什么是Cloudflare One？

運行安全的企業(yè)網絡是非常困難的。世界各地的員工都在家里工作。應用程序在數(shù)據(jù)中心內運行，托管在公共云中，并作為服務交付。執(zhí)著而有動機的攻擊者會利用任何漏洞。

企業(yè)過去常常構建類似城堡和護城河的網絡。這些墻和護城河將攻擊者拒之門外，將數(shù)據(jù)保護在內。團隊成員只能通過吊橋進入，并傾向于待在圍墻內。網絡信任城堡內的人們會做正確的事，并在寧靜的安全網絡周邊部署您所需的任何東西。

互聯(lián)網，SaaS和“云”為這一計劃帶來了麻煩。今天，現(xiàn)代企業(yè)的工作更多的是在城堡外而不是在城堡內進行。那么，為什么企業(yè)還在花錢建造更復雜、更低效的護城河呢？

Cloudflare One結合了聯(lián)網產品，使員工無論身在何處都能盡力而為，并可在全球范圍內部署一致的安全控制措施。

你可以開始用Cloudflare WARP和Gateway來過濾出站互聯(lián)網流量，以取代安全設備的流量回傳。對于您的辦公網絡，我們計劃將下一代防火墻功能引入Magic Transit——通過Magic firewall取代您的頂級防火墻設備。

與MPLS和SD-WAN模型相比，通過Cloudflare到互聯(lián)網的多個通道，以及消除了回程流量，我們計劃簡化管理該路由的過程，并使其具有成本效益。Cloudflare Magic WAN將為您提供一個控制平面以控制流量如何通過我們的網絡。

現(xiàn)在，你可以使用Cloudflare One來代替VPN的另一個功能：將用戶置于專用網絡上以進行訪問控制。Cloudflare Access提供了零信任控件，可以代替專用網絡安全模型。本周晚些時候，我們將宣布您可以如何將Access擴展到任何應用程序——包括SaaS應用程序。我們還將預展示我們的瀏覽器隔離技術，以確保連接到這些應用程序的端點不受惡意軟件的攻擊。

最后，Cloudflare One中的產品著重于為您的團隊提供日志和工具，以了解并糾正問題。作為我們本周推出的Gateway過濾的一部分，我們包含了一些日志，這些日志提供了對離開您的組織的流量的可見性。本周晚些時候，我們將通過一個新的入侵檢測系統(tǒng)（可以檢測和阻止入侵嘗試）來展示如何讓這些日志變得更智能。

以上的許多組件今天就可以買到，一些新功能將在本周推出，其他組件也將很快推出。我們都很高興能分享這一愿景，并展望企業(yè)網絡的未來。

企業(yè)網絡體系和安全性方面的問題

人們對企業(yè)網絡的要求已經發(fā)生了巨大的變化。它已經從后臺功能變成了關鍵任務。隨著網絡變得越來越不可或缺，用戶也從辦公室擴展到在家工作。應用程序離開了數(shù)據(jù)中心，現(xiàn)在正在多云中運行，或者由供應商直接通過互聯(lián)網交付。

直接的網絡路徑變成了發(fā)夾彎

坐在辦公室里的員工可以通過專用網絡連接到附近數(shù)據(jù)中心運行的應用程序。當團隊成員離開辦公室時，他們可以使用VPN從墻外潛回網絡。分支機構則通過昂貴的MPLS鏈路跳到同一網絡上。

當應用程序離開數(shù)據(jù)中心，用戶離開他們的辦公室時，組織的反應是試圖迫使分散的世界進入相同的城堡和護城河模型。公司購買了更多的VPN許可證，用困難的SD-WAN部署取代了MPLS鏈接。為了模仿舊的網絡模式，網絡變得更加復雜，而實際上互聯(lián)網已經成為了新的企業(yè)網絡。

縱深防御瓦解

試圖破壞企業(yè)網絡的攻擊者有多種工具可供使用，他們可能執(zhí)行外科式惡意軟件攻擊，向您的網絡扔一個容量巨大的“廚房水槽”，或任何類似的東西。傳統(tǒng)上，針對每種攻擊的防御都是由運行在數(shù)據(jù)中心中的單獨的專用硬件提供的。

過去，每個用戶和每個應用程序都位于同一個位置，安全控制相對比較容易。當員工離開辦公室且工作負載離開數(shù)據(jù)中心時，同一安全控制手段變得難以遵循。各公司部署了一系列點解決方案，試圖在混合和動態(tài)環(huán)境中重建其上層防火墻設備。

