通過網絡現(xiàn)代化兌現(xiàn)單一供應商SASE解決方案的承諾

隨著越來越多的企業(yè)及組織共同著力開始采用SASE架構，傳統(tǒng)的SASE市場定義（SSE+SD-WAN）顯然已并不足夠。這迫使一些團隊與多家供應商合作以滿足其特定需求，導致了在性能和安全之間不得不有所折衷。更令人擔憂的是，這使得團隊將更多注意力集中在服務清單上，而不是供應商的底層架構。如果企業(yè)及組織最終通過碎片化、有缺陷的網絡發(fā)送流量，即使是最先進的個別安全服務或流量入口也無濟于事。

單一供應商SASE是一個關鍵趨勢，將不同的安全和網絡技術融合在一起，企業(yè)的“任意對任意連接”需要真正的網絡現(xiàn)代化，才能使SASE適用于所有團隊。過去幾年來，Cloudflare已經推出了一系列功能來幫助企業(yè)及組織在推進SASE用例的短期和長期路線圖過程中實現(xiàn)網絡現(xiàn)代化。Cloudflare有效幫助簡化了SASE架構的實施，無論哪一個團隊負責領導計劃。

隆重宣布：可更加靈活地部署及管控的單一供應商SASE解決方案

我們的SASE平臺——Cloudflare One——隆重推出一系列更新，進一步實現(xiàn)了單一供應商SASE架構的承諾。通過這些新的能力，Cloudflare使SASE網絡對安全團隊更靈活和更易用，對傳統(tǒng)網絡團隊更高效，并在更大的SASE連接相關討論中將覆蓋延伸至支持不足的DevOps團隊。

有關平臺更新包括：

-適用于站點對站點連接的靈活入口，實現(xiàn)基于代理（agent/proxy）和基于設備/路由的實施，同時為安全和網絡團隊簡化SASE網絡。

-全新的WAN即服務（WANaaS）能力，例如高可用性、應用程序感知、虛擬機部署選項以及增強的可見性和分析，通過“輕分支重云”方式提高運營效率，同時降低網絡成本。

-適用于DevOps的Zero Trust連接：網狀和點對點（P2P）安全聯(lián)網能力，擴展ZTNA以支持服務到服務的工作流程和雙向流量。

Cloudflare提供廣泛的SASE入口和出口，包括用于廣域網、應用程序、服務、系統(tǒng)、設備或任何其他內部網絡資源的連接器，以便更輕松地將流量路由到Cloudflare服務，反之亦然。這有助于組織根據(jù)現(xiàn)有環(huán)境、技術熟悉程度和工作角色來與最適配的連接范式保持一致。

本文側重于這些技術對以不同方式接入SASE網絡的客戶所產生的主要影響。

對安全團隊更靈活、更易用

實施SASE架構的過程可能挑戰(zhàn)企業(yè)及組織的內部職責分工和IT、安全及網絡之間協(xié)作的現(xiàn)狀。不同團隊負責各種安全或網絡技術，其更換周期不一定一致，這可能會降低企業(yè)及組織決定支持特定項目的意愿。

安全或IT從業(yè)人員需要能夠保護資源，無論其位于何處。有時，一個小小的連接變化會幫助他們更有效地保護特定資源，但這項任務超出了他們的控制范圍。安全團隊不希望在工作中依賴網絡團隊，但他們也不希望現(xiàn)有網絡基礎設施導致下游問題。例如，他們需要以一種更簡便的方式來連接子網，而不會感到被官僚主義拖后腿。

基于代理的站點對站點連接

為了幫助克服傳統(tǒng)孤島所帶來的挑戰(zhàn)，Cloudflare提供了基于代理和基于設備/路由的實現(xiàn)，用于站點到站點或子網到子網的連接。網絡團隊可以通過我們基于設備/路由的WANaaS追求他們熟悉的傳統(tǒng)網絡概念——現(xiàn)代架構vs傳統(tǒng)SD-WAN。與此同時，安全/IT團隊可以通過基于代理的軟件連接器（例如WARP Connector）實現(xiàn)連接，這種方法可能更易于實施。這種基于代理的方法模糊了分支連接器和應用連接器行業(yè)常態(tài)之間的界限，使WAN和ZTNA技術更緊密地聯(lián)系在一起，以幫助實現(xiàn)任何地方的最低特權訪問。

