Cloudflare Access是最快的Zero Trust代理

每年的Innovation Week，Cloudflare都會將自身的網(wǎng)絡(luò)性能與競爭對手進行對比。過去幾周里，我們主要分析了我們比Akamai這樣的反向代理快多少，或者我們的Supercloud比Fastly和AWS那樣的無服務(wù)器計算平臺要快多少。近期，我們將更新與其他反向代理的比較，并更新我們的應(yīng)用服務(wù)安全產(chǎn)品與Zscaler和Netskope的比較。本產(chǎn)品是我們的Zero Trust平臺的一部分，它有助于保護應(yīng)用和連接公共互聯(lián)網(wǎng)的體驗，這不同于我們的反向代理，后者保護您的網(wǎng)站不受外部用戶的影響。

除了此前介紹我們的Zero Trust平臺與Zscaler對比的文章，我們還曾經(jīng)分享過從全球3000個最后一公里網(wǎng)絡(luò)對反向代理進行的廣泛基準測試結(jié)果。我們已經(jīng)有一段時間沒有展示我們在每個最后一公里網(wǎng)絡(luò)中成為第一名的進展了。我們希望展示這些數(shù)據(jù)，并重新進行我們的系列測試，將Cloudflare Access與Zscaler Private Access和Netskope Private Access進行對比。在我們的整體網(wǎng)絡(luò)測試中，在最經(jīng)常被提及的Top 3000個網(wǎng)絡(luò)中，Cloudflare整體性能要優(yōu)于其中的47%。對于我們的應(yīng)用安全測試，Cloudflare比Zscaler快50%，比Netskope快75%。

本文將討論為什么性能對我們的產(chǎn)品很重要，深入探討我們正在測量什么指標來顯示我們速度更快，并介紹我們?nèi)绾螠y量每個產(chǎn)品的性能。

為什么性能很重要？

之前的一篇文章中我們已經(jīng)談過，性能之所以重要，是因為它影響員工的體驗，以及他們完成工作的能力。無論是通過訪問控制產(chǎn)品訪問服務(wù)，通過安全Web網(wǎng)關(guān)連接到公共互聯(lián)網(wǎng)，還是通過遠程瀏覽器隔離保護有風險的外部站點，所有這些體驗都需要流暢無摩擦。

簡單回顧一下：假設(shè)Acme Corporation的Bob正在從約翰內(nèi)斯堡連接到Slack或Zoom以完成一些工作。如果Acme的安全網(wǎng)絡(luò)網(wǎng)關(guān)位于遠離Bob的倫敦，那么Bob的流量可能從約翰內(nèi)斯堡發(fā)送到倫敦，然后回到約翰內(nèi)斯堡，才能訪問他的電子郵件。如果Bob試圖在Slack或Zoom上進行語音通話，在等待郵件的發(fā)送和接收時，速度可能會非常緩慢。Zoom和Slack都推薦低延遲以獲得最佳性能。Bob為通過其網(wǎng)關(guān)而經(jīng)過的額外躍點可能會降低吞吐率并增加延遲，從而給Bob帶來糟糕的體驗。

如前所述，如果這些產(chǎn)品或體驗緩慢，就可能發(fā)生比用戶抱怨更糟糕的事情：他們可能會設(shè)法關(guān)閉或繞過產(chǎn)品，這將使您的公司處于風險之中。如果因為速度緩慢而沒有人使用，這個Zero Trust產(chǎn)品套件就是完全無效的。確保Zero Trust快速運行對一個Zero Trust解決方案的有效性至關(guān)重要：如果員工幾乎不知道它的存在，他們就不會想要關(guān)閉它并讓自己處于風險之中。

