Zero Trust、SASE和SSE：新一代的網(wǎng)絡(luò)基礎(chǔ)概念

如果您是安全、網(wǎng)絡(luò)或IT部門(mén)領(lǐng)導(dǎo)人，您很可能已經(jīng)聽(tīng)說(shuō)過(guò)Zero Trust、安全訪問(wèn)服務(wù)邊緣（SASE）和安全服務(wù)邊緣（SSE）等描述企業(yè)網(wǎng)絡(luò)架構(gòu)新格局的術(shù)語(yǔ)。這些框架正在形成新的一波技術(shù)浪潮，將從根本上改變企業(yè)網(wǎng)絡(luò)的構(gòu)建和運(yùn)營(yíng)方式，但這些術(shù)語(yǔ)經(jīng)常被交替使用，而且并不一致。我們很容易迷失在熱詞的海洋中，并失去它們背后的目標(biāo)：為您的最終用戶、應(yīng)用程序和網(wǎng)絡(luò)提供更安全、更快、更可靠的體驗(yàn)。今天，我們將詳細(xì)解析這些概念——Zero Trust、SASE和SSE——并概述實(shí)現(xiàn)這些目標(biāo)所需的關(guān)鍵組成部分。本內(nèi)容的持續(xù)更新版本位于我們的學(xué)習(xí)中心。

什么是Zero Trust？

Zero Trust是一種IT安全模型，它要求對(duì)試圖訪問(wèn)私有網(wǎng)絡(luò)內(nèi)資源的每個(gè)人和設(shè)備進(jìn)行嚴(yán)格的身份驗(yàn)證，無(wú)論他們位于網(wǎng)絡(luò)邊界內(nèi)部還是外部。這與基于邊界的傳統(tǒng)的安全模型形成了對(duì)比。傳統(tǒng)的安全模型也被稱為“城堡+護(hù)城河”架構(gòu)，用戶一旦被授予網(wǎng)絡(luò)訪問(wèn)權(quán)，就能夠訪問(wèn)其中資源。

簡(jiǎn)而言之：傳統(tǒng)IT網(wǎng)絡(luò)安全信任網(wǎng)絡(luò)內(nèi)的任何人和任何設(shè)備。Zero Trust架構(gòu)不信任任何人和任何設(shè)備。可在此進(jìn)一步了解Zero Trust安全。

什么是安全訪問(wèn)服務(wù)邊緣（SASE）？

Gartner引入SASE，作為各類組織實(shí)施Zero Trust架構(gòu)的框架。SASE將軟件定義的網(wǎng)絡(luò)能力與多種網(wǎng)絡(luò)安全功能集合起來(lái)，全部通過(guò)單一云平臺(tái)交付。通過(guò)這種方式，SASE讓員工能夠從任何地方進(jìn)行身分驗(yàn)證并安全地連接到內(nèi)部資源，讓企業(yè)更好地管控進(jìn)出其內(nèi)部網(wǎng)絡(luò)的流量和數(shù)據(jù)。

SASE的安全訪問(wèn)（Secure Access）組件包括定義跨用戶設(shè)備和應(yīng)用程序以及分支機(jī)構(gòu)、數(shù)據(jù)中心和云流量的Zero Trust安全策略。服務(wù)邊緣（Service Edge）組件允許所有流量（無(wú)論位于何處）通過(guò)安全訪問(wèn)控制，而無(wú)需回傳到執(zhí)行這些控制的中心“樞紐”?？稍诖诉M(jìn)一步了解SASE。

什么是安全服務(wù)邊緣(SSE)？

SSE是Gartner創(chuàng)造的另一個(gè)術(shù)語(yǔ)，是一個(gè)SASE功能子集，專注于安全執(zhí)行能力。它是實(shí)施全面SASE部署的一個(gè)常見(jiàn)過(guò)渡階段，將SSE安全控制擴(kuò)展到企業(yè)廣域網(wǎng)（WAN），并包括軟件定義的網(wǎng)絡(luò)功能，如流量整形和服務(wù)質(zhì)量?？稍诖诉M(jìn)一步了解SSE。

