Cloudflare Access是最快的Zero Trust代理

每年的Innovation Week，Cloudflare都會(huì)將自身的網(wǎng)絡(luò)性能與競(jìng)爭(zhēng)對(duì)手進(jìn)行對(duì)比。過(guò)去幾周里，我們主要分析了我們比Akamai這樣的反向代理快多少，或者我們的Supercloud比Fastly和AWS那樣的無(wú)服務(wù)器計(jì)算平臺(tái)要快多少。近期，我們將更新與其他反向代理的比較，并更新我們的應(yīng)用服務(wù)安全產(chǎn)品與Zscaler和Netskope的比較。本產(chǎn)品是我們的Zero Trust平臺(tái)的一部分，它有助于保護(hù)應(yīng)用和連接公共互聯(lián)網(wǎng)的體驗(yàn)，這不同于我們的反向代理，后者保護(hù)您的網(wǎng)站不受外部用戶的影響。

除了此前介紹我們的Zero Trust平臺(tái)與Zscaler對(duì)比的文章，我們還曾經(jīng)分享過(guò)從全球3000個(gè)最后一公里網(wǎng)絡(luò)對(duì)反向代理進(jìn)行的廣泛基準(zhǔn)測(cè)試結(jié)果。我們已經(jīng)有一段時(shí)間沒(méi)有展示我們?cè)诿總€(gè)最后一公里網(wǎng)絡(luò)中成為第一名的進(jìn)展了。我們希望展示這些數(shù)據(jù)，并重新進(jìn)行我們的系列測(cè)試，將Cloudflare Access與Zscaler Private Access和Netskope Private Access進(jìn)行對(duì)比。在我們的整體網(wǎng)絡(luò)測(cè)試中，在最經(jīng)常被提及的Top 3000個(gè)網(wǎng)絡(luò)中，Cloudflare整體性能要優(yōu)于其中的47%。對(duì)于我們的應(yīng)用安全測(cè)試，Cloudflare比Zscaler快50%，比Netskope快75%。

本文將討論為什么性能對(duì)我們的產(chǎn)品很重要，深入探討我們正在測(cè)量什么指標(biāo)來(lái)顯示我們速度更快，并介紹我們?nèi)绾螠y(cè)量每個(gè)產(chǎn)品的性能。

為什么性能很重要？

之前的一篇文章中我們已經(jīng)談過(guò)，性能之所以重要，是因?yàn)樗绊憜T工的體驗(yàn)，以及他們完成工作的能力。無(wú)論是通過(guò)訪問(wèn)控制產(chǎn)品訪問(wèn)服務(wù)，通過(guò)安全Web網(wǎng)關(guān)連接到公共互聯(lián)網(wǎng)，還是通過(guò)遠(yuǎn)程瀏覽器隔離保護(hù)有風(fēng)險(xiǎn)的外部站點(diǎn)，所有這些體驗(yàn)都需要流暢無(wú)摩擦。

簡(jiǎn)單回顧一下：假設(shè)Acme Corporation的Bob正在從約翰內(nèi)斯堡連接到Slack或Zoom以完成一些工作。如果Acme的安全網(wǎng)絡(luò)網(wǎng)關(guān)位于遠(yuǎn)離Bob的倫敦，那么Bob的流量可能從約翰內(nèi)斯堡發(fā)送到倫敦，然后回到約翰內(nèi)斯堡，才能訪問(wèn)他的電子郵件。如果Bob試圖在Slack或Zoom上進(jìn)行語(yǔ)音通話，在等待郵件的發(fā)送和接收時(shí)，速度可能會(huì)非常緩慢。Zoom和Slack都推薦低延遲以獲得最佳性能。Bob為通過(guò)其網(wǎng)關(guān)而經(jīng)過(guò)的額外躍點(diǎn)可能會(huì)降低吞吐率并增加延遲，從而給Bob帶來(lái)糟糕的體驗(yàn)。