和Zscaler很像，Netskope的性能可能會超過許多老舊的解決方案，但其網(wǎng)絡(luò)仍然比擬Cloudflare這樣高性能、最優(yōu)化的網(wǎng)絡(luò)。我們已經(jīng)將我們的所有Zero Trust產(chǎn)品與Netskope的同類產(chǎn)品進行了對比測試，我們甚至重新納入Zscaler，向您展示Zscaler與它們的對比。下面，讓我們深入研究相關(guān)數(shù)據(jù)，向您展示我們在一個關(guān)鍵Zero Trust場景中如何和為什么更快，將Cloudflare Access與Zscaler Private Access和Netskope Private Access進行對比。

Cloudflare Access：最快的Zero Trust代理

訪問控制需要無縫且對用戶透明：對Zero Trust解決方案的最好贊美就是員工幾乎注意不到它的存在。這些服務(wù)允許用戶在提供商的網(wǎng)絡(luò)上緩存身份驗證信息，確保應(yīng)用可以安全、快速地訪問，為用戶提供他們想要的無縫體驗。因此，如果網(wǎng)絡(luò)能最大限度地減少所需登錄次數(shù)，同時降低應(yīng)用請求的延遲，將有助于使您的互聯(lián)網(wǎng)體驗快速、靈敏。

Cloudflare Access實現(xiàn)以上這一切的速度比Netskope快75%，比Zscaler快50%，確保無論用戶在世界任何地方，都能獲得快速、安全的應(yīng)用體驗：

在全球300個不同地點，我們測量了Cloudflare、Zscaler和Netskope產(chǎn)品連接到位于香港、多倫多、約翰內(nèi)斯堡、圣保羅、鳳凰城和瑞士的6個不同應(yīng)用服務(wù)器的訪問速度。在上述每個地點，Cloudflare的P95（第95個百分位）響應(yīng)時間都比Zscaler和Netskope更快。我們看一下應(yīng)用托管于多倫多時的數(shù)據(jù)。鑒于處于高度互連的北美地區(qū)，Zscaler和Netskope應(yīng)該表現(xiàn)良好。

Cloudflare在具有更多連接選項的地區(qū)（例如南美和亞太）表現(xiàn)尤其突出，Zscaler與Netskope之間的差距沒有與Cloudflare之間那么明顯。

對于在南美本地托管的應(yīng)用服務(wù)器，Cloudflare表現(xiàn)突出：

Cloudflare的網(wǎng)絡(luò)在這里大放異彩，允許我們在靠近用戶的地方吸收流量。查看在南美的連接時間可以看到這一點。

Cloudflare的網(wǎng)絡(luò)在這里與眾不同，是因為我們能夠讓用戶更快地進入我們的網(wǎng)絡(luò)，并在全球范圍內(nèi)找到返回應(yīng)用主機的最佳路徑。由于這一超級能力，我們的速度兩倍于Zscaler，三倍于Netskope。所有不同的測試中，Cloudflare的連接時間在全部300個測試節(jié)點上都始終顯示為更快。

在我們另一篇文章中，當就應(yīng)用訪問場景評估Cloudflare和Zscaler時，我們考慮兩個需要單獨測量的不同場景。第一個場景是：用戶登錄到應(yīng)用時必須進行身份驗證。在這種情況下，Zero Trust Access服務(wù)將用戶引導到登錄頁面，進行身份驗證，然后重定向到他們的應(yīng)用。

這被稱為“新會話”，因為Access網(wǎng)絡(luò)上沒有緩存或存在任何身份驗證信息。第二種場景是現(xiàn)有會話，此時用戶已經(jīng)通過身份驗證，可以緩存身份驗證信息。這種場景通常要快得多，因為它不需要額外調(diào)用身份提供商即可完成。

我們希望分別測量這些場景，因為當我們查看第95個百分位值時，如果將新會話和現(xiàn)有會話合并起來，幾乎總是看到新會話。但在兩個場景中，Cloudflare在每一個地區(qū)都始終更快。讓我們回過頭來看看一個托管于多倫多的應(yīng)用，通過我們連接的用戶無論新建會話還是現(xiàn)有會話，連接速度都比Zscaler和Netskope快。

