如果您是安全�����、網(wǎng)絡(luò)或IT部門領(lǐng)導(dǎo)人���,您很可能已經(jīng)聽說過Zero Trust�、安全訪問服務(wù)邊緣(SASE)和安全服務(wù)邊緣(SSE)等描述企業(yè)網(wǎng)絡(luò)架構(gòu)新格局的術(shù)語�。
如果您是安全、網(wǎng)絡(luò)或IT部門領(lǐng)導(dǎo)人���,您很可能已經(jīng)聽說過Zero Trust�、安全訪問服務(wù)邊緣(SASE)和安全服務(wù)邊緣(SSE)等描述企業(yè)網(wǎng)絡(luò)架構(gòu)新格局的術(shù)語���。這些框架正在形成新的一波技術(shù)浪潮�����,將從根本上改變企業(yè)網(wǎng)絡(luò)的構(gòu)建和運營方式���,但這些術(shù)語經(jīng)常被交替使用,而且并不一致�。我們很容易迷失在熱詞的海洋中,并失去它們背后的目標(biāo):為您的最終用戶���、應(yīng)用程序和網(wǎng)絡(luò)提供更安全����、更快���、更可靠的體驗�。今天�,我們將詳細解析這些概念——Zero Trust、SASE和SSE——并概述實現(xiàn)這些目標(biāo)所需的關(guān)鍵組成部分���。本內(nèi)容的持續(xù)更新版本位于我們的學(xué)習(xí)中心���。
什么是Zero Trust�����?
Zero Trust是一種IT安全模型���,它要求對試圖訪問私有網(wǎng)絡(luò)內(nèi)資源的每個人和設(shè)備進行嚴格的身份驗證,無論他們位于網(wǎng)絡(luò)邊界內(nèi)部還是外部�。這與基于邊界的傳統(tǒng)的安全模型形成了對比。傳統(tǒng)的安全模型也被稱為“城堡+護城河”架構(gòu)�����,用戶一旦被授予網(wǎng)絡(luò)訪問權(quán)�����,就能夠訪問其中資源��。
簡而言之:傳統(tǒng)IT網(wǎng)絡(luò)安全信任網(wǎng)絡(luò)內(nèi)的任何人和任何設(shè)備��。Zero Trust架構(gòu)不信任任何人和任何設(shè)備����?����?稍诖诉M一步了解Zero Trust安全����。
什么是安全訪問服務(wù)邊緣(SASE)���?
Gartner引入SASE,作為各類組織實施Zero Trust架構(gòu)的框架����。SASE將軟件定義的網(wǎng)絡(luò)能力與多種網(wǎng)絡(luò)安全功能集合起來,全部通過單一云平臺交付�。通過這種方式,SASE讓員工能夠從任何地方進行身分驗證并安全地連接到內(nèi)部資源���,讓企業(yè)更好地管控進出其內(nèi)部網(wǎng)絡(luò)的流量和數(shù)據(jù)�。
SASE的安全訪問(Secure Access)組件包括定義跨用戶設(shè)備和應(yīng)用程序以及分支機構(gòu)�、數(shù)據(jù)中心和云流量的Zero Trust安全策略。服務(wù)邊緣(Service Edge)組件允許所有流量(無論位于何處)通過安全訪問控制�����,而無需回傳到執(zhí)行這些控制的中心“樞紐”?�?稍诖诉M一步了解SASE���。
什么是安全服務(wù)邊緣(SSE)���?