如前所述，如果這些產(chǎn)品或體驗(yàn)緩慢，就可能發(fā)生比用戶抱怨更糟糕的事情：他們可能會(huì)設(shè)法關(guān)閉或繞過(guò)產(chǎn)品，這將使您的公司處于風(fēng)險(xiǎn)之中。如果因?yàn)樗俣染徛鴽](méi)有人使用，這個(gè)Zero Trust產(chǎn)品套件就是完全無(wú)效的。確保Zero Trust快速運(yùn)行對(duì)一個(gè)Zero Trust解決方案的有效性至關(guān)重要：如果員工幾乎不知道它的存在，他們就不會(huì)想要關(guān)閉它并讓自己處于風(fēng)險(xiǎn)之中。

和Zscaler很像，Netskope的性能可能會(huì)超過(guò)許多老舊的解決方案，但其網(wǎng)絡(luò)仍然比擬Cloudflare這樣高性能、最優(yōu)化的網(wǎng)絡(luò)。我們已經(jīng)將我們的所有Zero Trust產(chǎn)品與Netskope的同類產(chǎn)品進(jìn)行了對(duì)比測(cè)試，我們甚至重新納入Zscaler，向您展示Zscaler與它們的對(duì)比。下面，讓我們深入研究相關(guān)數(shù)據(jù)，向您展示我們?cè)谝粋€(gè)關(guān)鍵Zero Trust場(chǎng)景中如何和為什么更快，將Cloudflare Access與Zscaler Private Access和Netskope Private Access進(jìn)行對(duì)比。

Cloudflare Access：最快的Zero Trust代理

訪問(wèn)控制需要無(wú)縫且對(duì)用戶透明：對(duì)Zero Trust解決方案的最好贊美就是員工幾乎注意不到它的存在。這些服務(wù)允許用戶在提供商的網(wǎng)絡(luò)上緩存身份驗(yàn)證信息，確保應(yīng)用可以安全、快速地訪問(wèn)，為用戶提供他們想要的無(wú)縫體驗(yàn)。因此，如果網(wǎng)絡(luò)能最大限度地減少所需登錄次數(shù)，同時(shí)降低應(yīng)用請(qǐng)求的延遲，將有助于使您的互聯(lián)網(wǎng)體驗(yàn)快速、靈敏。

Cloudflare Access實(shí)現(xiàn)以上這一切的速度比Netskope快75%，比Zscaler快50%，確保無(wú)論用戶在世界任何地方，都能獲得快速、安全的應(yīng)用體驗(yàn)：

在全球300個(gè)不同地點(diǎn)，我們測(cè)量了Cloudflare、Zscaler和Netskope產(chǎn)品連接到位于香港、多倫多、約翰內(nèi)斯堡、圣保羅、鳳凰城和瑞士的6個(gè)不同應(yīng)用服務(wù)器的訪問(wèn)速度。在上述每個(gè)地點(diǎn)，Cloudflare的P95（第95個(gè)百分位）響應(yīng)時(shí)間都比Zscaler和Netskope更快。我們看一下應(yīng)用托管于多倫多時(shí)的數(shù)據(jù)。鑒于處于高度互連的北美地區(qū)，Zscaler和Netskope應(yīng)該表現(xiàn)良好。

Cloudflare在具有更多連接選項(xiàng)的地區(qū)（例如南美和亞太）表現(xiàn)尤其突出，Zscaler與Netskope之間的差距沒(méi)有與Cloudflare之間那么明顯。