基于代理（agent/proxy）的連接可能適合于企業(yè)及組織總體網絡連接的一個子集。這些軟件驅動的站點到站點用例可包括沒有路由器或防火墻的微型站點，或者可能是團隊無法配置IPsec或GRE隧道的情況（例如在受到嚴格監(jiān)管的網絡或Kubernetes等云環(huán)境中）。企業(yè)及組織可以混合和匹配流量入口以滿足其需求；所有選項都均可組合和并行使用。

我們基于代理的站點到站點連接方法使用的底層技術與幫助安全團隊完全替代VPN的相同，支持適用于應用程序的ZTNA，具有服務器發(fā)起流量或雙向流量。其中包括的服務例如互聯(lián)網協(xié)議語音（VoIP）和會話初始協(xié)議（SIP）流量，Microsoft系統(tǒng)中心配置管理器（SCCM），活動目錄（AD）域復制，以及下文將詳細介紹的DevOps工作流程。

圖中展示Cloudflare的軟件連接器（入口）同時連接總部、分支機構、數(shù)據(jù)中心、公共云和遠程用戶。

對網絡團隊更高效

同時，對于基于網絡層設備/路由的實現(xiàn)更傾向于站點到站點連接的網絡團隊而言，行業(yè)常態(tài)依然在安全性、性能、成本和可靠性之間強加了太多的折衷。許多大型企業(yè)仍然依賴于諸如MPLS的傳統(tǒng)專用連接形式。MPLS通常被認為昂貴且缺乏靈活性，但它非?？煽?，并且具有諸如服務質量（QoS）的功能用于帶寬管理。

商品互聯(lián)網連接在大多數(shù)有人居住的地區(qū)都是廣泛可用的，但存在一系列挑戰(zhàn)，導致并不能完全取代MPLS。在許多國家，高速互聯(lián)網又快又便宜，但并非普遍如此。速度和成本取決于當?shù)氐幕A設施和地區(qū)服務提供商的市場?？偟膩碚f，寬帶互聯(lián)網也不像MPLS那樣可靠。中斷和降速并不罕見，客戶對中斷服務的頻率和持續(xù)時間有不同程度的容忍度。對企業(yè)而言，中斷和降速是不可容忍的。網絡服務中斷意味著業(yè)務損失、客戶不滿、生產力下降、員工沮喪。因此，盡管大量企業(yè)流量已經轉移到互聯(lián)網，但許多企業(yè)及組織依然難以放棄MPLS。

SD-WAN引入了MPLS替代方案，不受傳輸技術限制，可以提高網絡穩(wěn)定性，優(yōu)于僅僅依靠傳統(tǒng)寬帶。然而，它也引入了新的拓撲和安全挑戰(zhàn)。例如，如果在分支之間繞過檢查，許多SD-WAN實現(xiàn)可能增加風險。它還具有特定于實施的挑戰(zhàn)，例如如何解決中間連接基礎設施的擴展和使用/控制（或者更準確的說，是缺乏可控性）。因此，對于許多企業(yè)及組織來說，完全轉用互聯(lián)網連接并淘汰MPLS的承諾仍未兌現(xiàn)。這些問題在方案采購時對一些客戶而言并不是很明顯，需要持續(xù)的市場教育。

企業(yè)WAN的演變

Cloudflare Magic WAN遵循一種不同的范式，在Cloudflare的全球連通云中從頭構建；它采用“輕分支重云”的方式來增強并最終取代現(xiàn)有的網絡架構，包括MPLS線路和SD-WAN覆蓋層。雖然Magic WAN具有類似于傳統(tǒng)SD-WAN的云原生路由和配置控制，但它更易于部署、管理和使用。它可以根據(jù)不斷變化的業(yè)務需求進行擴展，并內置安全性。像Solocal這樣的客戶認為，這種架構的好處在于最終有效降低了他們的總擁有成本：

