通過網(wǎng)絡(luò)現(xiàn)代化兌現(xiàn)單一供應(yīng)商SASE解決方案的承諾

隨著越來越多的企業(yè)及組織共同著力開始采用SASE架構(gòu)，傳統(tǒng)的SASE市場定義（SSE+SD-WAN）顯然已并不足夠。這迫使一些團(tuán)隊與多家供應(yīng)商合作以滿足其特定需求，導(dǎo)致了在性能和安全之間不得不有所折衷。更令人擔(dān)憂的是，這使得團(tuán)隊將更多注意力集中在服務(wù)清單上，而不是供應(yīng)商的底層架構(gòu)。如果企業(yè)及組織最終通過碎片化、有缺陷的網(wǎng)絡(luò)發(fā)送流量，即使是最先進(jìn)的個別安全服務(wù)或流量入口也無濟(jì)于事。

單一供應(yīng)商SASE是一個關(guān)鍵趨勢，將不同的安全和網(wǎng)絡(luò)技術(shù)融合在一起，企業(yè)的“任意對任意連接”需要真正的網(wǎng)絡(luò)現(xiàn)代化，才能使SASE適用于所有團(tuán)隊。過去幾年來，Cloudflare已經(jīng)推出了一系列功能來幫助企業(yè)及組織在推進(jìn)SASE用例的短期和長期路線圖過程中實現(xiàn)網(wǎng)絡(luò)現(xiàn)代化。Cloudflare有效幫助簡化了SASE架構(gòu)的實施，無論哪一個團(tuán)隊負(fù)責(zé)領(lǐng)導(dǎo)計劃。

隆重宣布：可更加靈活地部署及管控的單一供應(yīng)商SASE解決方案

我們的SASE平臺——Cloudflare One——隆重推出一系列更新，進(jìn)一步實現(xiàn)了單一供應(yīng)商SASE架構(gòu)的承諾。通過這些新的能力，Cloudflare使SASE網(wǎng)絡(luò)對安全團(tuán)隊更靈活和更易用，對傳統(tǒng)網(wǎng)絡(luò)團(tuán)隊更高效，并在更大的SASE連接相關(guān)討論中將覆蓋延伸至支持不足的DevOps團(tuán)隊。

有關(guān)平臺更新包括：

-適用于站點對站點連接的靈活入口，實現(xiàn)基于代理（agent/proxy）和基于設(shè)備/路由的實施，同時為安全和網(wǎng)絡(luò)團(tuán)隊簡化SASE網(wǎng)絡(luò)。

-全新的WAN即服務(wù)（WANaaS）能力，例如高可用性、應(yīng)用程序感知、虛擬機(jī)部署選項以及增強(qiáng)的可見性和分析，通過“輕分支重云”方式提高運營效率，同時降低網(wǎng)絡(luò)成本。

-適用于DevOps的Zero Trust連接：網(wǎng)狀和點對點（P2P）安全聯(lián)網(wǎng)能力，擴(kuò)展ZTNA以支持服務(wù)到服務(wù)的工作流程和雙向流量。

Cloudflare提供廣泛的SASE入口和出口，包括用于廣域網(wǎng)、應(yīng)用程序、服務(wù)、系統(tǒng)、設(shè)備或任何其他內(nèi)部網(wǎng)絡(luò)資源的連接器，以便更輕松地將流量路由到Cloudflare服務(wù)，反之亦然。這有助于組織根據(jù)現(xiàn)有環(huán)境、技術(shù)熟悉程度和工作角色來與最適配的連接范式保持一致。

本文側(cè)重于這些技術(shù)對以不同方式接入SASE網(wǎng)絡(luò)的客戶所產(chǎn)生的主要影響。

對安全團(tuán)隊更靈活、更易用

實施SASE架構(gòu)的過程可能挑戰(zhàn)企業(yè)及組織的內(nèi)部職責(zé)分工和IT、安全及網(wǎng)絡(luò)之間協(xié)作的現(xiàn)狀。不同團(tuán)隊負(fù)責(zé)各種安全或網(wǎng)絡(luò)技術(shù)，其更換周期不一定一致，這可能會降低企業(yè)及組織決定支持特定項目的意愿。