SASE的組成部分

最常見(jiàn)的SASE定義列出了一系列安全功能，如Zero Trust網(wǎng)絡(luò)訪問(wèn)（ZTNA）和云訪問(wèn)安全代理（CASB），重點(diǎn)在于SASE平臺(tái)需要做什么。安全功能是其中的一個(gè)關(guān)鍵部分，但是這些定義是不完整的：它們沒(méi)有描述這些功能如何實(shí)現(xiàn)，而這是同樣重要的。

SASE的完整定義建立在這一安全功能列表的基礎(chǔ)上，包括三個(gè)不同的方面：安全訪問(wèn)、入口和服務(wù)邊緣。

Cloudflare One：一個(gè)全面的SASE平臺(tái)

Cloudflare One是一個(gè)完整的SASE平臺(tái)，結(jié)合了一套完整的安全訪問(wèn)功能，以及連接任何流量源和目的地的靈活入口，全部通過(guò)快速、可靠的服務(wù)邊緣——Cloudflare全球網(wǎng)絡(luò)交付。對(duì)于希望從SSE開(kāi)始，作為實(shí)現(xiàn)SASE之過(guò)渡的組織而言，Cloudflare One也能滿足需求。它是完全可組合的，因此組件可以單獨(dú)部署，以服務(wù)即時(shí)用例，并按照您自己的節(jié)奏構(gòu)建完整的SASE架構(gòu)。

讓我們?cè)敿?xì)介紹SASE架構(gòu)的每一個(gè)組件，說(shuō)明Cloudflare One如何交付它們。

安全訪問(wèn)：安全功能

安全訪問(wèn)功能針對(duì)所有流量運(yùn)行，以確保用戶、應(yīng)用、網(wǎng)絡(luò)和數(shù)據(jù)安全。在一種輸入/處理/輸出（IPO）模型中，可將安全訪問(wèn)視為對(duì)流量進(jìn)行監(jiān)控和操作的處理過(guò)程。

Zero Trust網(wǎng)絡(luò)訪問(wèn)（ZTNA）

Zero Trust網(wǎng)絡(luò)訪問(wèn)（ZTNA）是使Zero Trust安全模型成為可能的技術(shù)，要求在授權(quán)用戶和設(shè)備訪問(wèn)內(nèi)部資源之前對(duì)它們進(jìn)行嚴(yán)格的驗(yàn)證。相比一次性授予對(duì)整個(gè)本地網(wǎng)絡(luò)訪問(wèn)權(quán)的傳統(tǒng)虛擬專用網(wǎng)絡(luò)（VPN），ZTNA僅授權(quán)訪問(wèn)所請(qǐng)求的特定應(yīng)用程序，且默認(rèn)拒絕對(duì)應(yīng)用程序和數(shù)據(jù)的訪問(wèn)。

ZTNA可與其他應(yīng)用安全功能協(xié)同工作，例如Web應(yīng)用防火墻、DDoS防護(hù)和機(jī)器人管理，為公共互聯(lián)網(wǎng)上的應(yīng)用程序提供全面的保護(hù)。有關(guān)ZTNA的更多信息，請(qǐng)參閱此處。

Cloudflare One包含一個(gè)ZTNA解決方案，Cloudflare Access，基于客戶端或無(wú)客戶端的模式運(yùn)行，以授予對(duì)自托管和SaaS應(yīng)用程序的訪問(wèn)權(quán)限。

安全web網(wǎng)關(guān)（SWG）

安全Web網(wǎng)關(guān)（SWG）在公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間運(yùn)作，以執(zhí)行安全策略并保護(hù)公司數(shù)據(jù)。無(wú)論流量來(lái)自用戶設(shè)備、分支機(jī)構(gòu)還是應(yīng)用，SWG都能提供URL過(guò)濾、惡意軟件檢測(cè)和阻止、應(yīng)用控制等多層保護(hù)。隨著越來(lái)越高比例的公司網(wǎng)絡(luò)流量從專用網(wǎng)絡(luò)轉(zhuǎn)移到互聯(lián)網(wǎng)，部署SWG已經(jīng)成為保護(hù)公司設(shè)備、網(wǎng)絡(luò)和數(shù)據(jù)免受各種安全威脅的關(guān)鍵。