SSE是Gartner創(chuàng)造的另一個術(shù)語,是一個SASE功能子集���,專注于安全執(zhí)行能力�����。它是實施全面SASE部署的一個常見過渡階段���,將SSE安全控制擴展到企業(yè)廣域網(wǎng)(WAN),并包括軟件定義的網(wǎng)絡(luò)功能����,如流量整形和服務(wù)質(zhì)量??稍诖诉M一步了解SSE。
SASE的組成部分
最常見的SASE定義列出了一系列安全功能�,如Zero Trust網(wǎng)絡(luò)訪問(ZTNA)和云訪問安全代理(CASB)�,重點在于SASE平臺需要做什么���。安全功能是其中的一個關(guān)鍵部分�,但是這些定義是不完整的:它們沒有描述這些功能如何實現(xiàn)�����,而這是同樣重要的�。
SASE的完整定義建立在這一安全功能列表的基礎(chǔ)上����,包括三個不同的方面:安全訪問、入口和服務(wù)邊緣���。
Cloudflare One:一個全面的SASE平臺
Cloudflare One是一個完整的SASE平臺����,結(jié)合了一套完整的安全訪問功能��,以及連接任何流量源和目的地的靈活入口�,全部通過快速、可靠的服務(wù)邊緣——Cloudflare全球網(wǎng)絡(luò)交付���。對于希望從SSE開始��,作為實現(xiàn)SASE之過渡的組織而言���,Cloudflare One也能滿足需求�。它是完全可組合的�����,因此組件可以單獨部署���,以服務(wù)即時用例��,并按照您自己的節(jié)奏構(gòu)建完整的SASE架構(gòu)�。
讓我們詳細介紹SASE架構(gòu)的每一個組件�,說明Cloudflare One如何交付它們。
安全訪問:安全功能
安全訪問功能針對所有流量運行�,以確保用戶�、應(yīng)用���、網(wǎng)絡(luò)和數(shù)據(jù)安全����。在一種輸入/處理/輸出(IPO)模型中,可將安全訪問視為對流量進行監(jiān)控和操作的處理過程���。
Zero Trust網(wǎng)絡(luò)訪問(ZTNA)
Zero Trust網(wǎng)絡(luò)訪問(ZTNA)是使Zero Trust安全模型成為可能的技術(shù)�,要求在授權(quán)用戶和設(shè)備訪問內(nèi)部資源之前對它們進行嚴格的驗證����。相比一次性授予對整個本地網(wǎng)絡(luò)訪問權(quán)的傳統(tǒng)虛擬專用網(wǎng)絡(luò)(VPN),ZTNA僅授權(quán)訪問所請求的特定應(yīng)用程序��,且默認拒絕對應(yīng)用程序和數(shù)據(jù)的訪問��。
ZTNA可與其他應(yīng)用安全功能協(xié)同工作�,例如Web應(yīng)用防火墻��、DDoS防護和機器人管理��,為公共互聯(lián)網(wǎng)上的應(yīng)用程序提供全面的保護�。有關(guān)ZTNA的更多信息,請參閱此處���。
Cloudflare One包含一個ZTNA解決方案���,Cloudflare Access�,基于客戶端或無客戶端的模式運行���,以授予對自托管和SaaS應(yīng)用程序的訪問權(quán)限���。
安全web網(wǎng)關(guān)(SWG)
安全Web網(wǎng)關(guān)(SWG)在公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間運作,以執(zhí)行安全策略并保護公司數(shù)據(jù)�。無論流量來自用戶設(shè)備、分支機構(gòu)還是應(yīng)用����,SWG都能提供URL過濾、惡意軟件檢測和阻止�、應(yīng)用控制等多層保護。隨著越來越高比例的公司網(wǎng)絡(luò)流量從專用網(wǎng)絡(luò)轉(zhuǎn)移到互聯(lián)網(wǎng)����,部署SWG已經(jīng)成為保護公司設(shè)備、網(wǎng)絡(luò)和數(shù)據(jù)免受各種安全威脅的關(guān)鍵�����。