對(duì)于在南美本地托管的應(yīng)用服務(wù)器，Cloudflare表現(xiàn)突出：

Cloudflare的網(wǎng)絡(luò)在這里大放異彩，允許我們?cè)诳拷脩舻牡胤轿樟髁?。查看在南美的連接時(shí)間可以看到這一點(diǎn)。

Cloudflare的網(wǎng)絡(luò)在這里與眾不同，是因?yàn)槲覀兡軌蜃層脩舾斓剡M(jìn)入我們的網(wǎng)絡(luò)，并在全球范圍內(nèi)找到返回應(yīng)用主機(jī)的最佳路徑。由于這一超級(jí)能力，我們的速度兩倍于Zscaler，三倍于Netskope。所有不同的測(cè)試中，Cloudflare的連接時(shí)間在全部300個(gè)測(cè)試節(jié)點(diǎn)上都始終顯示為更快。

在我們另一篇文章中，當(dāng)就應(yīng)用訪問(wèn)場(chǎng)景評(píng)估Cloudflare和Zscaler時(shí)，我們考慮兩個(gè)需要單獨(dú)測(cè)量的不同場(chǎng)景。第一個(gè)場(chǎng)景是：用戶登錄到應(yīng)用時(shí)必須進(jìn)行身份驗(yàn)證。在這種情況下，Zero Trust Access服務(wù)將用戶引導(dǎo)到登錄頁(yè)面，進(jìn)行身份驗(yàn)證，然后重定向到他們的應(yīng)用。

這被稱為“新會(huì)話”，因?yàn)锳ccess網(wǎng)絡(luò)上沒(méi)有緩存或存在任何身份驗(yàn)證信息。第二種場(chǎng)景是現(xiàn)有會(huì)話，此時(shí)用戶已經(jīng)通過(guò)身份驗(yàn)證，可以緩存身份驗(yàn)證信息。這種場(chǎng)景通常要快得多，因?yàn)樗恍枰~外調(diào)用身份提供商即可完成。

我們希望分別測(cè)量這些場(chǎng)景，因?yàn)楫?dāng)我們查看第95個(gè)百分位值時(shí)，如果將新會(huì)話和現(xiàn)有會(huì)話合并起來(lái)，幾乎總是看到新會(huì)話。但在兩個(gè)場(chǎng)景中，Cloudflare在每一個(gè)地區(qū)都始終更快。讓我們回過(guò)頭來(lái)看看一個(gè)托管于多倫多的應(yīng)用，通過(guò)我們連接的用戶無(wú)論新建會(huì)話還是現(xiàn)有會(huì)話，連接速度都比Zscaler和Netskope快。

可以看到，新會(huì)話通常慢于預(yù)計(jì)，但Cloudflare的網(wǎng)絡(luò)和優(yōu)化的軟件堆棧提供了一貫快速的用戶體驗(yàn)。在端到端連接可能更具挑戰(zhàn)性的場(chǎng)景中，Cloudflare表現(xiàn)甚至更加突出。讓我們看一下亞洲用戶連接到位于香港的應(yīng)用。

這里尤其引人注目的一點(diǎn)是，Cloudflare網(wǎng)絡(luò)性能遙遙領(lǐng)先，而Zscaler的性能表現(xiàn)更接近Netskope而非Cloudflare。Netskope在新會(huì)話上的表現(xiàn)也很差，這表明當(dāng)用戶建立新會(huì)話時(shí)，Netskope服務(wù)反應(yīng)欠佳。

我們希望將這些新會(huì)話和現(xiàn)有會(huì)話分開，因?yàn)椴榭聪嗨频恼?qǐng)求路徑以進(jìn)行適當(dāng)?shù)谋容^非常重要。例如，如果我們比較一個(gè)現(xiàn)有會(huì)話上通過(guò)Zscaler的請(qǐng)求和一個(gè)新會(huì)話上通過(guò)Cloudflare的請(qǐng)求，我們會(huì)看到Cloudflare比Zscaler慢得多，因?yàn)樾枰M(jìn)行身份驗(yàn)證。所以當(dāng)我們與第三方簽約設(shè)計(jì)這些測(cè)試時(shí)，我們確保他們考慮到這一點(diǎn)。