SWG可與其他工具（包括Web應(yīng)用防火墻和網(wǎng)絡(luò)防火墻）協(xié)同工作，保護(hù)企業(yè)網(wǎng)絡(luò)上的傳入和傳出流量。它們也能與遠(yuǎn)程瀏覽器隔離（RBI)協(xié)同工作，防止惡意軟件和其他攻擊影響企業(yè)設(shè)備和網(wǎng)絡(luò)，而不完全阻止用戶訪問(wèn)互聯(lián)網(wǎng)資源。有關(guān)SWG的更多信息，參見(jiàn)此處。

Cloudflare One包含一個(gè)SWG解決方案，Cloudflare Gateway，它為來(lái)自用戶設(shè)備和網(wǎng)絡(luò)位置的流量提供DNS、HTTP和網(wǎng)絡(luò)過(guò)濾。

遠(yuǎn)程瀏覽器隔離（RBI）

瀏覽器隔離是一種通過(guò)將加載網(wǎng)頁(yè)的過(guò)程與顯示網(wǎng)頁(yè)的用戶設(shè)備分離來(lái)保證瀏覽活動(dòng)安全的技術(shù)。這樣，潛在的惡意網(wǎng)頁(yè)代碼就不會(huì)在用戶的設(shè)備上運(yùn)行，從而防止惡意軟件感染和其他網(wǎng)絡(luò)攻擊影響用戶設(shè)備和內(nèi)部網(wǎng)絡(luò)。

RBI與其他安全訪問(wèn)功能協(xié)同工作。例如，安全團(tuán)隊(duì)可配置安全Web網(wǎng)關(guān)策略來(lái)自動(dòng)隔離到已知或潛在可疑網(wǎng)站的流量。有關(guān)瀏覽器隔離的更多信息，參見(jiàn)此處。

Cloudflare One包含瀏覽器隔離。傳統(tǒng)的遠(yuǎn)程瀏覽器會(huì)向用戶發(fā)送網(wǎng)頁(yè)的一個(gè)緩慢而笨重的版本。相比之下，Cloudflare瀏覽器隔離會(huì)在用戶的設(shè)備上繪制一個(gè)頁(yè)面的精確副本，而且傳輸速度極快，感覺(jué)就像在使用普通瀏覽器。

云訪問(wèn)安全代理（CASB）

云訪問(wèn)安全代理掃描、檢測(cè)并持續(xù)監(jiān)視SaaS應(yīng)用程序中的安全問(wèn)題。組織使用CASB的目的：

·數(shù)據(jù)安全，例如確保不會(huì)在Dropbox上公開(kāi)共享錯(cuò)誤的文件或文件夾

·用戶活動(dòng)，例如在凌晨2時(shí)就可疑的用戶權(quán)限更改發(fā)出警告

·錯(cuò)誤配置，例如防止Zoom錄制文件被公開(kāi)訪問(wèn)

·合規(guī)，例如跟蹤和報(bào)告誰(shuí)修改了Bitbucket分支權(quán)限

·影子IT，例如檢測(cè)用工作郵箱注冊(cè)了未經(jīng)批準(zhǔn)的應(yīng)用程序的用戶

API驅(qū)動(dòng)的CASB利用與各種SaaS應(yīng)用程序的API集成，只需幾分鐘就可以連接。CASB還可以與RBI協(xié)同使用，以檢測(cè)并防止對(duì)已批準(zhǔn)和未批準(zhǔn)SaaS應(yīng)用程序的有害行為，比如禁止下載文件或從文檔中復(fù)制文本。有關(guān)CASB的更多信息，參見(jiàn)此處。

Cloudflare One包括一個(gè)API驅(qū)動(dòng)的CASB，它就SaaS應(yīng)用提供全面的可見(jiàn)性和管控，以便輕松地防止數(shù)據(jù)泄露和違規(guī)。