可以看到，新會話通常慢于預計，但Cloudflare的網(wǎng)絡(luò)和優(yōu)化的軟件堆棧提供了一貫快速的用戶體驗。在端到端連接可能更具挑戰(zhàn)性的場景中，Cloudflare表現(xiàn)甚至更加突出。讓我們看一下亞洲用戶連接到位于香港的應(yīng)用。

這里尤其引人注目的一點是，Cloudflare網(wǎng)絡(luò)性能遙遙領(lǐng)先，而Zscaler的性能表現(xiàn)更接近Netskope而非Cloudflare。Netskope在新會話上的表現(xiàn)也很差，這表明當用戶建立新會話時，Netskope服務(wù)反應(yīng)欠佳。

我們希望將這些新會話和現(xiàn)有會話分開，因為查看相似的請求路徑以進行適當?shù)谋容^非常重要。例如，如果我們比較一個現(xiàn)有會話上通過Zscaler的請求和一個新會話上通過Cloudflare的請求，我們會看到Cloudflare比Zscaler慢得多，因為需要進行身份驗證。所以當我們與第三方簽約設(shè)計這些測試時，我們確保他們考慮到這一點。

對于這些測試，Cloudflare配置了托管于多倫多、洛杉磯、圣保羅、約翰內(nèi)斯堡和香港的5個應(yīng)用實例。隨后，Cloudflare使用來自全球的300個不同Catchpoint節(jié)點來模擬瀏覽器登錄，如下所示：

·用戶從一個由Catchpoint實例模擬的瀏覽器連接到應(yīng)用——新會話

·用戶通過其身份提供商進行身份驗證

·用戶訪問資源

·用戶刷新瀏覽器頁面，并嘗試訪問相同的資源，但憑據(jù)已經(jīng)存在——現(xiàn)有會話

這讓我們可以比較Cloudflare與另外兩個產(chǎn)品在新會話和現(xiàn)有會話兩種情況下的應(yīng)用性能，結(jié)果證明了我們速度更快。如前所述，這在很大程度上要歸功于我們的網(wǎng)絡(luò)，以及我們?nèi)绾谓咏脩?。下面，我們要談一下我們與其他大型網(wǎng)絡(luò)的比較，以及我們?nèi)绾谓咏脩簟?/p>

網(wǎng)絡(luò)效應(yīng)使用戶體驗更好

更接近用戶縮短最后一公里往返時間（RTT）。正如在訪問比較中所談到那樣，低RTT可以提高客戶性能，因為新會話和現(xiàn)有會話不需要長距離傳輸就可以到達Cloudflare的Zero Trust網(wǎng)絡(luò)。嵌入這些最后一公里網(wǎng)絡(luò)中有助于我們更接近用戶，這不僅有助于提升Zero Trust性能，也有助于Web性能和開發(fā)人員性能，正如我們在之前的博客文章中所討論的那樣。

為量化網(wǎng)絡(luò)性能，我們必須從世界各地的各種不同網(wǎng)絡(luò)獲取足夠的數(shù)據(jù)，以便將我們自己與其他提供商進行比較。我們使用Real User Measurements（RUM）來從幾家不同的提供商提取一個100 kb的文件。世界各地的用戶會報告不同提供商的性能。報告數(shù)據(jù)的用戶越多，信號的保真度就越高。目標是準確地反映出在哪些網(wǎng)絡(luò)中其他提供商的速度更快；更重要的是，Cloudflare在哪些地區(qū)還可以改進。如果需要進一步了解該方法論，請在這里中閱讀最初的Speed Week 2021博客文章。

我們不斷經(jīng)歷一個過程：，然后加以改善。我們所面臨的挑戰(zhàn)是每個網(wǎng)絡(luò)所特有的，并且突出了互聯(lián)網(wǎng)上普遍存在的各種不同問題。我們將概述為提高用戶性能所做的一些努力。

