什么是Cloudflare One？

運(yùn)行安全的企業(yè)網(wǎng)絡(luò)是非常困難的。世界各地的員工都在家里工作。應(yīng)用程序在數(shù)據(jù)中心內(nèi)運(yùn)行，托管在公共云中，并作為服務(wù)交付。執(zhí)著而有動(dòng)機(jī)的攻擊者會利用任何漏洞。

企業(yè)過去常常構(gòu)建類似城堡和護(hù)城河的網(wǎng)絡(luò)。這些墻和護(hù)城河將攻擊者拒之門外，將數(shù)據(jù)保護(hù)在內(nèi)。團(tuán)隊(duì)成員只能通過吊橋進(jìn)入，并傾向于待在圍墻內(nèi)。網(wǎng)絡(luò)信任城堡內(nèi)的人們會做正確的事，并在寧靜的安全網(wǎng)絡(luò)周邊部署您所需的任何東西。

互聯(lián)網(wǎng)，SaaS和“云”為這一計(jì)劃帶來了麻煩。今天，現(xiàn)代企業(yè)的工作更多的是在城堡外而不是在城堡內(nèi)進(jìn)行。那么，為什么企業(yè)還在花錢建造更復(fù)雜、更低效的護(hù)城河呢？

Cloudflare One結(jié)合了聯(lián)網(wǎng)產(chǎn)品，使員工無論身在何處都能盡力而為，并可在全球范圍內(nèi)部署一致的安全控制措施。

你可以開始用Cloudflare WARP和Gateway來過濾出站互聯(lián)網(wǎng)流量，以取代安全設(shè)備的流量回傳。對于您的辦公網(wǎng)絡(luò)，我們計(jì)劃將下一代防火墻功能引入Magic Transit——通過Magic firewall取代您的頂級防火墻設(shè)備。

與MPLS和SD-WAN模型相比，通過Cloudflare到互聯(lián)網(wǎng)的多個(gè)通道，以及消除了回程流量，我們計(jì)劃簡化管理該路由的過程，并使其具有成本效益。Cloudflare Magic WAN將為您提供一個(gè)控制平面以控制流量如何通過我們的網(wǎng)絡(luò)。

現(xiàn)在，你可以使用Cloudflare One來代替VPN的另一個(gè)功能：將用戶置于專用網(wǎng)絡(luò)上以進(jìn)行訪問控制。Cloudflare Access提供了零信任控件，可以代替專用網(wǎng)絡(luò)安全模型。本周晚些時(shí)候，我們將宣布您可以如何將Access擴(kuò)展到任何應(yīng)用程序——包括SaaS應(yīng)用程序。我們還將預(yù)展示我們的瀏覽器隔離技術(shù)，以確保連接到這些應(yīng)用程序的端點(diǎn)不受惡意軟件的攻擊。

最后，Cloudflare One中的產(chǎn)品著重于為您的團(tuán)隊(duì)提供日志和工具，以了解并糾正問題。作為我們本周推出的Gateway過濾的一部分，我們包含了一些日志，這些日志提供了對離開您的組織的流量的可見性。本周晚些時(shí)候，我們將通過一個(gè)新的入侵檢測系統(tǒng)（可以檢測和阻止入侵嘗試）來展示如何讓這些日志變得更智能。

以上的許多組件今天就可以買到，一些新功能將在本周推出，其他組件也將很快推出。我們都很高興能分享這一愿景，并展望企業(yè)網(wǎng)絡(luò)的未來。

企業(yè)網(wǎng)絡(luò)體系和安全性方面的問題

人們對企業(yè)網(wǎng)絡(luò)的要求已經(jīng)發(fā)生了巨大的變化。它已經(jīng)從后臺功能變成了關(guān)鍵任務(wù)。隨著網(wǎng)絡(luò)變得越來越不可或缺，用戶也從辦公室擴(kuò)展到在家工作。應(yīng)用程序離開了數(shù)據(jù)中心，現(xiàn)在正在多云中運(yùn)行，或者由供應(yīng)商直接通過互聯(lián)網(wǎng)交付。

直接的網(wǎng)絡(luò)路徑變成了發(fā)夾彎

坐在辦公室里的員工可以通過專用網(wǎng)絡(luò)連接到附近數(shù)據(jù)中心運(yùn)行的應(yīng)用程序。當(dāng)團(tuán)隊(duì)成員離開辦公室時(shí)，他們可以使用VPN從墻外潛回網(wǎng)絡(luò)。分支機(jī)構(gòu)則通過昂貴的MPLS鏈路跳到同一網(wǎng)絡(luò)上。