安全或IT從業(yè)人員需要能夠保護(hù)資源，無論其位于何處。有時，一個小小的連接變化會幫助他們更有效地保護(hù)特定資源，但這項任務(wù)超出了他們的控制范圍。安全團(tuán)隊不希望在工作中依賴網(wǎng)絡(luò)團(tuán)隊，但他們也不希望現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施導(dǎo)致下游問題。例如，他們需要以一種更簡便的方式來連接子網(wǎng)，而不會感到被官僚主義拖后腿。

基于代理的站點對站點連接

為了幫助克服傳統(tǒng)孤島所帶來的挑戰(zhàn)，Cloudflare提供了基于代理和基于設(shè)備/路由的實現(xiàn)，用于站點到站點或子網(wǎng)到子網(wǎng)的連接。網(wǎng)絡(luò)團(tuán)隊可以通過我們基于設(shè)備/路由的WANaaS追求他們熟悉的傳統(tǒng)網(wǎng)絡(luò)概念——現(xiàn)代架構(gòu)vs傳統(tǒng)SD-WAN。與此同時，安全/IT團(tuán)隊可以通過基于代理的軟件連接器（例如WARP Connector）實現(xiàn)連接，這種方法可能更易于實施。這種基于代理的方法模糊了分支連接器和應(yīng)用連接器行業(yè)常態(tài)之間的界限，使WAN和ZTNA技術(shù)更緊密地聯(lián)系在一起，以幫助實現(xiàn)任何地方的最低特權(quán)訪問。

基于代理（agent/proxy）的連接可能適合于企業(yè)及組織總體網(wǎng)絡(luò)連接的一個子集。這些軟件驅(qū)動的站點到站點用例可包括沒有路由器或防火墻的微型站點，或者可能是團(tuán)隊無法配置IPsec或GRE隧道的情況（例如在受到嚴(yán)格監(jiān)管的網(wǎng)絡(luò)或Kubernetes等云環(huán)境中）。企業(yè)及組織可以混合和匹配流量入口以滿足其需求；所有選項都均可組合和并行使用。

我們基于代理的站點到站點連接方法使用的底層技術(shù)與幫助安全團(tuán)隊完全替代VPN的相同，支持適用于應(yīng)用程序的ZTNA，具有服務(wù)器發(fā)起流量或雙向流量。其中包括的服務(wù)例如互聯(lián)網(wǎng)協(xié)議語音（VoIP）和會話初始協(xié)議（SIP）流量，Microsoft系統(tǒng)中心配置管理器（SCCM），活動目錄（AD）域復(fù)制，以及下文將詳細(xì)介紹的DevOps工作流程。

圖中展示Cloudflare的軟件連接器（入口）同時連接總部、分支機(jī)構(gòu)、數(shù)據(jù)中心、公共云和遠(yuǎn)程用戶。

對網(wǎng)絡(luò)團(tuán)隊更高效

同時，對于基于網(wǎng)絡(luò)層設(shè)備/路由的實現(xiàn)更傾向于站點到站點連接的網(wǎng)絡(luò)團(tuán)隊而言，行業(yè)常態(tài)依然在安全性、性能、成本和可靠性之間強(qiáng)加了太多的折衷。許多大型企業(yè)仍然依賴于諸如MPLS的傳統(tǒng)專用連接形式。MPLS通常被認(rèn)為昂貴且缺乏靈活性，但它非常可靠，并且具有諸如服務(wù)質(zhì)量（QoS）的功能用于帶寬管理。

商品互聯(lián)網(wǎng)連接在大多數(shù)有人居住的地區(qū)都是廣泛可用的，但存在一系列挑戰(zhàn)，導(dǎo)致并不能完全取代MPLS。在許多國家，高速互聯(lián)網(wǎng)又快又便宜，但并非普遍如此。速度和成本取決于當(dāng)?shù)氐幕A(chǔ)設(shè)施和地區(qū)服務(wù)提供商的市場?？偟膩碚f，寬帶互聯(lián)網(wǎng)也不像MPLS那樣可靠。中斷和降速并不罕見，客戶對中斷服務(wù)的頻率和持續(xù)時間有不同程度的容忍度。對企業(yè)而言，中斷和降速是不可容忍的。網(wǎng)絡(luò)服務(wù)中斷意味著業(yè)務(wù)損失、客戶不滿、生產(chǎn)力下降、員工沮喪。因此，盡管大量企業(yè)流量已經(jīng)轉(zhuǎn)移到互聯(lián)網(wǎng)，但許多企業(yè)及組織依然難以放棄MPLS。