SWG可與其他工具(包括Web應(yīng)用防火墻和網(wǎng)絡(luò)防火墻)協(xié)同工作�����,保護企業(yè)網(wǎng)絡(luò)上的傳入和傳出流量。它們也能與遠程瀏覽器隔離(RBI)協(xié)同工作��,防止惡意軟件和其他攻擊影響企業(yè)設(shè)備和網(wǎng)絡(luò)�����,而不完全阻止用戶訪問互聯(lián)網(wǎng)資源�。有關(guān)SWG的更多信息,參見此處���。
Cloudflare One包含一個SWG解決方案�����,Cloudflare Gateway����,它為來自用戶設(shè)備和網(wǎng)絡(luò)位置的流量提供DNS�、HTTP和網(wǎng)絡(luò)過濾����。
遠程瀏覽器隔離(RBI)
瀏覽器隔離是一種通過將加載網(wǎng)頁的過程與顯示網(wǎng)頁的用戶設(shè)備分離來保證瀏覽活動安全的技術(shù)。這樣,潛在的惡意網(wǎng)頁代碼就不會在用戶的設(shè)備上運行����,從而防止惡意軟件感染和其他網(wǎng)絡(luò)攻擊影響用戶設(shè)備和內(nèi)部網(wǎng)絡(luò)。
RBI與其他安全訪問功能協(xié)同工作�����。例如�,安全團隊可配置安全Web網(wǎng)關(guān)策略來自動隔離到已知或潛在可疑網(wǎng)站的流量。有關(guān)瀏覽器隔離的更多信息��,參見此處�����。
Cloudflare One包含瀏覽器隔離����。傳統(tǒng)的遠程瀏覽器會向用戶發(fā)送網(wǎng)頁的一個緩慢而笨重的版本。相比之下�,Cloudflare瀏覽器隔離會在用戶的設(shè)備上繪制一個頁面的精確副本,而且傳輸速度極快�,感覺就像在使用普通瀏覽器。
云訪問安全代理(CASB)
云訪問安全代理掃描��、檢測并持續(xù)監(jiān)視SaaS應(yīng)用程序中的安全問題。組織使用CASB的目的:
·數(shù)據(jù)安全�,例如確保不會在Dropbox上公開共享錯誤的文件或文件夾
·用戶活動,例如在凌晨2時就可疑的用戶權(quán)限更改發(fā)出警告
·錯誤配置�,例如防止Zoom錄制文件被公開訪問
·合規(guī),例如跟蹤和報告誰修改了Bitbucket分支權(quán)限
·影子IT��,例如檢測用工作郵箱注冊了未經(jīng)批準的應(yīng)用程序的用戶
API驅(qū)動的CASB利用與各種SaaS應(yīng)用程序的API集成���,只需幾分鐘就可以連接�����。CASB還可以與RBI協(xié)同使用��,以檢測并防止對已批準和未批準SaaS應(yīng)用程序的有害行為��,比如禁止下載文件或從文檔中復(fù)制文本����。有關(guān)CASB的更多信息���,參見此處。
Cloudflare One包括一個API驅(qū)動的CASB����,它就SaaS應(yīng)用提供全面的可見性和管控���,以便輕松地防止數(shù)據(jù)泄露和違規(guī)。
數(shù)據(jù)丟失防護(DLP)
數(shù)據(jù)丟失防護(DLP)工具能夠檢測和防止數(shù)據(jù)泄露(未經(jīng)公司授權(quán)的數(shù)據(jù)移動)或數(shù)據(jù)銷毀���。許多DLP解決方案通過分析網(wǎng)絡(luò)流量和內(nèi)部“端點”設(shè)備來識別諸如信用卡號碼和個人身份信息(PII)等機密信息的泄露或丟失�����。DLP使用多種技術(shù)來檢測敏感數(shù)據(jù)�,包括數(shù)據(jù)指紋�����、關(guān)鍵字匹配�、模式匹配和文件匹配。有關(guān)DLP的更多信息�����,參見此處�����。
Cloudflare One的DLP功能即將推出。其中將包括根據(jù)常見模式(如PII)檢查數(shù)據(jù)���、對需要保護的特定數(shù)據(jù)添加標(biāo)簽和索引�����,以及將DLP規(guī)則與其他Zero Trust策略相結(jié)合的能力�����。
防火墻即服務(wù)
防火墻即服務(wù)����,也被稱為云防火墻�,用于過濾潛在的惡意流量,而不需要在客戶網(wǎng)絡(luò)中使用物理硬件�����。有關(guān)防火墻即服務(wù)的更多信息��,參見此處�。
Cloudflare One包含Magic Firewall,這是一個防火墻即服務(wù)���,用于從單個控制平面過濾任何IP流量�,并(新功能?。┰谀牧髁可蠄?zhí)行IDS策略。