高可見度需要大量付出

向拼湊模式的轉變犧牲的不僅僅是縱深防御——公司失去了對其網絡和應用程序中發(fā)生的事情的可見性。我們從客戶那里聽說，日志的捕獲和標準化已經成為他們最大的障礙之一。他們購買了昂貴的數(shù)據(jù)攝取、分析、存儲和分析工具。

企業(yè)現(xiàn)在依賴于多點解決方案，其中最大的障礙之一是日志的捕獲和標準化。越來越多的法規(guī)和合規(guī)壓力更加強調數(shù)據(jù)保留和分析的重要性。分裂的安全解決方案成為了數(shù)據(jù)管理的噩夢。

修復問題依賴于最好的猜測

在無法看到這種新的網絡模型的情況下，安全團隊不得不猜測可能出現(xiàn)的問題。想要采用“假定失陷”模型的組織努力確定可能的缺口，從而針對該問題提出所有可能的解決方案。

一些企業(yè)購買了新的掃描和過濾服務，這些服務在虛擬設備中交付，以解決不確定的問題。我們與這些企業(yè)進行了交談，發(fā)現(xiàn)這些團隊正試圖手動糾正每個可能的事件，因為他們缺乏可見性，而無法針對特定事件并調整安全模型。

Cloudflare One如何搭配？

在過去的幾年中，我們一直在組裝Cloudflare One的組件。我們推出了單獨的產品，一次解決其中的一些問題。我們很高興能與大家分享我們對Cloudflare One如何將它們整合在一起的看法。

靈活的數(shù)據(jù)平面

Cloudflare作為反向代理推出。客戶把他們面向互聯(lián)網的屬性放到我們的網絡上，其受眾可通過我們的網絡連接到那些特定的目的地。Cloudflare One代表了多年來允許我們的網絡處理“反向”或“正向”的任何類型的流量的功能。

在2019年，我們推出了 Cloudflare WARP——一個移動應用程序，通過與我們網絡的加密連接使互聯(lián)網流量保持私密性，同時還使其更快，更可靠。我們現(xiàn)在正在將同樣的技術打包到本周發(fā)布的企業(yè)級版本中，將遠程員工與Cloudflare Gateway連接起來。

你的數(shù)據(jù)中心和辦公室應該具有同樣的優(yōu)勢。我們在去年啟動了 Magic Transit，以保護您的網絡免受IP層攻擊。我們最初對Magic Transit的關注一直是為本地網絡提供一流的DDoS緩解。DDoS攻擊一直困擾著網絡運營商，Magic Transit有效緩解了他們的困擾，而不會造成性能損失。堅如磐石的DDoS緩解功能是構建高級安全功能的理想平臺，該功能可應用于已經在我們網絡中流動的相同流量。

今年早些時候，當我們推出 Cloudflare網絡互連（CNI）時，我們擴展了該模型，以允許我們的客戶將分支機構和數(shù)據(jù)中心直接與Cloudflare互連。作為Cloudflare One的一部分，我們將出站過濾應用于同一連接。

Cloudflare One不應該僅僅幫助您的團隊轉移到作為企業(yè)網絡的互聯(lián)網上，它還應該比互聯(lián)網更快。我們的網絡與運營商無關，連接和對等情況非常好，并且在全球范圍內提供相同的服務。在每個匝道上，我們都基于Argo智能路由技術添加了更智能的路由，事實證明，該技術可將延遲減少30％或更多。安全+性能，因其兼得而變得更好。

單個統(tǒng)一控制平面

當用戶從分支機構和設備連接到互聯(lián)網時，他們將跳過總部的防火墻設備。為了跟上步伐，企業(yè)需要一種方法來保護不再完全駐留在自己網絡中的流量。Cloudflare One對所有流量實施標準的安全控制——不管連接如何啟動，或者它位于網絡堆棧的哪個位置。

Cloudflare Access首先將身份引入Cloudflare的網絡。團隊根據(jù)身份和上下文對入站和出站連接應用過濾器。無論服務器或用戶的位置如何，每次登錄、請求和響應都要通過Cloudflare的網絡進行代理。我們網絡的規(guī)模及其分布可以過濾和記錄企業(yè)流量，而不會影響性能。

Cloudflare Gateway可確保與互聯(lián)網其余部分的連接安全。Gateway檢查離開設備和網絡的流量，檢查隱藏在應用層連接內部的威脅和數(shù)據(jù)丟失事件。即將推出，Gateway將把相同級別的控制帶到傳輸層。