SD-WAN引入了MPLS替代方案，不受傳輸技術(shù)限制，可以提高網(wǎng)絡(luò)穩(wěn)定性，優(yōu)于僅僅依靠傳統(tǒng)寬帶。然而，它也引入了新的拓?fù)浜桶踩魬?zhàn)。例如，如果在分支之間繞過檢查，許多SD-WAN實現(xiàn)可能增加風(fēng)險。它還具有特定于實施的挑戰(zhàn)，例如如何解決中間連接基礎(chǔ)設(shè)施的擴(kuò)展和使用/控制（或者更準(zhǔn)確的說，是缺乏可控性）。因此，對于許多企業(yè)及組織來說，完全轉(zhuǎn)用互聯(lián)網(wǎng)連接并淘汰MPLS的承諾仍未兌現(xiàn)。這些問題在方案采購時對一些客戶而言并不是很明顯，需要持續(xù)的市場教育。

企業(yè)WAN的演變

Cloudflare Magic WAN遵循一種不同的范式，在Cloudflare的全球連通云中從頭構(gòu)建；它采用“輕分支重云”的方式來增強(qiáng)并最終取代現(xiàn)有的網(wǎng)絡(luò)架構(gòu)，包括MPLS線路和SD-WAN覆蓋層。雖然Magic WAN具有類似于傳統(tǒng)SD-WAN的云原生路由和配置控制，但它更易于部署、管理和使用。它可以根據(jù)不斷變化的業(yè)務(wù)需求進(jìn)行擴(kuò)展，并內(nèi)置安全性。像Solocal這樣的客戶認(rèn)為，這種架構(gòu)的好處在于最終有效降低了他們的總擁有成本：

“Cloudflare的Magic WAN Connector以直觀的方式提供了對網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施的集中化和自動化管理。作為Cloudflare的SASE平臺的一部分，它提供了一個基于市場標(biāo)準(zhǔn)和最佳實踐打造的一致且同構(gòu)的單一供應(yīng)商架構(gòu)。確保對所有數(shù)據(jù)流的控制，并減少違規(guī)或安全漏洞風(fēng)險。對Solocal而言，這顯然可以為我們提供顯著的節(jié)省，將獲取、安裝、維護(hù)和升級分支網(wǎng)絡(luò)設(shè)備的所有相關(guān)成本降低多達(dá)40％。這是一個高潛力的連接解決方案，支持我們的IT團(tuán)隊實施我們的網(wǎng)絡(luò)現(xiàn)代化?！?/p>

–Maxime Lacour，網(wǎng)絡(luò)運營經(jīng)理Solocal

這完全不同于其他單一供應(yīng)商SASE服務(wù)商的方法，后者一直試圖解決通過收購獲得的單點解決方案之間的沖突，因為它們是基于截然不同的設(shè)計理念而構(gòu)建的。這些“拼湊起來”的解決方案會導(dǎo)致不統(tǒng)一的體驗，因為它們的架構(gòu)支離破碎，類似于企業(yè)及組織在管理多個獨立供應(yīng)商時可能看到的情況。通過構(gòu)建了統(tǒng)一集成解決方案的供應(yīng)商來整合SASE的組件，而非將不同的網(wǎng)絡(luò)和安全解決方案拼湊在一起，從而降低復(fù)雜性、避免繞過安全控制和潛在的集成或連接挑戰(zhàn)，最終大幅簡化部署和管理。

Magic WAN可以通過我們的Connector設(shè)備自動建立到Cloudflare的IPsec隧道，也可以通過客戶邊緣路由器或防火墻上手動啟動的Anycast IPsec或GRE隧道，或者通過在私有對等連接位置或公共云實例上的Cloudflare網(wǎng)絡(luò)互連（CNI）。它超越了SSE所提出的“集成”，真正融合了安全和網(wǎng)絡(luò)功能，幫助企業(yè)及組織更高效地實現(xiàn)網(wǎng)絡(luò)現(xiàn)代化。

