我們的Zero Trust代理現(xiàn)已在所有主要平臺實(shí)現(xiàn)功能同等����。除此之外,您還可控制新選項(xiàng)來決定流量的路由��,而您的管理員則可協(xié)調(diào)大規(guī)模的部署����。憑借目前這個(gè)版本,我們已經(jīng)準(zhǔn)備好幫助您完全拋棄您的IT團(tuán)隊(duì)討厭的傳統(tǒng)VPN和網(wǎng)絡(luò)安全工具��。
一年前,我們推出了WARP for Desktop����,以此為所有人提供快速、私密的互聯(lián)網(wǎng)通道����。對于我們的企業(yè)客戶,IT和安全管理員也可使用同一個(gè)代理��,將其組織中的設(shè)備注冊到Cloudflare for Teams�����。注冊完畢后���,其團(tuán)隊(duì)成員便可加速進(jìn)入互聯(lián)網(wǎng)����,并通過Cloudflare實(shí)現(xiàn)從網(wǎng)絡(luò)防火墻功能到遠(yuǎn)程瀏覽器隔離的全面安全性過濾���。
當(dāng)去年推出這款產(chǎn)品時(shí)���,我們旨在用一套簡單的配置選項(xiàng)來盡可能支持最廣泛的部署機(jī)制����,以使您的組織迅速得到保護(hù)�����。我們專注于幫助各組織從任何位置通過HTTP和DNS過濾來確保用戶和數(shù)據(jù)的安全��。我們從支持Mac�����、Windows�����、iOS和Android開始��。
自推出以來�,已有數(shù)千家組織部署該代理�,以確保其團(tuán)隊(duì)成員和端點(diǎn)的安全。我們已經(jīng)聽到有些客戶很希望擴(kuò)大自己的部署范圍��,但卻需要更多的操作系統(tǒng)支持和對配置的更佳控制。
我們今天隆重宣布:我們的Zero Trust代理現(xiàn)已在所有主要平臺實(shí)現(xiàn)功能同等��。除此之外��,您還可控制新選項(xiàng)來決定流量的路由����,而您的管理員則可協(xié)調(diào)大規(guī)模的部署。憑借目前這個(gè)版本�,我們已經(jīng)準(zhǔn)備好幫助您完全拋棄您的IT團(tuán)隊(duì)討厭的傳統(tǒng)VPN和網(wǎng)絡(luò)安全工具。
按比例打造
在我們的Zero Trust代理中���,最重要的兩個(gè)因素就是跨平臺可靠性和連接可靠性�。如果您曾發(fā)布過這種規(guī)模的軟件�,您就會知道在所有主要操作系統(tǒng)上維護(hù)客戶端是一項(xiàng)艱巨(且容易出錯(cuò))的任務(wù)。
為了避免平臺陷阱��,我們用Rust編寫了該代理的核心���,其允許跨所有設(shè)備共享95%的代碼�����。在內(nèi)部�����,我們將此公共代碼稱為共享后臺程序(或服務(wù)�����,對于Windows用戶)���。一個(gè)通用的����、基于Rust的實(shí)現(xiàn)允許我們的工程師可花更少的時(shí)間跨多個(gè)平臺復(fù)制代碼���,同時(shí)確保大多數(shù)質(zhì)量得到改進(jìn)并惠及每個(gè)人��。
在連接可靠性方面����,如果您對傳統(tǒng)VPN有任何經(jīng)驗(yàn)�,就會知道其很容易出錯(cuò)且速度很慢��。我們的網(wǎng)絡(luò)基礎(chǔ)建立在我們自己的WireGuard實(shí)現(xiàn)(稱為BoringTun)之上��。與傳統(tǒng)的慢速VPN不同,我們通過UDP運(yùn)行����,并針對當(dāng)今用戶連接的各種互聯(lián)網(wǎng)基礎(chǔ)設(shè)施進(jìn)行了優(yōu)化(例如,在飛機(jī)上����、在咖啡館里、在城市擁擠的網(wǎng)絡(luò)中等)���。隨著規(guī)模的逐年增長�����,我們已擁有數(shù)以百萬計(jì)的消費(fèi)者設(shè)備�,BoringTun借此可確保對您的流量進(jìn)行加密���,并為您任何政策的決策做好準(zhǔn)備�����。
憑借可靠的擴(kuò)展能力��,我們的代理現(xiàn)在完全支持以下操作系統(tǒng)
·Windows 8.1����、Windows 10和Windows 11
·macOS Mojave、Catalina�、Big Sur、Monterey
·包括對M1的支持
·ChromeBooks(2019年后制造)(新版)
·Linux CentOS 8�、RHEL、Ubuntu�、Debian(新版)
·iOS
·Android
為滿足您的部署模式而打造
首次推出時(shí),我們的代理重點(diǎn)是加密到Cloudflare網(wǎng)絡(luò)的所有設(shè)備流量��,并允許管理員圍繞流量建立HTTP和DNS策略�。我們也知道,客戶正處于向Zero Trust模式遷移的過程中����。有時(shí),這種轉(zhuǎn)變需要一步一腳印地進(jìn)行��。
我們用大量時(shí)間創(chuàng)建了一些功能�����,使您不僅能完全替換傳統(tǒng)的解決方案�����,還能與這些傳統(tǒng)解決方案一起運(yùn)行我們的軟件�,從而確保遷移更順利。