對(duì)于這些測(cè)試，Cloudflare配置了托管于多倫多、洛杉磯、圣保羅、約翰內(nèi)斯堡和香港的5個(gè)應(yīng)用實(shí)例。隨后，Cloudflare使用來(lái)自全球的300個(gè)不同Catchpoint節(jié)點(diǎn)來(lái)模擬瀏覽器登錄，如下所示：

·用戶從一個(gè)由Catchpoint實(shí)例模擬的瀏覽器連接到應(yīng)用——新會(huì)話

·用戶通過(guò)其身份提供商進(jìn)行身份驗(yàn)證

·用戶訪問(wèn)資源

·用戶刷新瀏覽器頁(yè)面，并嘗試訪問(wèn)相同的資源，但憑據(jù)已經(jīng)存在——現(xiàn)有會(huì)話

這讓我們可以比較Cloudflare與另外兩個(gè)產(chǎn)品在新會(huì)話和現(xiàn)有會(huì)話兩種情況下的應(yīng)用性能，結(jié)果證明了我們速度更快。如前所述，這在很大程度上要?dú)w功于我們的網(wǎng)絡(luò)，以及我們?nèi)绾谓咏脩?。下面，我們要談一下我們與其他大型網(wǎng)絡(luò)的比較，以及我們?nèi)绾谓咏脩簟?/p>

網(wǎng)絡(luò)效應(yīng)使用戶體驗(yàn)更好

更接近用戶縮短最后一公里往返時(shí)間（RTT）。正如在訪問(wèn)比較中所談到那樣，低RTT可以提高客戶性能，因?yàn)樾聲?huì)話和現(xiàn)有會(huì)話不需要長(zhǎng)距離傳輸就可以到達(dá)Cloudflare的Zero Trust網(wǎng)絡(luò)。嵌入這些最后一公里網(wǎng)絡(luò)中有助于我們更接近用戶，這不僅有助于提升Zero Trust性能，也有助于Web性能和開發(fā)人員性能，正如我們?cè)谥暗牟┛臀恼轮兴懻摰哪菢印?/p>

為量化網(wǎng)絡(luò)性能，我們必須從世界各地的各種不同網(wǎng)絡(luò)獲取足夠的數(shù)據(jù)，以便將我們自己與其他提供商進(jìn)行比較。我們使用Real User Measurements（RUM）來(lái)從幾家不同的提供商提取一個(gè)100 kb的文件。世界各地的用戶會(huì)報(bào)告不同提供商的性能。報(bào)告數(shù)據(jù)的用戶越多，信號(hào)的保真度就越高。目標(biāo)是準(zhǔn)確地反映出在哪些網(wǎng)絡(luò)中其他提供商的速度更快；更重要的是，Cloudflare在哪些地區(qū)還可以改進(jìn)。如果需要進(jìn)一步了解該方法論，請(qǐng)?jiān)谶@里中閱讀最初的Speed Week 2021博客文章。

我們不斷經(jīng)歷一個(gè)過(guò)程：，然后加以改善。我們所面臨的挑戰(zhàn)是每個(gè)網(wǎng)絡(luò)所特有的，并且突出了互聯(lián)網(wǎng)上普遍存在的各種不同問(wèn)題。我們將概述為提高用戶性能所做的一些努力。

但在此之前，我們先介紹一下自Developer Week 2022（即上一次展示這些數(shù)據(jù)）以來(lái)的努力成果。在全球最主要的3000個(gè)網(wǎng)絡(luò)（按廣播的IPv4地址數(shù)量排序）中，下面詳細(xì)列出了每個(gè)提供商在P95 TCP連接時(shí)間（表示給定網(wǎng)絡(luò)上的用戶連接到該提供商所用時(shí)間）方面排名第一的網(wǎng)絡(luò)數(shù)量。