數(shù)據(jù)丟失防護(hù)（DLP）

數(shù)據(jù)丟失防護(hù)（DLP）工具能夠檢測(cè)和防止數(shù)據(jù)泄露（未經(jīng)公司授權(quán)的數(shù)據(jù)移動(dòng)）或數(shù)據(jù)銷毀。許多DLP解決方案通過(guò)分析網(wǎng)絡(luò)流量和內(nèi)部“端點(diǎn)”設(shè)備來(lái)識(shí)別諸如信用卡號(hào)碼和個(gè)人身份信息（PII）等機(jī)密信息的泄露或丟失。DLP使用多種技術(shù)來(lái)檢測(cè)敏感數(shù)據(jù)，包括數(shù)據(jù)指紋、關(guān)鍵字匹配、模式匹配和文件匹配。有關(guān)DLP的更多信息，參見(jiàn)此處。

Cloudflare One的DLP功能即將推出。其中將包括根據(jù)常見(jiàn)模式（如PII）檢查數(shù)據(jù)、對(duì)需要保護(hù)的特定數(shù)據(jù)添加標(biāo)簽和索引，以及將DLP規(guī)則與其他Zero Trust策略相結(jié)合的能力。

防火墻即服務(wù)

防火墻即服務(wù)，也被稱為云防火墻，用于過(guò)濾潛在的惡意流量，而不需要在客戶網(wǎng)絡(luò)中使用物理硬件。有關(guān)防火墻即服務(wù)的更多信息，參見(jiàn)此處。

Cloudflare One包含Magic Firewall，這是一個(gè)防火墻即服務(wù)，用于從單個(gè)控制平面過(guò)濾任何IP流量，并（新功能?。┰谀牧髁可蠄?zhí)行IDS策略。

電子郵件安全

電子郵件安全是防止基于電子郵件的網(wǎng)絡(luò)攻擊和有害通信的過(guò)程。電子郵件安全保護(hù)收件箱以防被接管，防止域名假冒，阻止網(wǎng)絡(luò)釣魚(yú)攻擊，預(yù)防欺詐，阻止惡意軟件傳遞，過(guò)濾垃圾郵件，并使用加密來(lái)保護(hù)電子郵件的內(nèi)容，以防被未授權(quán)人員查看。

電子郵件可與其他安全訪問(wèn)功能協(xié)同使用，例如DLP和RBI，電子郵件中的潛在可疑鏈接可在隔離瀏覽器中打開(kāi)，而不阻止合法郵件。有關(guān)電子郵件安全的更多信息，參見(jiàn)此處。

Cloudflare One包括Area 1電子郵件安全，該平臺(tái)會(huì)在互聯(lián)網(wǎng)上搜集情報(bào)，用于在網(wǎng)絡(luò)釣魚(yú)、商業(yè)電子郵件攻擊（BEC）和電子郵件供應(yīng)鏈攻擊的最早期予以阻止。Area 1與Microsoft和Google的環(huán)境和工作流深度集成，增強(qiáng)云電子郵件提供商的內(nèi)置安全性。

入口：建立連接

為了對(duì)數(shù)據(jù)流量應(yīng)用安全訪問(wèn)功能，您需要一種機(jī)制將流量從來(lái)源（無(wú)論是遠(yuǎn)程用戶設(shè)備、分支機(jī)構(gòu)、數(shù)據(jù)中心還是云）傳輸?shù)竭@些功能運(yùn)行的服務(wù)邊緣（見(jiàn)下文）。入口（On-ramp）就是這種機(jī)制——IPO模型中的輸入和輸出，也就是流量在應(yīng)用過(guò)濾后從A點(diǎn)到B點(diǎn)的方式。

反向代理（適用于應(yīng)用程序）

反向代理位于Web服務(wù)器的前方，將客戶端（例如Web瀏覽器）請(qǐng)求轉(zhuǎn)發(fā)到這些Web服務(wù)器。實(shí)施反向代理通常為了幫助提高安全性、性能和可靠性。與身份和端點(diǎn)安全提供者協(xié)同使用時(shí)，反向代理可用于授予對(duì)Web應(yīng)用程序的網(wǎng)絡(luò)訪問(wèn)權(quán)限。