·基于域的拆分隧道——有時(shí)����,您無需通過安全層來發(fā)送所有流量。我們已支持IP排除����,現(xiàn)在可很容易地用域名(如*.example.com或example.com)創(chuàng)建拆分隧道規(guī)則,而不是強(qiáng)迫您去查找特定域名的IP地址CIDR��。
·僅包含拆分隧道——我們的代理在最初創(chuàng)建時(shí)的前提是�,所有設(shè)備流量已加密并發(fā)送到我們的網(wǎng)絡(luò)。這確保了流量不會被窺探���,并允許管理員保持可見性�����。但是���,有時(shí)您只是希望將一些流量發(fā)送至Cloudflare,并默認(rèn)排除其余流量��。僅包含拆分隧道可執(zhí)行這一操作,允許您選擇前往我們網(wǎng)絡(luò)的路線�����。如果您需要快速替代傳統(tǒng)VPN以連接到Cloudflare隧道資源或只是希望確保對通往敏感基礎(chǔ)設(shè)施的流量進(jìn)行HTTP檢查����,請使用僅包含拆分隧道規(guī)則。
·改進(jìn)的私有域——有些組織將現(xiàn)有的第三方VPN與Cloudflare的Zero Trust產(chǎn)品一起運(yùn)行�,以開始執(zhí)行遷移。在過去��,我們的代理支持這種配置����,方法是讓管理員設(shè)置回退域名解析,通過VPN為某些使用情況發(fā)送DNS查詢���。然而����,這種操作是全局性的�����,缺乏對查詢發(fā)送地點(diǎn)的控制。我們現(xiàn)在新增了指定DNS服務(wù)器響應(yīng)私有域的功能���,正如本周早些時(shí)候討論的那樣,這種功能可與我們新的Zero Trust網(wǎng)絡(luò)功能一起使用�。
·純態(tài)勢模式(即將推出)—我們之前已經(jīng)討論了有關(guān)設(shè)備態(tài)勢和我們能力的重要性。在2022年第一季度�,我們將為代理提供在純態(tài)勢模式下運(yùn)行的能力。也就是說��,我們的客戶不會處理任何DNS請求或向我們發(fā)送任何其他流量�。這使您能采用Cloudflare Access態(tài)勢策略,而無需為您的用戶開啟HTTP檢查�����。
為實(shí)現(xiàn)無縫配置而打造
將任何代理部署到上萬個(gè)用戶可能在后勤方面帶來很大障礙���。我們構(gòu)建了Cloudflare for Teams���,以無縫地在您的團(tuán)隊(duì)中大規(guī)模部署。今天的公告為您提供了更多選項(xiàng)來使用基于API和Terraform的控制將代理推廣到您的整個(gè)組織��。
自動執(zhí)行管理任務(wù)是使其保持一致的最佳方式�����。在Cloudflare,我們在基于HTTPS請求和JSON響應(yīng)的一組RESTful API基礎(chǔ)上構(gòu)建我們的UI��。這些用于設(shè)備管理的相同API會通過我們的API文檔以及通過我們的Terraform提供商向用戶公開�。https://dash.teams.cloudflare.com/的Web版本中公開的一切內(nèi)容都通過其中某個(gè)界面提供。
作為實(shí)現(xiàn)自動化的方法示例��,我們會考察一下基于域的拆分隧道��。這里有API文檔和Terraform等效文檔�����,以供參考��。
要為example.com創(chuàng)建基于域的包含規(guī)則:
curl -X PUT "https://api.cloudflare.com/client/v4/accounts/699d98642c564d2e855e9661899b7252/devices/policy/include" \
-H "X-Auth-Email: user@example.com" \
-H "X-Auth-Key: c2547eb745079dac9320b638f5e225cf483cc5cfdda41" \
-H "Content-Type: application/json" \
--data '[{"host":"*.example","description":"Include all traffic to example.com in the tunnel"}]'
在Terraform中可以使用以下內(nèi)容創(chuàng)建這一相同規(guī)則:
# Including *.example.com in WARP routes
resource "cloudflare_split_tunnel" "example_split_tunnel_include" {
account_id = "699d98642c564d2e855e9661899b7252"
mode = "include"
tunnels {
host = "*.example.com",
description = "Include all traffic to example.com in the tunnel"
}
}
