare 客户无需妥协。Cloudflare One 提供完整的 WAN 连接解决方案,与各种安全组件在同一数据中心交付。企业可以依靠单一供应商来解决连接方式并确保安全。无需额外的步骤或成本。
我们也知道,无论是企业内部发生的情况还是全球其他地方可用的应用程序,安全问题并无实质不同。您还可以通过 Cloudflare 保护并加速那些为服务客户而构建的应用程序。分析师也认可了 Cloudflare Web 应用程序和 API 保护 (WAAP) 平台,它可以全球某些最大的互联网目的地提供保护。
这对客户有何影响?
数以万计的企业信任 Cloudflare One 能够保护团队的日常运行。并且他们非常喜欢。Gartner® Peer Insights™ 中包含 200 多家企业对 Cloudflare Zero Trust 平台的评论。如前所述,客户反馈一直非常积极,因此,Gartner 将 Cloudflare 评为 2024 年“客户之选”。
我们直接与客户讨论了这些反馈,这有助我们了解首席信息官和首席信息安全官选择 Cloudflare One 的原因。一些团队认为 Cloudflare 让其有机会整合单点解决方案,这带来了成本效益。另一些团队则欣赏 Cloudflare 解决方案的易用性,也就是说,许多从业者甚至在与我们团队交谈之前就已经设置了 Cloudflare 平台。我们还听说,速度非常关键,可确保流畅的最终用户体验。Cloudflare 的速度比 Zscaler 快 46%,比 Netskope 快 56%,比 Palo Alto Networks 快 10%。
接下来?
2024 年伊始,我们用一周时间重点介绍新增安全功能,现可供各团队开始部署。展望今年剩余的时间,我们会深入研发安全 Web 网关产品并增加投资。我们还在努力使业界领先的 Cloudflare 访问控制功能更加易于使用。我们最关注的问题包括数据保护平台、数字体验监测,以及内联与静态 CASB 工具。此外,Cloudflare 将全面改革分析呈现方式并帮助团队满足合规需求,敬请期待!
2024 年,我们对客户的承诺保持不变,与 2023 年相同。我们将继续帮助各团队解决更多安全问题,以便客户可以专注于实现自己的使命。
是否准备好要求我们信守承诺?Cloudflare 在 SSE 领域的领导者象限中提供独特的解决方案,您可以立即开始免费使用 Cloudflare One 几乎所有功能。包含最多 50 个用户的各团队均可免费采用这个平台,无论是供小型团队使用,还是作为大型企业概念验证的组成部分。我们认为,任何规模的企业都应该能够开启部署行业领先的安全平台之旅。
***
1Gartner 安全服务边缘魔力象限报告,作者 Charlie Winckless、Thomas Lintemuth、Dale Koeppen,2024 年 4 月 15 日
2Gartner,Zero Trust 网络访问客户心声,由 Peer Insights 留言者提供,2024 年 1 月 30 日
3https://www.gartner.com/en/information-technology/glossary/security-service-edge-sse
GARTNER 是 Gartner, Inc. 和/或其附属公司在美国和全球的注册商标和服务商标,MAGIC QUADRANT 和 PEER INSIGHTS 均为注册商标,The GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE 徽章是 Gartner, Inc. 和/或其附属公司的商标,并且我们在此文中的使用已获得许可。保留所有权利。
Gartner® Peer Insights 内容包含最终用户基于自身体验而提出的主观意见,这些意见不应视为事实陈述且不代表 Gartner 或其附属公司的观点。Gartner 不支持本内容中描述的任何供应商、产品或服务,也不就本内容的准确性或完整性作出任何明示或暗示保证,包括对任何适销性或适合某一特定目的的保证。
Gartner 不支持其研究出版物中提及的任何提供商、产品或服务,也不建议技术用户只选择那些获得最高评分或其他称号的提供商。Gartner 研究出版物中包含的是 Gartner 研究组织的意见,不应被视为事实陈述。Gartner 对本研究不作出任何明示或暗示担保,包括适销性或针对特定用途适用性方面的任何担保