我們的Zero Trust代理現(xiàn)已在所有主要平臺實現(xiàn)功能同等�。除此之外,您還可控制新選項來決定流量的路由��,而您的管理員則可協(xié)調(diào)大規(guī)模的部署�����。憑借目前這個版本����,我們已經(jīng)準備好幫助您完全拋棄您的IT團隊討厭的傳統(tǒng)VPN和網(wǎng)絡安全工具���。
一年前��,我們推出了WARP for Desktop�,以此為所有人提供快速��、私密的互聯(lián)網(wǎng)通道����。對于我們的企業(yè)客戶���,IT和安全管理員也可使用同一個代理,將其組織中的設備注冊到Cloudflare for Teams��。注冊完畢后�����,其團隊成員便可加速進入互聯(lián)網(wǎng)�����,并通過Cloudflare實現(xiàn)從網(wǎng)絡防火墻功能到遠程瀏覽器隔離的全面安全性過濾����。
當去年推出這款產(chǎn)品時,我們旨在用一套簡單的配置選項來盡可能支持最廣泛的部署機制����,以使您的組織迅速得到保護。我們專注于幫助各組織從任何位置通過HTTP和DNS過濾來確保用戶和數(shù)據(jù)的安全��。我們從支持Mac��、Windows、iOS和Android開始��。
自推出以來����,已有數(shù)千家組織部署該代理,以確保其團隊成員和端點的安全����。我們已經(jīng)聽到有些客戶很希望擴大自己的部署范圍,但卻需要更多的操作系統(tǒng)支持和對配置的更佳控制�����。
我們今天隆重宣布:我們的Zero Trust代理現(xiàn)已在所有主要平臺實現(xiàn)功能同等��。除此之外���,您還可控制新選項來決定流量的路由,而您的管理員則可協(xié)調(diào)大規(guī)模的部署��。憑借目前這個版本����,我們已經(jīng)準備好幫助您完全拋棄您的IT團隊討厭的傳統(tǒng)VPN和網(wǎng)絡安全工具���。
按比例打造
在我們的Zero Trust代理中,最重要的兩個因素就是跨平臺可靠性和連接可靠性���。如果您曾發(fā)布過這種規(guī)模的軟件���,您就會知道在所有主要操作系統(tǒng)上維護客戶端是一項艱巨(且容易出錯)的任務。
為了避免平臺陷阱��,我們用Rust編寫了該代理的核心���,其允許跨所有設備共享95%的代碼��。在內(nèi)部����,我們將此公共代碼稱為共享后臺程序(或服務�����,對于Windows用戶)���。一個通用的����、基于Rust的實現(xiàn)允許我們的工程師可花更少的時間跨多個平臺復制代碼,同時確保大多數(shù)質(zhì)量得到改進并惠及每個人����。
在連接可靠性方面,如果您對傳統(tǒng)VPN有任何經(jīng)驗�,就會知道其很容易出錯且速度很慢。我們的網(wǎng)絡基礎建立在我們自己的WireGuard實現(xiàn)(稱為BoringTun)之上���。與傳統(tǒng)的慢速VPN不同��,我們通過UDP運行�,并針對當今用戶連接的各種互聯(lián)網(wǎng)基礎設施進行了優(yōu)化(例如���,在飛機上、在咖啡館里��、在城市擁擠的網(wǎng)絡中等)��。隨著規(guī)模的逐年增長��,我們已擁有數(shù)以百萬計的消費者設備���,BoringTun借此可確保對您的流量進行加密���,并為您任何政策的決策做好準備���。
憑借可靠的擴展能力,我們的代理現(xiàn)在完全支持以下操作系統(tǒng)
·Windows 8.1����、Windows 10和Windows 11
·macOS Mojave、Catalina��、Big Sur��、Monterey
·包括對M1的支持
·ChromeBooks(2019年后制造)(新版)
·Linux CentOS 8���、RHEL��、Ubuntu���、Debian(新版)
·iOS
·Android
為滿足您的部署模式而打造
首次推出時,我們的代理重點是加密到Cloudflare網(wǎng)絡的所有設備流量�����,并允許管理員圍繞流量建立HTTP和DNS策略。我們也知道�,客戶正處于向Zero Trust模式遷移的過程中。有時�����,這種轉變需要一步一腳印地進行����。
我們用大量時間創(chuàng)建了一些功能,使您不僅能完全替換傳統(tǒng)的解決方案���,還能與這些傳統(tǒng)解決方案一起運行我們的軟件�����,從而確保遷移更順利��。
·基于域的拆分隧道——有時��,您無需通過安全層來發(fā)送所有流量。我們已支持IP排除�,現(xiàn)在可很容易地用域名(如*.example.com或example.com)創(chuàng)建拆分隧道規(guī)則,而不是強迫您去查找特定域名的IP地址CIDR�����。