圖中顯示Cloudflare Magic WAN將分支辦公室、數(shù)據(jù)中心和VPC連接到Cloudflare全球網(wǎng)絡(luò)上的安全服務(wù)。

Magic WAN Connector新功能

在2023年10月，我們宣布Magic WAN Connector普遍可用，這是一種輕量級設(shè)備，供客戶置入其現(xiàn)有網(wǎng)絡(luò)環(huán)境，實現(xiàn)與Cloudflare One的“零接觸”連接，最終用于替換其他網(wǎng)絡(luò)硬件，例如傳統(tǒng)SD-WAN設(shè)備、路由器和防火墻。

Magic WAN Connector的新功能，包括：

-適用于關(guān)鍵環(huán)境的高可用性（HA）配置：在企業(yè)部署中，組織通常希望支持高可用性，以減輕硬件故障的風(fēng)險。高可用性使用一對Magic WAN Connector（作為虛擬機(jī)或在支持的硬件設(shè)備上運行），兩者相互配合，以便在一個設(shè)備發(fā)生故障時無縫恢復(fù)運行?？蛻艨梢韵窆芾鞰agic WAN Connector的所有其他方面一樣，從統(tǒng)一的Cloudflare One儀表板管理HA配置。

-應(yīng)用程序感知：SD-WAN與更傳統(tǒng)的網(wǎng)絡(luò)設(shè)備相比一個核心區(qū)別特性是，除了網(wǎng)絡(luò)層屬性如IP和端口范圍外，還能夠創(chuàng)建基于知名應(yīng)用程序的流量策略。應(yīng)用程序感知策略提供了更容易管理和更精細(xì)化的流量流動控制。Cloudflare的應(yīng)用程序感知實現(xiàn)利用了我們?nèi)蚓W(wǎng)絡(luò)的情報，使用已經(jīng)在安全工具中共享的相同分類，因此IT和安全團(tuán)隊可以期望在路由和檢查決策上獲得一致的行為，這是雙供應(yīng)商或拼湊在一起的SASE解決方案所不具備的能力。

-虛擬機(jī)部署選項:Magic WAN Connector現(xiàn)在可作為虛擬設(shè)備軟件映像進(jìn)行下載，可立即部署在任何支持的虛擬化平臺/虛擬機(jī)監(jiān)控程序上。虛擬Magic WAN Connector具有與硬件設(shè)備相同的超低接觸部署模型和集中式設(shè)備管理體驗，并向所有Magic WAN用戶免費提供。

-增強(qiáng)的可見性和分析：Magic WAN Connector具有針對關(guān)鍵指標(biāo)的增強(qiáng)可見性，例如連接狀態(tài)、CPU利用率、內(nèi)存消耗和設(shè)備溫度。這些分析數(shù)據(jù)可以通過儀表板和API獲得，以便運維團(tuán)隊將數(shù)據(jù)集成到其網(wǎng)絡(luò)運營中心。

將SASE覆蓋范圍擴(kuò)展到DevOps

復(fù)雜的持續(xù)集成和持續(xù)交付（CI/CD）流水線交互因其敏捷性而聞名，因此支持這些工作流程的連接和安全性應(yīng)該相匹配。DevOps團(tuán)隊過度依賴于傳統(tǒng)VPN來實現(xiàn)對各種開發(fā)和運營工具的遠(yuǎn)程訪問。VPN管理繁瑣，易受已知或零日漏洞利用攻擊，采用傳統(tǒng)軸幅式連接模型，對于現(xiàn)代工作流程來說速度太慢。

在所有員工群體中，開發(fā)人員特別擅長找到創(chuàng)造性的解決方案，以減少他們?nèi)粘９ぷ髁鞒讨械哪Σ?，因此所有企業(yè)安全措施僅需“能夠工作”，不要妨礙到他們。理想情況下，無論使用什么組件和工具，無論位于何處，構(gòu)建、模擬和生產(chǎn)環(huán)境中的所有用戶和服務(wù)器都應(yīng)通過集中的、Zero Trust訪問控制進(jìn)行編排。應(yīng)該容許臨時的策略改變，以及適用于承包商或甚至生產(chǎn)服務(wù)器事件緊急響應(yīng)人員的臨時Zero Trust訪問。