“Cloudflare的Magic WAN Connector以直觀的方式提供了對網絡和安全基礎設施的集中化和自動化管理。作為Cloudflare的SASE平臺的一部分，它提供了一個基于市場標準和最佳實踐打造的一致且同構的單一供應商架構。確保對所有數(shù)據(jù)流的控制，并減少違規(guī)或安全漏洞風險。對Solocal而言，這顯然可以為我們提供顯著的節(jié)省，將獲取、安裝、維護和升級分支網絡設備的所有相關成本降低多達40％。這是一個高潛力的連接解決方案，支持我們的IT團隊實施我們的網絡現(xiàn)代化?！?/p>

–Maxime Lacour，網絡運營經理Solocal

這完全不同于其他單一供應商SASE服務商的方法，后者一直試圖解決通過收購獲得的單點解決方案之間的沖突，因為它們是基于截然不同的設計理念而構建的。這些“拼湊起來”的解決方案會導致不統(tǒng)一的體驗，因為它們的架構支離破碎，類似于企業(yè)及組織在管理多個獨立供應商時可能看到的情況。通過構建了統(tǒng)一集成解決方案的供應商來整合SASE的組件，而非將不同的網絡和安全解決方案拼湊在一起，從而降低復雜性、避免繞過安全控制和潛在的集成或連接挑戰(zhàn)，最終大幅簡化部署和管理。

Magic WAN可以通過我們的Connector設備自動建立到Cloudflare的IPsec隧道，也可以通過客戶邊緣路由器或防火墻上手動啟動的Anycast IPsec或GRE隧道，或者通過在私有對等連接位置或公共云實例上的Cloudflare網絡互連（CNI）。它超越了SSE所提出的“集成”，真正融合了安全和網絡功能，幫助企業(yè)及組織更高效地實現(xiàn)網絡現(xiàn)代化。

圖中顯示Cloudflare Magic WAN將分支辦公室、數(shù)據(jù)中心和VPC連接到Cloudflare全球網絡上的安全服務。

Magic WAN Connector新功能

在2023年10月，我們宣布Magic WAN Connector普遍可用，這是一種輕量級設備，供客戶置入其現(xiàn)有網絡環(huán)境，實現(xiàn)與Cloudflare One的“零接觸”連接，最終用于替換其他網絡硬件，例如傳統(tǒng)SD-WAN設備、路由器和防火墻。

Magic WAN Connector的新功能，包括：

-適用于關鍵環(huán)境的高可用性（HA）配置：在企業(yè)部署中，組織通常希望支持高可用性，以減輕硬件故障的風險。高可用性使用一對Magic WAN Connector（作為虛擬機或在支持的硬件設備上運行），兩者相互配合，以便在一個設備發(fā)生故障時無縫恢復運行?？蛻艨梢韵窆芾鞰agic WAN Connector的所有其他方面一樣，從統(tǒng)一的Cloudflare One儀表板管理HA配置。

-應用程序感知：SD-WAN與更傳統(tǒng)的網絡設備相比一個核心區(qū)別特性是，除了網絡層屬性如IP和端口范圍外，還能夠創(chuàng)建基于知名應用程序的流量策略。應用程序感知策略提供了更容易管理和更精細化的流量流動控制。Cloudflare的應用程序感知實現(xiàn)利用了我們全球網絡的情報，使用已經在安全工具中共享的相同分類，因此IT和安全團隊可以期望在路由和檢查決策上獲得一致的行為，這是雙供應商或拼湊在一起的SASE解決方案所不具備的能力。

-虛擬機部署選項:Magic WAN Connector現(xiàn)在可作為虛擬設備軟件映像進行下載，可立即部署在任何支持的虛擬化平臺/虛擬機監(jiān)控程序上。虛擬Magic WAN Connector具有與硬件設備相同的超低接觸部署模型和集中式設備管理體驗，并向所有Magic WAN用戶免費提供。

-增強的可見性和分析：Magic WAN Connector具有針對關鍵指標的增強可見性，例如連接狀態(tài)、CPU利用率、內存消耗和設備溫度。這些分析數(shù)據(jù)可以通過儀表板和API獲得，以便運維團隊將數(shù)據(jù)集成到其網絡運營中心。