但在此之前，我們先介紹一下自Developer Week 2022（即上一次展示這些數(shù)據(jù)）以來的努力成果。在全球最主要的3000個網(wǎng)絡(luò)（按廣播的IPv4地址數(shù)量排序）中，下面詳細列出了每個提供商在P95 TCP連接時間（表示給定網(wǎng)絡(luò)上的用戶連接到該提供商所用時間）方面排名第一的網(wǎng)絡(luò)數(shù)量。

如下是截至Security Week 2023的數(shù)據(jù)：

圖中可見，Cloudflare已經(jīng)在更多網(wǎng)絡(luò)中擴大了領(lǐng)先優(yōu)勢，而之前更快的其他網(wǎng)絡(luò)，例如Akamai和Fastly，則失去了領(lǐng)先優(yōu)勢。這轉(zhuǎn)化為我們在世界地圖上看到的效果。這是Developer Week 2022時的世界地圖：

這是此時此刻當下的世界地圖：

如圖可見，Cloudflare在巴西，包括南非、埃塞俄比亞和尼日利亞在內(nèi)的許多非洲國家，亞洲的印度尼西亞，以及歐洲的挪威、瑞典和英國變得更快。

這些國家中，很多都受益于我們在Impact Week博客文章中所討論的Edge Partner Program（邊緣合作伙伴計劃）。簡單回顧：邊緣合作伙伴計劃鼓勵最后一公里ISP與Cloudflare合作，部署嵌入到最后一公里ISP的Cloudflare位置。這改善了最后一公里的RTT，并提高了Access等產(chǎn)品的性能。自從我們上次向您展示這張地圖以來，Cloudflare已經(jīng)在尼日利亞和沙特阿拉伯等地部署了更多合作地點，這為用戶改善了在所有場景下的性能。像邊緣合作伙伴計劃這樣的努力不僅有助于改善我們上面描述的Zero Trust場景，還有助于改善最終用戶在受Cloudflare保護網(wǎng)站上的整體網(wǎng)頁瀏覽體驗。

世界上領(lǐng)先的新一代技術(shù)-Zero Trust

在非Zero Trust的世界里，您和您的IT團隊就是網(wǎng)絡(luò)運營者——這賦予您控制性能的能力。雖然這種控制令人安心，但對于必須管理辦公室和資源之間中間一公里連接的IT團隊而言，這也是一個巨大的負擔。而在Zero Trust世界中，您的網(wǎng)絡(luò)也就是公共互聯(lián)網(wǎng)。這意味著您的團隊要做的工作減少了，但Zero Trust提供商要承擔大得多的責任，它必須為您的每一個用戶管理性能。Zero Trust提供商在提高端到端性能方面做得越好，用戶的體驗就會越好，您面臨的風險也就越小。對于像身份驗證和安全Web網(wǎng)關(guān)這樣的實時應(yīng)用，擁有快速的用戶體驗是至關(guān)重要的。

Zero Trust提供商不僅需要在公共互聯(lián)網(wǎng)上保護您的用戶，還需要優(yōu)化公共互聯(lián)網(wǎng)，以確保您的用戶持續(xù)受到保護。轉(zhuǎn)向Zero Trust不僅減少了對企業(yè)網(wǎng)絡(luò)的需求，還允許用戶流量更自然地流向資源。但是，考慮到Zero Trust提供商將成為所有用戶和所有應(yīng)用的守門人，性能是需要評估的一個關(guān)鍵方面，以便為用戶減少摩擦，降低用戶抱怨、效率下降或關(guān)閉解決方案的可能性。通過Edge Partner Program這樣的計劃，并持續(xù)改善我們的對等連接和互連，Cloudflare正在不斷改進我們的網(wǎng)絡(luò)，以確保用戶始終擁有最佳的體驗。正是這種孜孜不倦的努力，使我們成為最快的Zero Trust提供商。