Cloudflare One包括世界上最繁忙的反向代理之一，每天處理超過(guò)13.9億個(gè)DNS請(qǐng)求。

應(yīng)用程序連接器（適用于應(yīng)用程序）

對(duì)于私有或非基于Web的應(yīng)用程序，IT團(tuán)隊(duì)可在其基礎(chǔ)設(shè)施上安裝輕量級(jí)后臺(tái)程序，創(chuàng)建對(duì)服務(wù)邊緣的僅傳出連接。這些應(yīng)用程序連接器允許連接到HTTP Web服務(wù)器、SSH服務(wù)器、遠(yuǎn)程桌面和其他應(yīng)用程序/協(xié)議，而不會(huì)將應(yīng)用程序暴露給潛在攻擊。

Cloudflare One包含Cloudflare Tunnel。用戶可以安裝一個(gè)輕量級(jí)的后臺(tái)進(jìn)程，在源Web服務(wù)器和Cloudflare最近的數(shù)據(jù)中心之間創(chuàng)建一條加密隧道，而無(wú)需打開(kāi)任何公共傳入端口。

設(shè)備客戶端（適用于用戶）

為了將來(lái)自筆記本電腦和手機(jī)等設(shè)備的流量傳輸?shù)接糜谶^(guò)濾和專用網(wǎng)絡(luò)訪問(wèn)的服務(wù)邊緣，用戶可以安裝客戶端。這個(gè)客戶端，即“漫游代理”，充當(dāng)正向代理，將設(shè)備的部分或全部流量傳送到服務(wù)邊緣。

Cloudflare One包含WARP設(shè)備客戶端。全球數(shù)百萬(wàn)用戶正在使用這個(gè)客戶端，可用于iOS、Android、ChromeOS、Mac、Linux和Windows。

自帶或租賃IP（適用于分支機(jī)構(gòu)、數(shù)據(jù)中心和云）

根據(jù)SASE供應(yīng)商的網(wǎng)絡(luò)/服務(wù)邊緣的能力，組織可以選擇自帶IP或租賃IP，通過(guò)BGP宣告來(lái)實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的連接性。

Cloudflare One包括自帶IP（BYOIP）租賃IP選項(xiàng)，兩者均涉及在我們整個(gè)Anycast上的宣告范圍。

網(wǎng)絡(luò)隧道（適用于分支機(jī)構(gòu)、數(shù)據(jù)中心和云）

位于物理網(wǎng)絡(luò)邊界的大多數(shù)硬件或虛擬硬件設(shè)備都能夠支持一種或多種行業(yè)標(biāo)準(zhǔn)的隧道機(jī)制，例如GRE和IPsec?？山姆种C(jī)構(gòu)、數(shù)據(jù)中心和公共云到服務(wù)邊緣的隧道，實(shí)現(xiàn)網(wǎng)絡(luò)級(jí)連接。

Cloudflare One包含Anycast GRE和IPsec隧道選項(xiàng)，其配置類似于傳統(tǒng)的點(diǎn)對(duì)點(diǎn)隧道，但授予對(duì)Cloudflare的整個(gè)Anycast網(wǎng)絡(luò)的自動(dòng)連接性，以便于管理和提供冗余。這些選項(xiàng)還允許方便地從現(xiàn)有的SD-WAN設(shè)備進(jìn)行連接，從而實(shí)現(xiàn)簡(jiǎn)單的管理或完全自動(dòng)化的隧道配置。

直連（適用于分支機(jī)構(gòu)和數(shù)據(jù)中心）

對(duì)于有高可靠性和容量需求的網(wǎng)絡(luò)，最后一個(gè)入口選擇是直接連接到服務(wù)邊緣，要么通過(guò)物理交叉連接/最后一英里連接，要么通過(guò)虛擬網(wǎng)絡(luò)提供商進(jìn)行虛擬互連。

Cloudflare One包含Cloudflare Network Interconnect(CNI)，允許您通過(guò)直接的物理連接或通過(guò)合作伙伴的虛擬連接接入Cloudflare的網(wǎng)絡(luò)。Cloudflare for Offices將CNI直接帶到您的物理住所，實(shí)現(xiàn)更簡(jiǎn)單的連接。

服務(wù)邊緣：驅(qū)動(dòng)一切的網(wǎng)絡(luò)