·僅包含拆分隧道——我們的代理在最初創(chuàng)建時的前提是,所有設備流量已加密并發(fā)送到我們的網(wǎng)絡�。這確保了流量不會被窺探,并允許管理員保持可見性�����。但是����,有時您只是希望將一些流量發(fā)送至Cloudflare,并默認排除其余流量�。僅包含拆分隧道可執(zhí)行這一操作,允許您選擇前往我們網(wǎng)絡的路線���。如果您需要快速替代傳統(tǒng)VPN以連接到Cloudflare隧道資源或只是希望確保對通往敏感基礎設施的流量進行HTTP檢查���,請使用僅包含拆分隧道規(guī)則。
·改進的私有域——有些組織將現(xiàn)有的第三方VPN與Cloudflare的Zero Trust產(chǎn)品一起運行�����,以開始執(zhí)行遷移。在過去�,我們的代理支持這種配置,方法是讓管理員設置回退域名解析�����,通過VPN為某些使用情況發(fā)送DNS查詢���。然而���,這種操作是全局性的,缺乏對查詢發(fā)送地點的控制����。我們現(xiàn)在新增了指定DNS服務器響應私有域的功能,正如本周早些時候討論的那樣����,這種功能可與我們新的Zero Trust網(wǎng)絡功能一起使用。
·純態(tài)勢模式(即將推出)—我們之前已經(jīng)討論了有關設備態(tài)勢和我們能力的重要性�。在2022年第一季度,我們將為代理提供在純態(tài)勢模式下運行的能力����。也就是說,我們的客戶不會處理任何DNS請求或向我們發(fā)送任何其他流量��。這使您能采用Cloudflare Access態(tài)勢策略�,而無需為您的用戶開啟HTTP檢查。
為實現(xiàn)無縫配置而打造
將任何代理部署到上萬個用戶可能在后勤方面帶來很大障礙��。我們構建了Cloudflare for Teams����,以無縫地在您的團隊中大規(guī)模部署。今天的公告為您提供了更多選項來使用基于API和Terraform的控制將代理推廣到您的整個組織����。
自動執(zhí)行管理任務是使其保持一致的最佳方式。在Cloudflare��,我們在基于HTTPS請求和JSON響應的一組RESTful API基礎上構建我們的UI����。這些用于設備管理的相同API會通過我們的API文檔以及通過我們的Terraform提供商向用戶公開。https://dash.teams.cloudflare.com/的Web版本中公開的一切內(nèi)容都通過其中某個界面提供���。
作為實現(xiàn)自動化的方法示例��,我們會考察一下基于域的拆分隧道��。這里有API文檔和Terraform等效文檔���,以供參考��。
要為example.com創(chuàng)建基于域的包含規(guī)則:
curl -X PUT "https://api.cloudflare.com/client/v4/accounts/699d98642c564d2e855e9661899b7252/devices/policy/include" \
-H "X-Auth-Email: user@example.com" \
-H "X-Auth-Key: c2547eb745079dac9320b638f5e225cf483cc5cfdda41" \
-H "Content-Type: application/json" \
--data '[{"host":"*.example","description":"Include all traffic to example.com in the tunnel"}]'
在Terraform中可以使用以下內(nèi)容創(chuàng)建這一相同規(guī)則:
# Including *.example.com in WARP routes
resource "cloudflare_split_tunnel" "example_split_tunnel_include" {
account_id = "699d98642c564d2e855e9661899b7252"
mode = "include"
tunnels {
host = "*.example.com",
description = "Include all traffic to example.com in the tunnel"
}
}
另一個常見任務是生成注冊設備的報告�����。使用設備列表API�����,以下示例將顯示如何列出向您的組織注冊的所有Windows設備:
curl -X GET "https://api.cloudflare.com/client/v4/accounts/699d98642c564d2e855e9661899b7252/devices?type=windows" \
curl -X GET "https://api.cloudflare.com/client/v4/accounts/699d98642c564d2e855e9661899b7252/devices?type=windows" \
--header 'Authorization: Bearer 8M7wS6hCpXVc-DoRnPPY_UCWPgy8aea4Wy6kCe5T' \
-H "Content-Type: application/json"
運行該命令將返回類似于以下內(nèi)容的JSON:
{
"created": "2021-12-01T17:14:23.847538Z",
"device_type": "windows",
"gateway_device_id": "215f9adc-52ca-11ec-9ece-f240956bdf5f",
"id": "215f9adc-52ca-11ec-9ece-f240956bdf5f",
"ip": "150.111.29.1",
"key": "0mS9vj2gk0KNcXoi50pwfuL49WT0rLGAcX2gVze3ixA=",
"last_seen": "2021-12-01T17:14:30.110663Z",
"mac_address": "00:0c:29:6f:11:93",
"model": "VMware7,1",
"name": "MYVMWin10",
"os_version": "10.0.19042",
"serial_number": "VMware-56",
"updated": "2021-12-01T17:14:30.110663Z",
"user": {
"email": "user@example.com",
"id": "6a8e079d-8a33-4677-b610-a5e361c0c959"
},
"version": "2021.11.278"
},
{
"created": "2021-11-08T23:59:37.621164Z",
"device_type": "windows",
"gateway_device_id": "ee02da10-40ef-11ec-bb68-6a56f426bb46",
"id": "ee02da10-40ef-11ec-bb68-6a56f426bb46",
"ip": "98.247.211.1",
"key": "DhUI8nqeVrXL1JFhYbeCFmkeu/XEkkEjVmcZ8UraTDI=",
"last_seen": "2021-11-08T23:59:37.621164Z",
"model": "Latitude 7400",
"name": "CloudBox",
"os_version": "10.0.19043",
"serial_number": "7CHR3Z2",
"updated": "2021-11-23T20:03:12.046067Z",
"user": {
"email": "user2@example.com",
"id": "39663a0d-9f7c-4a24-ae7f-f869a8cf07f1"
},
"version": "2021.11.34"
},
專為所有人進行管理而構建
作為今天的發(fā)布的一部分�,我們還宣布與MDM提供商建立合作伙伴關系�,以便您可以為用戶部署軟件。我們也知道����,一些組織還沒有MDM,或者其管理部署的管理員偏好可視用戶界面����。
在未來幾周,我們將在測試版中開啟直接從儀表板管理客戶端行為的各個方面的功能�����。這樣一來,您可以立即對客戶端配置進行更改�,而無需推送客戶端的新版本�����。
敬請期待
明年�,我們會加倍努力提高部署后的客戶端的可支持性和靈活性,這對于客戶端來說是個令人振奮的好消息���。我們特別想交付的一些功能包括:
·按用戶/組進行設備設置��,您將能夠為不同的用戶指定客戶端設置(例如�����,允許誰進行更新�����、拆分隧道規(guī)則���,等等)
·純狀態(tài)模式���,允許您在尚未針對Cloudflare Gateway做好準備時上線更多Cloudflare Access狀態(tài)控件
·更多Linux發(fā)行版本支持,這樣可以保護您組織中的所有人
·遙測和分析����,涉及您組織中的設備的表現(xiàn)情況,與我們的客戶端和流入Cloudflare的網(wǎng)絡的流量相關
立即登錄�����,閱讀全文
閩公網(wǎng)安備 35010202001226號