當(dāng)應(yīng)用程序離開數(shù)據(jù)中心，用戶離開他們的辦公室時(shí)，組織的反應(yīng)是試圖迫使分散的世界進(jìn)入相同的城堡和護(hù)城河模型。公司購買了更多的VPN許可證，用困難的SD-WAN部署取代了MPLS鏈接。為了模仿舊的網(wǎng)絡(luò)模式，網(wǎng)絡(luò)變得更加復(fù)雜，而實(shí)際上互聯(lián)網(wǎng)已經(jīng)成為了新的企業(yè)網(wǎng)絡(luò)。

縱深防御瓦解

試圖破壞企業(yè)網(wǎng)絡(luò)的攻擊者有多種工具可供使用，他們可能執(zhí)行外科式惡意軟件攻擊，向您的網(wǎng)絡(luò)扔一個(gè)容量巨大的“廚房水槽”，或任何類似的東西。傳統(tǒng)上，針對每種攻擊的防御都是由運(yùn)行在數(shù)據(jù)中心中的單獨(dú)的專用硬件提供的。

過去，每個(gè)用戶和每個(gè)應(yīng)用程序都位于同一個(gè)位置，安全控制相對比較容易。當(dāng)員工離開辦公室且工作負(fù)載離開數(shù)據(jù)中心時(shí)，同一安全控制手段變得難以遵循。各公司部署了一系列點(diǎn)解決方案，試圖在混合和動(dòng)態(tài)環(huán)境中重建其上層防火墻設(shè)備。

高可見度需要大量付出

向拼湊模式的轉(zhuǎn)變犧牲的不僅僅是縱深防御——公司失去了對其網(wǎng)絡(luò)和應(yīng)用程序中發(fā)生的事情的可見性。我們從客戶那里聽說，日志的捕獲和標(biāo)準(zhǔn)化已經(jīng)成為他們最大的障礙之一。他們購買了昂貴的數(shù)據(jù)攝取、分析、存儲和分析工具。

企業(yè)現(xiàn)在依賴于多點(diǎn)解決方案，其中最大的障礙之一是日志的捕獲和標(biāo)準(zhǔn)化。越來越多的法規(guī)和合規(guī)壓力更加強(qiáng)調(diào)數(shù)據(jù)保留和分析的重要性。分裂的安全解決方案成為了數(shù)據(jù)管理的噩夢。

修復(fù)問題依賴于最好的猜測

在無法看到這種新的網(wǎng)絡(luò)模型的情況下，安全團(tuán)隊(duì)不得不猜測可能出現(xiàn)的問題。想要采用“假定失陷”模型的組織努力確定可能的缺口，從而針對該問題提出所有可能的解決方案。

一些企業(yè)購買了新的掃描和過濾服務(wù)，這些服務(wù)在虛擬設(shè)備中交付，以解決不確定的問題。我們與這些企業(yè)進(jìn)行了交談，發(fā)現(xiàn)這些團(tuán)隊(duì)正試圖手動(dòng)糾正每個(gè)可能的事件，因?yàn)樗麄內(nèi)狈梢娦裕鵁o法針對特定事件并調(diào)整安全模型。

Cloudflare One如何搭配？

在過去的幾年中，我們一直在組裝Cloudflare One的組件。我們推出了單獨(dú)的產(chǎn)品，一次解決其中的一些問題。我們很高興能與大家分享我們對Cloudflare One如何將它們整合在一起的看法。

靈活的數(shù)據(jù)平面

Cloudflare作為反向代理推出?？蛻舭阉麄兠嫦蚧ヂ?lián)網(wǎng)的屬性放到我們的網(wǎng)絡(luò)上，其受眾可通過我們的網(wǎng)絡(luò)連接到那些特定的目的地。Cloudflare One代表了多年來允許我們的網(wǎng)絡(luò)處理“反向”或“正向”的任何類型的流量的功能。

在2019年，我們推出了 Cloudflare WARP——一個(gè)移動(dòng)應(yīng)用程序，通過與我們網(wǎng)絡(luò)的加密連接使互聯(lián)網(wǎng)流量保持私密性，同時(shí)還使其更快，更可靠。我們現(xiàn)在正在將同樣的技術(shù)打包到本周發(fā)布的企業(yè)級版本中，將遠(yuǎn)程員工與Cloudflare Gateway連接起來。