將SASE覆蓋范圍擴展到DevOps

復雜的持續(xù)集成和持續(xù)交付（CI/CD）流水線交互因其敏捷性而聞名，因此支持這些工作流程的連接和安全性應該相匹配。DevOps團隊過度依賴于傳統(tǒng)VPN來實現(xiàn)對各種開發(fā)和運營工具的遠程訪問。VPN管理繁瑣，易受已知或零日漏洞利用攻擊，采用傳統(tǒng)軸幅式連接模型，對于現(xiàn)代工作流程來說速度太慢。

在所有員工群體中，開發(fā)人員特別擅長找到創(chuàng)造性的解決方案，以減少他們日常工作流程中的摩擦，因此所有企業(yè)安全措施僅需“能夠工作”，不要妨礙到他們。理想情況下，無論使用什么組件和工具，無論位于何處，構建、模擬和生產環(huán)境中的所有用戶和服務器都應通過集中的、Zero Trust訪問控制進行編排。應該容許臨時的策略改變，以及適用于承包商或甚至生產服務器事件緊急響應人員的臨時Zero Trust訪問。

適用于DevOps的Zero Trust連接

ZTNA作為安全的最低特權用戶-應用程序訪問的行業(yè)范式表現(xiàn)良好，但它應該進一步擴展以保護涉及服務器發(fā)起或雙向流量的網絡用例。這遵循了一種新興趨勢，即構想一種跨云、VPC或網絡分段的覆蓋式網狀連接模型，無需依賴路由器。對于真正的任意對任意連接，客戶需要涵蓋其所有網絡連接和應用程序訪問用例的靈活性，并非每個SASE供應商的網絡入口都能在不需要網絡路由更改或做出安全折衷的情況下擴展到客戶端發(fā)起的流量之外，因此通用的“任意對任意連接”聲明可能并非最初看起來的那樣。

圖中顯示Cloudflare的軟件連接器（入口）保護著涉及開發(fā)人員和服務器之間雙向流量的DevOps工作流程。

Cloudflare擴展了ZTNA的覆蓋范圍，以確保涵蓋所有用戶到應用程序的使用情況，同時提供網狀和P2P安全網絡，使連接選項盡可能廣泛和靈活。DevOps服務到服務的工作流程可以在實現(xiàn)ZTNA、VPN替代或企業(yè)級SASE的同一平臺上高效運行。Cloudflare充當連接“膠水”，覆蓋所有DevOps用戶和資源，無論在每一步中流量如何流動。同樣的技術，即WARP Connector，使管理員能夠管理具有重疊IP范圍的不同專用網絡——VPC和RFC1918，支持服務器發(fā)起的流量和P2P應用（例如SCCM、AD、VoIP和SIP流量）通過現(xiàn)有專用網絡進行連接，構建P2P專用網絡（例如CI/CD資源流動），并確定性地路由流量。企業(yè)及組織還可以使用Cloudflare的Terraform程序自動管理其SASE平臺。

Cloudflare的不同之處

Cloudflare的單一供應商SASE平臺——Cloudflare One在我們的全球連通云（公共云的進階演進）上構建，提供一個統(tǒng)一、智能的可編程、可組合服務平臺，實現(xiàn)所有網絡（企業(yè)和互聯(lián)網）、云、應用程序和用戶之間的連接。Cloudflare的全球連通云具備足夠的靈活性，使得“任意對任意連接”對于實施SASE架構的企業(yè)及組織而言更具可行性，容納部署偏好并提供規(guī)范指導。Cloudflare旨在通過單一供應商SASE解決方案及更多功能來為企業(yè)及組織提供重新掌控IT所需的廣度和深度，同時為這個過程中做出貢獻的每一個團隊簡化工作流程。

而其他SASE供應商將其數(shù)據(jù)中心設計成向互聯(lián)網發(fā)送流量。這種方案并非設計用于處理或保護“東西向”流量，對于分支機構到總部或分支機構之間的流量，既不提供中間網絡連接，也不提供安全服務。Cloudflare的中間全球骨干網絡支持適用于任意到任意連接的安全和網絡服務，無論用戶是在本地還是遠程，無論應用程序是在數(shù)據(jù)中心還是在云中。