安全訪問(wèn)功能需要在某個(gè)地方運(yùn)行。在傳統(tǒng)的邊界架構(gòu)中，這個(gè)地方就是企業(yè)辦公室或數(shù)據(jù)中心內(nèi)的一堆硬件盒子；而在SASE架構(gòu)中，這是一個(gè)分布式的網(wǎng)絡(luò)，盡可能接近用戶，無(wú)論用戶處于世界任何位置。然而，并非所有服務(wù)邊緣都生而平等：對(duì)SASE平臺(tái)來(lái)說(shuō)，要為您的用戶、應(yīng)用和網(wǎng)絡(luò)提供良好的體驗(yàn)，底層網(wǎng)絡(luò)需要快速、智能、可互操作、可編程和透明。讓我們更詳細(xì)地分析下這些平臺(tái)功能。

性能：位置，互聯(lián)性，速度，容量

一直以來(lái)，IT團(tuán)隊(duì)不得不在安全性和性能之間做出艱難的取舍。其中可能包括：是否回傳及回傳哪些流量到中央位置以進(jìn)行安全過(guò)濾，使用哪些安全功能來(lái)平衡處理開(kāi)銷與吞吐量。使用SASE，這些權(quán)衡將不再需要考慮，前提是該服務(wù)邊緣具備如下條件：

·地理上分散：重要的一點(diǎn)是服務(wù)邊緣的位置盡可能靠近用戶和應(yīng)用所在地，后者日益分布到世界上的任何地方。

·互連：您的服務(wù)邊緣需要與其他網(wǎng)絡(luò)互連，包括主要的傳輸、云計(jì)算和SaaS提供商，以便可靠、快速地連接到流量的路由目的地。

·快速：隨著對(duì)用戶體驗(yàn)的期望不斷提高，您的服務(wù)邊緣也需要跟上。感知到的應(yīng)用程序性能受到眾多因素的影響，包括從最后一英里快速連接的可用性到安全過(guò)濾和加密/解密步驟的影響，因此SASE提供商需要采取一種全面的方法來(lái)測(cè)量和提高網(wǎng)絡(luò)性能?！昂?jiǎn)

·高容量：使用SASE架構(gòu)模型，您應(yīng)該永遠(yuǎn)不需要考慮安全功能的容量規(guī)劃——“買(mǎi)多大的盒子”是過(guò)去的問(wèn)題。這意味著您的服務(wù)邊緣需要在您的網(wǎng)絡(luò)流量可以到達(dá)的每個(gè)位置都有足夠的容量，并且能夠智能地負(fù)載平衡流量，以便在服務(wù)邊緣高效使用該容量。

Cloudflare One構(gòu)建于Cloudflare的全球網(wǎng)絡(luò)之上，后者覆蓋100多個(gè)國(guó)家/地區(qū)的270多個(gè)城市，與10500個(gè)網(wǎng)絡(luò)互連，容量高達(dá)140+Tbps。

流量情報(bào)：整形，QoS，基于遙測(cè)的路由

除了網(wǎng)絡(luò)/服務(wù)邊緣的固有性能屬性外，能夠根據(jù)個(gè)別網(wǎng)絡(luò)的特征影響流量也很重要。流量整形、服務(wù)質(zhì)量（QoS）和基于遙測(cè)的路由等技術(shù)可以通過(guò)為優(yōu)先向關(guān)鍵應(yīng)用程序提供帶寬，并在路由時(shí)避開(kāi)擁塞、延遲和中間路徑上的其他問(wèn)題，從而進(jìn)一步提高安全服務(wù)邊緣的流量性能。

Cloudflare One包括Argo Smart Routing，通過(guò)優(yōu)化第三層到第七層的流量，可以智能地繞過(guò)網(wǎng)絡(luò)上的擁塞、丟包等問(wèn)題。額外的流量整形和QoS功能也在Cloudflare One的路線圖上。

威脅情報(bào)

為了驅(qū)動(dòng)安全訪問(wèn)功能，您的服務(wù)邊緣需要不斷更新情報(bào)，包括跨OSI堆棧所有層的已知和新生攻擊類型。集成第三方威脅源的能力是一個(gè)很好的開(kāi)始，但來(lái)自服務(wù)邊緣流量的原生威脅情報(bào)甚至更為強(qiáng)大。