如下是截至Security Week 2023的數(shù)據(jù)：

圖中可見(jiàn)，Cloudflare已經(jīng)在更多網(wǎng)絡(luò)中擴(kuò)大了領(lǐng)先優(yōu)勢(shì)，而之前更快的其他網(wǎng)絡(luò)，例如Akamai和Fastly，則失去了領(lǐng)先優(yōu)勢(shì)。這轉(zhuǎn)化為我們?cè)谑澜绲貓D上看到的效果。這是Developer Week 2022時(shí)的世界地圖：

這是此時(shí)此刻當(dāng)下的世界地圖：

如圖可見(jiàn)，Cloudflare在巴西，包括南非、埃塞俄比亞和尼日利亞在內(nèi)的許多非洲國(guó)家，亞洲的印度尼西亞，以及歐洲的挪威、瑞典和英國(guó)變得更快。

這些國(guó)家中，很多都受益于我們?cè)贗mpact Week博客文章中所討論的Edge Partner Program（邊緣合作伙伴計(jì)劃）。簡(jiǎn)單回顧：邊緣合作伙伴計(jì)劃鼓勵(lì)最后一公里ISP與Cloudflare合作，部署嵌入到最后一公里ISP的Cloudflare位置。這改善了最后一公里的RTT，并提高了Access等產(chǎn)品的性能。自從我們上次向您展示這張地圖以來(lái)，Cloudflare已經(jīng)在尼日利亞和沙特阿拉伯等地部署了更多合作地點(diǎn)，這為用戶改善了在所有場(chǎng)景下的性能。像邊緣合作伙伴計(jì)劃這樣的努力不僅有助于改善我們上面描述的Zero Trust場(chǎng)景，還有助于改善最終用戶在受Cloudflare保護(hù)網(wǎng)站上的整體網(wǎng)頁(yè)瀏覽體驗(yàn)。

世界上領(lǐng)先的新一代技術(shù)-Zero Trust

在非Zero Trust的世界里，您和您的IT團(tuán)隊(duì)就是網(wǎng)絡(luò)運(yùn)營(yíng)者——這賦予您控制性能的能力。雖然這種控制令人安心，但對(duì)于必須管理辦公室和資源之間中間一公里連接的IT團(tuán)隊(duì)而言，這也是一個(gè)巨大的負(fù)擔(dān)。而在Zero Trust世界中，您的網(wǎng)絡(luò)也就是公共互聯(lián)網(wǎng)。這意味著您的團(tuán)隊(duì)要做的工作減少了，但Zero Trust提供商要承擔(dān)大得多的責(zé)任，它必須為您的每一個(gè)用戶管理性能。Zero Trust提供商在提高端到端性能方面做得越好，用戶的體驗(yàn)就會(huì)越好，您面臨的風(fēng)險(xiǎn)也就越小。對(duì)于像身份驗(yàn)證和安全Web網(wǎng)關(guān)這樣的實(shí)時(shí)應(yīng)用，擁有快速的用戶體驗(yàn)是至關(guān)重要的。

Zero Trust提供商不僅需要在公共互聯(lián)網(wǎng)上保護(hù)您的用戶，還需要優(yōu)化公共互聯(lián)網(wǎng)，以確保您的用戶持續(xù)受到保護(hù)。轉(zhuǎn)向Zero Trust不僅減少了對(duì)企業(yè)網(wǎng)絡(luò)的需求，還允許用戶流量更自然地流向資源。但是，考慮到Zero Trust提供商將成為所有用戶和所有應(yīng)用的守門人，性能是需要評(píng)估的一個(gè)關(guān)鍵方面，以便為用戶減少摩擦，降低用戶抱怨、效率下降或關(guān)閉解決方案的可能性。通過(guò)Edge Partner Program這樣的計(jì)劃，并持續(xù)改善我們的對(duì)等連接和互連，Cloudflare正在不斷改進(jìn)我們的網(wǎng)絡(luò)，以確保用戶始終擁有最佳的體驗(yàn)。正是這種孜孜不倦的努力，使我們成為最快的Zero Trust提供商。