您應該對網絡如何發(fā)送流量具有相同級別的控制。我們很高興宣布推出Magic Firewall防火墻，這是一種用于離開辦公室和數(shù)據(jù)中心的所有流量的下一代防火墻。使用Gateway和Magic Firewall，您可以一次構建一個規(guī)則并在任何地方運行它，或者在單個控制平面中針對特定的用例定制規(guī)則。

我們知道某些攻擊無法過濾，因為它們可以在構建過濾器以阻止它們之前啟動。Cloudflare瀏覽器，我們的隔離瀏覽器技術為您的團隊提供了防彈玻璃板，防止可以避開已知過濾器的威脅。本周晚些時候，我們將邀請客戶注冊加入測試版，從而在Cloudflare的邊緣上瀏覽互聯(lián)網，而無需冒著代碼跳出瀏覽器感染端點的風險。

最后，保護您的網絡安全的PKI基礎架構應該是現(xiàn)代化且易于管理的。我們從客戶那里聽到，他們將證書管理描述為轉向更好的安全模型的核心問題之一。Cloudflare與TLS 1.3等現(xiàn)代加密標準兼容，而不相違背。Cloudflare讓您只需點擊一下，就可以輕松地在互聯(lián)網上為您的網站添加加密。我們將為你在Cloudflare One上運行的網絡功能帶來易于管理的特性。

一個獲取日志的地方，一個用于所有安全分析的位置

Cloudflare的網絡平均每秒可處理1800萬個HTTP請求。我們已經建立了日志記錄管道，使世界上一些最大的互聯(lián)網屬性可以大規(guī)模捕獲和分析其日志。Cloudflare One建立在相同的功能之上。

Cloudflare Access和Gateway可以捕獲入站或出站的每個請求，而無需任何服務器端代碼更改或高級客戶端配置。您的團隊可以使用我們的Cloudflare Logpush服務將這些日志導出到您選擇的SIEM提供程序，該服務與為公共站點大規(guī)模導出HTTP請求事件的管道相同。Magic Transit將該日志記錄功能擴展到整個網絡和辦公室，以確保您永遠不會在任何位置失去可見性。

我們不僅要記錄事件。Cloudflare Web分析現(xiàn)可在您的網站上使用，可將日志轉換為見解。我們還計劃繼續(xù)擴大對網絡運行方式的可見性。正如Cloudflare取代了執(zhí)行各種網絡功能的“創(chuàng)可貼盒”并將它們統(tǒng)一到一個具有凝聚力，適應性強的邊緣一樣，我們打算對分散，難以使用且昂貴的安全分析生態(tài)系統(tǒng)執(zhí)行相同的操作。更多功能，即將推出。

更智能，更快的修復

數(shù)據(jù)和分析應該顯示團隊可以補救的事件。導向一鍵修復的日志系統(tǒng)可能是功能強大的工具，但我們希望使修復自動進行。

在我們全球范圍的網絡上運行您的網絡

超過2500萬個互聯(lián)網網站依靠Cloudflare的網絡來接觸他們的受眾。超過10%的網站通過我們的反向代理進行連接，包括16%的財富1000強網站。Cloudflare通過提供來自世界各地數(shù)據(jù)中心的服務來加速互聯(lián)網的大塊流量。

我們從這些數(shù)據(jù)中心提供Cloudflare One。重要的是，我們運營的每個數(shù)據(jù)中心都提供相同的服務，無論是Cloudflare Access、WARP、Magic Transit還是我們的WAF。舉個例子，當你的員工通過Cloudflare WARP連接到我們的數(shù)據(jù)中心時，他們就有真正的機會永遠不必離開我們的網絡或數(shù)據(jù)中心來訪問他們需要的站點或數(shù)據(jù)。結果，他們的整個互聯(lián)網體驗會變得非?？?，無論他們在世界的哪個地方。

隨著瀏覽器通過Cloudflare Browser移至Cloudflare的邊緣，我們預計性能獎勵將變得更加有意義。運行在Cloudflare數(shù)據(jù)中心的獨立瀏覽器可以請求僅幾厘米外的內容。更進一步說，隨著越來越多的web屬性依賴于Cloudflare Workers來驅動他們的應用程序，整個工作流可以留在數(shù)據(jù)中心內，距離你的員工不超過100毫秒。