Cloudflare One包括從Cloudflare網(wǎng)絡(luò)上2000萬(wàn)+互聯(lián)網(wǎng)資產(chǎn)收集的威脅情報(bào)，這些情報(bào)會(huì)持續(xù)反饋到我們的安全訪問(wèn)策略中，以保護(hù)客戶并防范新出現(xiàn)的威脅。

互操作性：集成、標(biāo)準(zhǔn)和可組合性

您的SASE平臺(tái)將取代傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中的很多部件，但您可以選擇保留部分現(xiàn)有工具，并在將來(lái)引入新的工具。您的服務(wù)邊緣需要與現(xiàn)有的連接提供商、硬件和工具兼容，以便順利遷移到SASE。

同時(shí)，服務(wù)邊緣也應(yīng)該有助于您走在新技術(shù)和安全標(biāo)準(zhǔn)（如TLS 1.3和HTTP3）的前面。它還應(yīng)該是完全可組合的，每個(gè)服務(wù)協(xié)同工作，以產(chǎn)生比一堆單點(diǎn)解決方案更好的結(jié)果。

Cloudflare One與各種平臺(tái)集成，例如身份提供商和端點(diǎn)保護(hù)解決方案，SD-WAN設(shè)備，互連提供商，以及安全事件與時(shí)間管理工具（SIEMs）?，F(xiàn)有的安全和IT工具可與Cloudflare One一起使用，集成工作量極低。

Cloudflare還是推動(dòng)互聯(lián)網(wǎng)和網(wǎng)絡(luò)標(biāo)準(zhǔn)的領(lǐng)導(dǎo)者。任何新的網(wǎng)絡(luò)標(biāo)準(zhǔn)和協(xié)議都可能受到了我們研究團(tuán)隊(duì)的影響。

Cloudflare One也是完全可組合的，允許您從一個(gè)用例開(kāi)始，并添加額外的功能，為您的網(wǎng)絡(luò)創(chuàng)造“1+1=3”的效果。

編排：自動(dòng)化與可編程性

在規(guī)模超過(guò)少數(shù)用戶、應(yīng)用程序和位置后，部署和管理您的SASE配置可能變得復(fù)雜起來(lái)。您的服務(wù)邊緣應(yīng)該提供完全的自動(dòng)化和可編程性，包括使用Terraform這樣的工具通過(guò)代碼來(lái)管理基礎(chǔ)設(shè)施的能力。

Cloudflare One包含完整的API和Terraform支持，便于部署和管理配置。

可見(jiàn)性：分析與日志

您的團(tuán)隊(duì)?wèi)?yīng)該對(duì)通過(guò)服務(wù)邊緣的所有流量具備完全的可見(jiàn)性。在傳統(tǒng)的邊界安全模型中，IT和安全團(tuán)隊(duì)可以通過(guò)在流量進(jìn)出公司網(wǎng)絡(luò)的少數(shù)幾個(gè)位置配置網(wǎng)絡(luò)分流器（TAP）來(lái)獲得可見(jiàn)性。隨著應(yīng)用程序離開(kāi)數(shù)據(jù)中心和用戶離開(kāi)辦公室，獲得這些數(shù)據(jù)的難度大幅提高。在SASE架構(gòu)中，因?yàn)樗械牧髁烤ㄟ^(guò)一個(gè)擁有單一控制平面的服務(wù)邊緣路由，因而您可以通過(guò)流數(shù)據(jù)和包捕獲等熟悉的格式及豐富的日志和分析重新獲得可見(jiàn)性。

Cloudflare One的所有安全訪問(wèn)組件都可以生成豐富的分析和日志，可直接在Cloudflare One儀表板中進(jìn)行評(píng)估，或推送到SIEM工具中進(jìn)行高級(jí)分析。

使用Cloudflare One開(kāi)始您的SASE之旅

接下來(lái)的一周內(nèi)，我們將宣布進(jìn)一步增強(qiáng)Cloudflare One平臺(tái)能力的新功能，使您的團(tuán)隊(duì)更易實(shí)現(xiàn)SASE的愿景。