另一個(gè)常見任務(wù)是生成注冊設(shè)備的報(bào)告�����。使用設(shè)備列表API��,以下示例將顯示如何列出向您的組織注冊的所有Windows設(shè)備:
curl -X GET "https://api.cloudflare.com/client/v4/accounts/699d98642c564d2e855e9661899b7252/devices?type=windows" \
curl -X GET "https://api.cloudflare.com/client/v4/accounts/699d98642c564d2e855e9661899b7252/devices?type=windows" \
--header 'Authorization: Bearer 8M7wS6hCpXVc-DoRnPPY_UCWPgy8aea4Wy6kCe5T' \
-H "Content-Type: application/json"
運(yùn)行該命令將返回類似于以下內(nèi)容的JSON:
{
"created": "2021-12-01T17:14:23.847538Z",
"device_type": "windows",
"gateway_device_id": "215f9adc-52ca-11ec-9ece-f240956bdf5f",
"id": "215f9adc-52ca-11ec-9ece-f240956bdf5f",
"ip": "150.111.29.1",
"key": "0mS9vj2gk0KNcXoi50pwfuL49WT0rLGAcX2gVze3ixA=",
"last_seen": "2021-12-01T17:14:30.110663Z",
"mac_address": "00:0c:29:6f:11:93",
"model": "VMware7,1",
"name": "MYVMWin10",
"os_version": "10.0.19042",
"serial_number": "VMware-56",
"updated": "2021-12-01T17:14:30.110663Z",
"user": {
"email": "user@example.com",
"id": "6a8e079d-8a33-4677-b610-a5e361c0c959"
},
"version": "2021.11.278"
},
{
"created": "2021-11-08T23:59:37.621164Z",
"device_type": "windows",
"gateway_device_id": "ee02da10-40ef-11ec-bb68-6a56f426bb46",
"id": "ee02da10-40ef-11ec-bb68-6a56f426bb46",
"ip": "98.247.211.1",
"key": "DhUI8nqeVrXL1JFhYbeCFmkeu/XEkkEjVmcZ8UraTDI=",
"last_seen": "2021-11-08T23:59:37.621164Z",
"model": "Latitude 7400",
"name": "CloudBox",
"os_version": "10.0.19043",
"serial_number": "7CHR3Z2",
"updated": "2021-11-23T20:03:12.046067Z",
"user": {
"email": "user2@example.com",
"id": "39663a0d-9f7c-4a24-ae7f-f869a8cf07f1"
},
"version": "2021.11.34"
},
專為所有人進(jìn)行管理而構(gòu)建
作為今天的發(fā)布的一部分��,我們還宣布與MDM提供商建立合作伙伴關(guān)系,以便您可以為用戶部署軟件�。我們也知道,一些組織還沒有MDM����,或者其管理部署的管理員偏好可視用戶界面。
在未來幾周�,我們將在測試版中開啟直接從儀表板管理客戶端行為的各個(gè)方面的功能��。這樣一來���,您可以立即對客戶端配置進(jìn)行更改����,而無需推送客戶端的新版本��。
敬請期待
明年����,我們會加倍努力提高部署后的客戶端的可支持性和靈活性,這對于客戶端來說是個(gè)令人振奮的好消息�����。我們特別想交付的一些功能包括:
·按用戶/組進(jìn)行設(shè)備設(shè)置,您將能夠?yàn)椴煌挠脩糁付蛻舳嗽O(shè)置(例如�,允許誰進(jìn)行更新、拆分隧道規(guī)則�����,等等)
·純狀態(tài)模式��,允許您在尚未針對Cloudflare Gateway做好準(zhǔn)備時(shí)上線更多Cloudflare Access狀態(tài)控件
·更多Linux發(fā)行版本支持���,這樣可以保護(hù)您組織中的所有人
·遙測和分析���,涉及您組織中的設(shè)備的表現(xiàn)情況,與我們的客戶端和流入Cloudflare的網(wǎng)絡(luò)的流量相關(guān)
立即登錄����,閱讀全文
閩公網(wǎng)安備 35010202001226號