電子郵件安全
電子郵件安全是防止基于電子郵件的網(wǎng)絡(luò)攻擊和有害通信的過程����。電子郵件安全保護收件箱以防被接管,防止域名假冒��,阻止網(wǎng)絡(luò)釣魚攻擊����,預(yù)防欺詐,阻止惡意軟件傳遞��,過濾垃圾郵件����,并使用加密來保護電子郵件的內(nèi)容,以防被未授權(quán)人員查看�。
電子郵件可與其他安全訪問功能協(xié)同使用,例如DLP和RBI���,電子郵件中的潛在可疑鏈接可在隔離瀏覽器中打開�����,而不阻止合法郵件����。有關(guān)電子郵件安全的更多信息,參見此處���。
Cloudflare One包括Area 1電子郵件安全�,該平臺會在互聯(lián)網(wǎng)上搜集情報��,用于在網(wǎng)絡(luò)釣魚�、商業(yè)電子郵件攻擊(BEC)和電子郵件供應(yīng)鏈攻擊的最早期予以阻止。Area 1與Microsoft和Google的環(huán)境和工作流深度集成�,增強云電子郵件提供商的內(nèi)置安全性。
入口:建立連接
為了對數(shù)據(jù)流量應(yīng)用安全訪問功能�,您需要一種機制將流量從來源(無論是遠程用戶設(shè)備、分支機構(gòu)����、數(shù)據(jù)中心還是云)傳輸?shù)竭@些功能運行的服務(wù)邊緣(見下文)。入口(On-ramp)就是這種機制——IPO模型中的輸入和輸出����,也就是流量在應(yīng)用過濾后從A點到B點的方式�。
反向代理(適用于應(yīng)用程序)
反向代理位于Web服務(wù)器的前方�����,將客戶端(例如Web瀏覽器)請求轉(zhuǎn)發(fā)到這些Web服務(wù)器��。實施反向代理通常為了幫助提高安全性�、性能和可靠性��。與身份和端點安全提供者協(xié)同使用時�����,反向代理可用于授予對Web應(yīng)用程序的網(wǎng)絡(luò)訪問權(quán)限��。
Cloudflare One包括世界上最繁忙的反向代理之一�,每天處理超過13.9億個DNS請求。
應(yīng)用程序連接器(適用于應(yīng)用程序)
對于私有或非基于Web的應(yīng)用程序�,IT團隊可在其基礎(chǔ)設(shè)施上安裝輕量級后臺程序,創(chuàng)建對服務(wù)邊緣的僅傳出連接�����。這些應(yīng)用程序連接器允許連接到HTTP Web服務(wù)器、SSH服務(wù)器�����、遠程桌面和其他應(yīng)用程序/協(xié)議�,而不會將應(yīng)用程序暴露給潛在攻擊。
Cloudflare One包含Cloudflare Tunnel����。用戶可以安裝一個輕量級的后臺進程,在源Web服務(wù)器和Cloudflare最近的數(shù)據(jù)中心之間創(chuàng)建一條加密隧道�����,而無需打開任何公共傳入端口�。
設(shè)備客戶端(適用于用戶)
為了將來自筆記本電腦和手機等設(shè)備的流量傳輸?shù)接糜谶^濾和專用網(wǎng)絡(luò)訪問的服務(wù)邊緣,用戶可以安裝客戶端����。這個客戶端,即“漫游代理”���,充當(dāng)正向代理�����,將設(shè)備的部分或全部流量傳送到服務(wù)邊緣�。
Cloudflare One包含WARP設(shè)備客戶端。全球數(shù)百萬用戶正在使用這個客戶端���,可用于iOS�����、Android�、ChromeOS��、Mac��、Linux和Windows���。
自帶或租賃IP(適用于分支機構(gòu)、數(shù)據(jù)中心和云)
根據(jù)SASE供應(yīng)商的網(wǎng)絡(luò)/服務(wù)邊緣的能力��,組織可以選擇自帶IP或租賃IP�����,通過BGP宣告來實現(xiàn)整個網(wǎng)絡(luò)的連接性����。
Cloudflare One包括自帶IP(BYOIP)租賃IP選項��,兩者均涉及在我們整個Anycast上的宣告范圍�����。
網(wǎng)絡(luò)隧道(適用于分支機構(gòu)�、數(shù)據(jù)中心和云)