適用于DevOps的Zero Trust連接

ZTNA作為安全的最低特權(quán)用戶-應(yīng)用程序訪問的行業(yè)范式表現(xiàn)良好，但它應(yīng)該進(jìn)一步擴(kuò)展以保護(hù)涉及服務(wù)器發(fā)起或雙向流量的網(wǎng)絡(luò)用例。這遵循了一種新興趨勢，即構(gòu)想一種跨云、VPC或網(wǎng)絡(luò)分段的覆蓋式網(wǎng)狀連接模型，無需依賴路由器。對于真正的任意對任意連接，客戶需要涵蓋其所有網(wǎng)絡(luò)連接和應(yīng)用程序訪問用例的靈活性，并非每個SASE供應(yīng)商的網(wǎng)絡(luò)入口都能在不需要網(wǎng)絡(luò)路由更改或做出安全折衷的情況下擴(kuò)展到客戶端發(fā)起的流量之外，因此通用的“任意對任意連接”聲明可能并非最初看起來的那樣。

圖中顯示Cloudflare的軟件連接器（入口）保護(hù)著涉及開發(fā)人員和服務(wù)器之間雙向流量的DevOps工作流程。

Cloudflare擴(kuò)展了ZTNA的覆蓋范圍，以確保涵蓋所有用戶到應(yīng)用程序的使用情況，同時提供網(wǎng)狀和P2P安全網(wǎng)絡(luò)，使連接選項盡可能廣泛和靈活。DevOps服務(wù)到服務(wù)的工作流程可以在實現(xiàn)ZTNA、VPN替代或企業(yè)級SASE的同一平臺上高效運行。Cloudflare充當(dāng)連接“膠水”，覆蓋所有DevOps用戶和資源，無論在每一步中流量如何流動。同樣的技術(shù)，即WARP Connector，使管理員能夠管理具有重疊IP范圍的不同專用網(wǎng)絡(luò)——VPC和RFC1918，支持服務(wù)器發(fā)起的流量和P2P應(yīng)用（例如SCCM、AD、VoIP和SIP流量）通過現(xiàn)有專用網(wǎng)絡(luò)進(jìn)行連接，構(gòu)建P2P專用網(wǎng)絡(luò)（例如CI/CD資源流動），并確定性地路由流量。企業(yè)及組織還可以使用Cloudflare的Terraform程序自動管理其SASE平臺。

Cloudflare的不同之處

Cloudflare的單一供應(yīng)商SASE平臺——Cloudflare One在我們的全球連通云（公共云的進(jìn)階演進(jìn)）上構(gòu)建，提供一個統(tǒng)一、智能的可編程、可組合服務(wù)平臺，實現(xiàn)所有網(wǎng)絡(luò)（企業(yè)和互聯(lián)網(wǎng)）、云、應(yīng)用程序和用戶之間的連接。Cloudflare的全球連通云具備足夠的靈活性，使得“任意對任意連接”對于實施SASE架構(gòu)的企業(yè)及組織而言更具可行性，容納部署偏好并提供規(guī)范指導(dǎo)。Cloudflare旨在通過單一供應(yīng)商SASE解決方案及更多功能來為企業(yè)及組織提供重新掌控IT所需的廣度和深度，同時為這個過程中做出貢獻(xiàn)的每一個團(tuán)隊簡化工作流程。

而其他SASE供應(yīng)商將其數(shù)據(jù)中心設(shè)計成向互聯(lián)網(wǎng)發(fā)送流量。這種方案并非設(shè)計用于處理或保護(hù)“東西向”流量，對于分支機(jī)構(gòu)到總部或分支機(jī)構(gòu)之間的流量，既不提供中間網(wǎng)絡(luò)連接，也不提供安全服務(wù)。Cloudflare的中間全球骨干網(wǎng)絡(luò)支持適用于任意到任意連接的安全和網(wǎng)絡(luò)服務(wù)，無論用戶是在本地還是遠(yuǎn)程，無論應(yīng)用程序是在數(shù)據(jù)中心還是在云中。