你的數(shù)據(jù)中心和辦公室應(yīng)該具有同樣的優(yōu)勢。我們在去年啟動(dòng)了 Magic Transit，以保護(hù)您的網(wǎng)絡(luò)免受IP層攻擊。我們最初對Magic Transit的關(guān)注一直是為本地網(wǎng)絡(luò)提供一流的DDoS緩解。DDoS攻擊一直困擾著網(wǎng)絡(luò)運(yùn)營商，Magic Transit有效緩解了他們的困擾，而不會造成性能損失。堅(jiān)如磐石的DDoS緩解功能是構(gòu)建高級安全功能的理想平臺，該功能可應(yīng)用于已經(jīng)在我們網(wǎng)絡(luò)中流動(dòng)的相同流量。

今年早些時(shí)候，當(dāng)我們推出 Cloudflare網(wǎng)絡(luò)互連（CNI）時(shí)，我們擴(kuò)展了該模型，以允許我們的客戶將分支機(jī)構(gòu)和數(shù)據(jù)中心直接與Cloudflare互連。作為Cloudflare One的一部分，我們將出站過濾應(yīng)用于同一連接。

Cloudflare One不應(yīng)該僅僅幫助您的團(tuán)隊(duì)轉(zhuǎn)移到作為企業(yè)網(wǎng)絡(luò)的互聯(lián)網(wǎng)上，它還應(yīng)該比互聯(lián)網(wǎng)更快。我們的網(wǎng)絡(luò)與運(yùn)營商無關(guān)，連接和對等情況非常好，并且在全球范圍內(nèi)提供相同的服務(wù)。在每個(gè)匝道上，我們都基于Argo智能路由技術(shù)添加了更智能的路由，事實(shí)證明，該技術(shù)可將延遲減少30％或更多。安全+性能，因其兼得而變得更好。

單個(gè)統(tǒng)一控制平面

當(dāng)用戶從分支機(jī)構(gòu)和設(shè)備連接到互聯(lián)網(wǎng)時(shí)，他們將跳過總部的防火墻設(shè)備。為了跟上步伐，企業(yè)需要一種方法來保護(hù)不再完全駐留在自己網(wǎng)絡(luò)中的流量。Cloudflare One對所有流量實(shí)施標(biāo)準(zhǔn)的安全控制——不管連接如何啟動(dòng)，或者它位于網(wǎng)絡(luò)堆棧的哪個(gè)位置。

Cloudflare Access首先將身份引入Cloudflare的網(wǎng)絡(luò)。團(tuán)隊(duì)根據(jù)身份和上下文對入站和出站連接應(yīng)用過濾器。無論服務(wù)器或用戶的位置如何，每次登錄、請求和響應(yīng)都要通過Cloudflare的網(wǎng)絡(luò)進(jìn)行代理。我們網(wǎng)絡(luò)的規(guī)模及其分布可以過濾和記錄企業(yè)流量，而不會影響性能。

Cloudflare Gateway可確保與互聯(lián)網(wǎng)其余部分的連接安全。Gateway檢查離開設(shè)備和網(wǎng)絡(luò)的流量，檢查隱藏在應(yīng)用層連接內(nèi)部的威脅和數(shù)據(jù)丟失事件。即將推出，Gateway將把相同級別的控制帶到傳輸層。

您應(yīng)該對網(wǎng)絡(luò)如何發(fā)送流量具有相同級別的控制。我們很高興宣布推出Magic Firewall防火墻，這是一種用于離開辦公室和數(shù)據(jù)中心的所有流量的下一代防火墻。使用Gateway和Magic Firewall，您可以一次構(gòu)建一個(gè)規(guī)則并在任何地方運(yùn)行它，或者在單個(gè)控制平面中針對特定的用例定制規(guī)則。

我們知道某些攻擊無法過濾，因?yàn)樗鼈兛梢栽跇?gòu)建過濾器以阻止它們之前啟動(dòng)。Cloudflare瀏覽器，我們的隔離瀏覽器技術(shù)為您的團(tuán)隊(duì)提供了防彈玻璃板，防止可以避開已知過濾器的威脅。本周晚些時(shí)候，我們將邀請客戶注冊加入測試版，從而在Cloudflare的邊緣上瀏覽互聯(lián)網(wǎng)，而無需冒著代碼跳出瀏覽器感染端點(diǎn)的風(fēng)險(xiǎn)。