位于物理網(wǎng)絡(luò)邊界的大多數(shù)硬件或虛擬硬件設(shè)備都能夠支持一種或多種行業(yè)標(biāo)準的隧道機制��,例如GRE和IPsec����。可建立從分支機構(gòu)�����、數(shù)據(jù)中心和公共云到服務(wù)邊緣的隧道���,實現(xiàn)網(wǎng)絡(luò)級連接���。
Cloudflare One包含Anycast GRE和IPsec隧道選項,其配置類似于傳統(tǒng)的點對點隧道����,但授予對Cloudflare的整個Anycast網(wǎng)絡(luò)的自動連接性���,以便于管理和提供冗余。這些選項還允許方便地從現(xiàn)有的SD-WAN設(shè)備進行連接��,從而實現(xiàn)簡單的管理或完全自動化的隧道配置�。
直連(適用于分支機構(gòu)和數(shù)據(jù)中心)
對于有高可靠性和容量需求的網(wǎng)絡(luò),最后一個入口選擇是直接連接到服務(wù)邊緣����,要么通過物理交叉連接/最后一英里連接,要么通過虛擬網(wǎng)絡(luò)提供商進行虛擬互連���。
Cloudflare One包含Cloudflare Network Interconnect(CNI),允許您通過直接的物理連接或通過合作伙伴的虛擬連接接入Cloudflare的網(wǎng)絡(luò)���。Cloudflare for Offices將CNI直接帶到您的物理住所�,實現(xiàn)更簡單的連接�。
服務(wù)邊緣:驅(qū)動一切的網(wǎng)絡(luò)
安全訪問功能需要在某個地方運行。在傳統(tǒng)的邊界架構(gòu)中���,這個地方就是企業(yè)辦公室或數(shù)據(jù)中心內(nèi)的一堆硬件盒子��;而在SASE架構(gòu)中���,這是一個分布式的網(wǎng)絡(luò)�����,盡可能接近用戶���,無論用戶處于世界任何位置。然而��,并非所有服務(wù)邊緣都生而平等:對SASE平臺來說��,要為您的用戶����、應(yīng)用和網(wǎng)絡(luò)提供良好的體驗,底層網(wǎng)絡(luò)需要快速�����、智能����、可互操作�����、可編程和透明�。讓我們更詳細地分析下這些平臺功能���。
性能:位置�����,互聯(lián)性��,速度�,容量
一直以來����,IT團隊不得不在安全性和性能之間做出艱難的取舍。其中可能包括:是否回傳及回傳哪些流量到中央位置以進行安全過濾����,使用哪些安全功能來平衡處理開銷與吞吐量����。使用SASE��,這些權(quán)衡將不再需要考慮�����,前提是該服務(wù)邊緣具備如下條件:
·地理上分散:重要的一點是服務(wù)邊緣的位置盡可能靠近用戶和應(yīng)用所在地�,后者日益分布到世界上的任何地方����。
·互連:您的服務(wù)邊緣需要與其他網(wǎng)絡(luò)互連,包括主要的傳輸����、云計算和SaaS提供商,以便可靠�、快速地連接到流量的路由目的地。
·快速:隨著對用戶體驗的期望不斷提高�����,您的服務(wù)邊緣也需要跟上�。感知到的應(yīng)用程序性能受到眾多因素的影響,包括從最后一英里快速連接的可用性到安全過濾和加密/解密步驟的影響����,因此SASE提供商需要采取一種全面的方法來測量和提高網(wǎng)絡(luò)性能�?!昂?/p>
·高容量:使用SASE架構(gòu)模型,您應(yīng)該永遠不需要考慮安全功能的容量規(guī)劃——“買多大的盒子”是過去的問題�����。這意味著您的服務(wù)邊緣需要在您的網(wǎng)絡(luò)流量可以到達的每個位置都有足夠的容量����,并且能夠智能地負載平衡流量,以便在服務(wù)邊緣高效使用該容量����。
Cloudflare One構(gòu)建于Cloudflare的全球網(wǎng)絡(luò)之上,后者覆蓋100多個國家/地區(qū)的270多個城市�,與10500個網(wǎng)絡(luò)互連,容量高達140+Tbps�。
流量情報:整形,QoS�,基于遙測的路由
除了網(wǎng)絡(luò)/服務(wù)邊緣的固有性能屬性外,能夠根據(jù)個別網(wǎng)絡(luò)的特征影響流量也很重要���。流量整形�、服務(wù)質(zhì)量(QoS)和基于遙測的路由等技術(shù)可以通過為優(yōu)先向關(guān)鍵應(yīng)用程序提供帶寬����,并在路由時避開擁塞、延遲和中間路徑上的其他問題�,從而進一步提高安全服務(wù)邊緣的流量性能。