最后，保護(hù)您的網(wǎng)絡(luò)安全的PKI基礎(chǔ)架構(gòu)應(yīng)該是現(xiàn)代化且易于管理的。我們從客戶那里聽到，他們將證書管理描述為轉(zhuǎn)向更好的安全模型的核心問題之一。Cloudflare與TLS 1.3等現(xiàn)代加密標(biāo)準(zhǔn)兼容，而不相違背。Cloudflare讓您只需點(diǎn)擊一下，就可以輕松地在互聯(lián)網(wǎng)上為您的網(wǎng)站添加加密。我們將為你在Cloudflare One上運(yùn)行的網(wǎng)絡(luò)功能帶來易于管理的特性。

一個(gè)獲取日志的地方，一個(gè)用于所有安全分析的位置

Cloudflare的網(wǎng)絡(luò)平均每秒可處理1800萬個(gè)HTTP請求。我們已經(jīng)建立了日志記錄管道，使世界上一些最大的互聯(lián)網(wǎng)屬性可以大規(guī)模捕獲和分析其日志。Cloudflare One建立在相同的功能之上。

Cloudflare Access和Gateway可以捕獲入站或出站的每個(gè)請求，而無需任何服務(wù)器端代碼更改或高級客戶端配置。您的團(tuán)隊(duì)可以使用我們的Cloudflare Logpush服務(wù)將這些日志導(dǎo)出到您選擇的SIEM提供程序，該服務(wù)與為公共站點(diǎn)大規(guī)模導(dǎo)出HTTP請求事件的管道相同。Magic Transit將該日志記錄功能擴(kuò)展到整個(gè)網(wǎng)絡(luò)和辦公室，以確保您永遠(yuǎn)不會在任何位置失去可見性。

我們不僅要記錄事件。Cloudflare Web分析現(xiàn)可在您的網(wǎng)站上使用，可將日志轉(zhuǎn)換為見解。我們還計(jì)劃繼續(xù)擴(kuò)大對網(wǎng)絡(luò)運(yùn)行方式的可見性。正如Cloudflare取代了執(zhí)行各種網(wǎng)絡(luò)功能的“創(chuàng)可貼盒”并將它們統(tǒng)一到一個(gè)具有凝聚力，適應(yīng)性強(qiáng)的邊緣一樣，我們打算對分散，難以使用且昂貴的安全分析生態(tài)系統(tǒng)執(zhí)行相同的操作。更多功能，即將推出。

更智能，更快的修復(fù)

數(shù)據(jù)和分析應(yīng)該顯示團(tuán)隊(duì)可以補(bǔ)救的事件。導(dǎo)向一鍵修復(fù)的日志系統(tǒng)可能是功能強(qiáng)大的工具，但我們希望使修復(fù)自動(dòng)進(jìn)行。

在我們?nèi)蚍秶木W(wǎng)絡(luò)上運(yùn)行您的網(wǎng)絡(luò)

超過2500萬個(gè)互聯(lián)網(wǎng)網(wǎng)站依靠Cloudflare的網(wǎng)絡(luò)來接觸他們的受眾。超過10%的網(wǎng)站通過我們的反向代理進(jìn)行連接，包括16%的財(cái)富1000強(qiáng)網(wǎng)站。Cloudflare通過提供來自世界各地?cái)?shù)據(jù)中心的服務(wù)來加速互聯(lián)網(wǎng)的大塊流量。

我們從這些數(shù)據(jù)中心提供Cloudflare One。重要的是，我們運(yùn)營的每個(gè)數(shù)據(jù)中心都提供相同的服務(wù)，無論是Cloudflare Access、WARP、Magic Transit還是我們的WAF。舉個(gè)例子，當(dāng)你的員工通過Cloudflare WARP連接到我們的數(shù)據(jù)中心時(shí)，他們就有真正的機(jī)會永遠(yuǎn)不必離開我們的網(wǎng)絡(luò)或數(shù)據(jù)中心來訪問他們需要的站點(diǎn)或數(shù)據(jù)。結(jié)果，他們的整個(gè)互聯(lián)網(wǎng)體驗(yàn)會變得非常快，無論他們在世界的哪個(gè)地方。

隨著瀏覽器通過Cloudflare Browser移至Cloudflare的邊緣，我們預(yù)計(jì)性能獎(jiǎng)勵(lì)將變得更加有意義。運(yùn)行在Cloudflare數(shù)據(jù)中心的獨(dú)立瀏覽器可以請求僅幾厘米外的內(nèi)容。更進(jìn)一步說，隨著越來越多的web屬性依賴于Cloudflare Workers來驅(qū)動(dòng)他們的應(yīng)用程序，整個(gè)工作流可以留在數(shù)據(jù)中心內(nèi)，距離你的員工不超過100毫秒。