Cloudflare One包括Argo Smart Routing�����,通過優(yōu)化第三層到第七層的流量���,可以智能地繞過網(wǎng)絡(luò)上的擁塞��、丟包等問題����。額外的流量整形和QoS功能也在Cloudflare One的路線圖上�����。
威脅情報
為了驅(qū)動安全訪問功能��,您的服務(wù)邊緣需要不斷更新情報����,包括跨OSI堆棧所有層的已知和新生攻擊類型���。集成第三方威脅源的能力是一個很好的開始,但來自服務(wù)邊緣流量的原生威脅情報甚至更為強大�����。
Cloudflare One包括從Cloudflare網(wǎng)絡(luò)上2000萬+互聯(lián)網(wǎng)資產(chǎn)收集的威脅情報�,這些情報會持續(xù)反饋到我們的安全訪問策略中,以保護客戶并防范新出現(xiàn)的威脅����。
互操作性:集成、標(biāo)準和可組合性
您的SASE平臺將取代傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中的很多部件�����,但您可以選擇保留部分現(xiàn)有工具����,并在將來引入新的工具。您的服務(wù)邊緣需要與現(xiàn)有的連接提供商�����、硬件和工具兼容,以便順利遷移到SASE��。
同時��,服務(wù)邊緣也應(yīng)該有助于您走在新技術(shù)和安全標(biāo)準(如TLS 1.3和HTTP3)的前面����。它還應(yīng)該是完全可組合的���,每個服務(wù)協(xié)同工作���,以產(chǎn)生比一堆單點解決方案更好的結(jié)果。
Cloudflare One與各種平臺集成�����,例如身份提供商和端點保護解決方案���,SD-WAN設(shè)備��,互連提供商�,以及安全事件與時間管理工具(SIEMs)?���,F(xiàn)有的安全和IT工具可與Cloudflare One一起使用�����,集成工作量極低����。
Cloudflare還是推動互聯(lián)網(wǎng)和網(wǎng)絡(luò)標(biāo)準的領(lǐng)導(dǎo)者�。任何新的網(wǎng)絡(luò)標(biāo)準和協(xié)議都可能受到了我們研究團隊的影響。
Cloudflare One也是完全可組合的���,允許您從一個用例開始����,并添加額外的功能�,為您的網(wǎng)絡(luò)創(chuàng)造“1+1=3”的效果。
編排:自動化與可編程性
在規(guī)模超過少數(shù)用戶���、應(yīng)用程序和位置后�,部署和管理您的SASE配置可能變得復(fù)雜起來�。您的服務(wù)邊緣應(yīng)該提供完全的自動化和可編程性,包括使用Terraform這樣的工具通過代碼來管理基礎(chǔ)設(shè)施的能力����。
Cloudflare One包含完整的API和Terraform支持����,便于部署和管理配置����。
可見性:分析與日志
您的團隊?wèi)?yīng)該對通過服務(wù)邊緣的所有流量具備完全的可見性����。在傳統(tǒng)的邊界安全模型中,IT和安全團隊可以通過在流量進出公司網(wǎng)絡(luò)的少數(shù)幾個位置配置網(wǎng)絡(luò)分流器(TAP)來獲得可見性�����。隨著應(yīng)用程序離開數(shù)據(jù)中心和用戶離開辦公室���,獲得這些數(shù)據(jù)的難度大幅提高�����。在SASE架構(gòu)中�����,因為所有的流量均通過一個擁有單一控制平面的服務(wù)邊緣路由��,因而您可以通過流數(shù)據(jù)和包捕獲等熟悉的格式及豐富的日志和分析重新獲得可見性�����。
Cloudflare One的所有安全訪問組件都可以生成豐富的分析和日志�����,可直接在Cloudflare One儀表板中進行評估��,或推送到SIEM工具中進行高級分析�。
使用Cloudflare One開始您的SASE之旅
接下來的一周內(nèi),我們將宣布進一步增強Cloudflare One平臺能力的新功能���,使您的團隊更易實現(xiàn)SASE的愿景���。
閩公網(wǎng)安備 35010202001226號
