通過(guò)網(wǎng)絡(luò)現(xiàn)代化兌現(xiàn)單一供應(yīng)商SASE解決方案的承諾

隨著越來(lái)越多的企業(yè)及組織共同著力開始采用SASE架構(gòu)，傳統(tǒng)的SASE市場(chǎng)定義（SSE+SD-WAN）顯然已并不足夠。這迫使一些團(tuán)隊(duì)與多家供應(yīng)商合作以滿足其特定需求，導(dǎo)致了在性能和安全之間不得不有所折衷。更令人擔(dān)憂的是，這使得團(tuán)隊(duì)將更多注意力集中在服務(wù)清單上，而不是供應(yīng)商的底層架構(gòu)。如果企業(yè)及組織最終通過(guò)碎片化、有缺陷的網(wǎng)絡(luò)發(fā)送流量，即使是最先進(jìn)的個(gè)別安全服務(wù)或流量入口也無(wú)濟(jì)于事。

單一供應(yīng)商SASE是一個(gè)關(guān)鍵趨勢(shì)，將不同的安全和網(wǎng)絡(luò)技術(shù)融合在一起，企業(yè)的“任意對(duì)任意連接”需要真正的網(wǎng)絡(luò)現(xiàn)代化，才能使SASE適用于所有團(tuán)隊(duì)。過(guò)去幾年來(lái)，Cloudflare已經(jīng)推出了一系列功能來(lái)幫助企業(yè)及組織在推進(jìn)SASE用例的短期和長(zhǎng)期路線圖過(guò)程中實(shí)現(xiàn)網(wǎng)絡(luò)現(xiàn)代化。Cloudflare有效幫助簡(jiǎn)化了SASE架構(gòu)的實(shí)施，無(wú)論哪一個(gè)團(tuán)隊(duì)負(fù)責(zé)領(lǐng)導(dǎo)計(jì)劃。

隆重宣布：可更加靈活地部署及管控的單一供應(yīng)商SASE解決方案

我們的SASE平臺(tái)——Cloudflare One——隆重推出一系列更新，進(jìn)一步實(shí)現(xiàn)了單一供應(yīng)商SASE架構(gòu)的承諾。通過(guò)這些新的能力，Cloudflare使SASE網(wǎng)絡(luò)對(duì)安全團(tuán)隊(duì)更靈活和更易用，對(duì)傳統(tǒng)網(wǎng)絡(luò)團(tuán)隊(duì)更高效，并在更大的SASE連接相關(guān)討論中將覆蓋延伸至支持不足的DevOps團(tuán)隊(duì)。

有關(guān)平臺(tái)更新包括：

-適用于站點(diǎn)對(duì)站點(diǎn)連接的靈活入口，實(shí)現(xiàn)基于代理（agent/proxy）和基于設(shè)備/路由的實(shí)施，同時(shí)為安全和網(wǎng)絡(luò)團(tuán)隊(duì)簡(jiǎn)化SASE網(wǎng)絡(luò)。

-全新的WAN即服務(wù)（WANaaS）能力，例如高可用性、應(yīng)用程序感知、虛擬機(jī)部署選項(xiàng)以及增強(qiáng)的可見性和分析，通過(guò)“輕分支重云”方式提高運(yùn)營(yíng)效率，同時(shí)降低網(wǎng)絡(luò)成本。

-適用于DevOps的Zero Trust連接：網(wǎng)狀和點(diǎn)對(duì)點(diǎn)（P2P）安全聯(lián)網(wǎng)能力，擴(kuò)展ZTNA以支持服務(wù)到服務(wù)的工作流程和雙向流量。

Cloudflare提供廣泛的SASE入口和出口，包括用于廣域網(wǎng)、應(yīng)用程序、服務(wù)、系統(tǒng)、設(shè)備或任何其他內(nèi)部網(wǎng)絡(luò)資源的連接器，以便更輕松地將流量路由到Cloudflare服務(wù)，反之亦然。這有助于組織根據(jù)現(xiàn)有環(huán)境、技術(shù)熟悉程度和工作角色來(lái)與最適配的連接范式保持一致。

本文側(cè)重于這些技術(shù)對(duì)以不同方式接入SASE網(wǎng)絡(luò)的客戶所產(chǎn)生的主要影響。

對(duì)安全團(tuán)隊(duì)更靈活、更易用

實(shí)施SASE架構(gòu)的過(guò)程可能挑戰(zhàn)企業(yè)及組織的內(nèi)部職責(zé)分工和IT、安全及網(wǎng)絡(luò)之間協(xié)作的現(xiàn)狀。不同團(tuán)隊(duì)負(fù)責(zé)各種安全或網(wǎng)絡(luò)技術(shù)，其更換周期不一定一致，這可能會(huì)降低企業(yè)及組織決定支持特定項(xiàng)目的意愿。

安全或IT從業(yè)人員需要能夠保護(hù)資源，無(wú)論其位于何處。有時(shí)，一個(gè)小小的連接變化會(huì)幫助他們更有效地保護(hù)特定資源，但這項(xiàng)任務(wù)超出了他們的控制范圍。安全團(tuán)隊(duì)不希望在工作中依賴網(wǎng)絡(luò)團(tuán)隊(duì)，但他們也不希望現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施導(dǎo)致下游問(wèn)題。例如，他們需要以一種更簡(jiǎn)便的方式來(lái)連接子網(wǎng)，而不會(huì)感到被官僚主義拖后腿。

基于代理的站點(diǎn)對(duì)站點(diǎn)連接

為了幫助克服傳統(tǒng)孤島所帶來(lái)的挑戰(zhàn)，Cloudflare提供了基于代理和基于設(shè)備/路由的實(shí)現(xiàn)，用于站點(diǎn)到站點(diǎn)或子網(wǎng)到子網(wǎng)的連接。網(wǎng)絡(luò)團(tuán)隊(duì)可以通過(guò)我們基于設(shè)備/路由的WANaaS追求他們熟悉的傳統(tǒng)網(wǎng)絡(luò)概念——現(xiàn)代架構(gòu)vs傳統(tǒng)SD-WAN。與此同時(shí)，安全/IT團(tuán)隊(duì)可以通過(guò)基于代理的軟件連接器（例如WARP Connector）實(shí)現(xiàn)連接，這種方法可能更易于實(shí)施。這種基于代理的方法模糊了分支連接器和應(yīng)用連接器行業(yè)常態(tài)之間的界限，使WAN和ZTNA技術(shù)更緊密地聯(lián)系在一起，以幫助實(shí)現(xiàn)任何地方的最低特權(quán)訪問(wèn)。

基于代理（agent/proxy）的連接可能適合于企業(yè)及組織總體網(wǎng)絡(luò)連接的一個(gè)子集。這些軟件驅(qū)動(dòng)的站點(diǎn)到站點(diǎn)用例可包括沒有路由器或防火墻的微型站點(diǎn)，或者可能是團(tuán)隊(duì)無(wú)法配置IPsec或GRE隧道的情況（例如在受到嚴(yán)格監(jiān)管的網(wǎng)絡(luò)或Kubernetes等云環(huán)境中）。企業(yè)及組織可以混合和匹配流量入口以滿足其需求；所有選項(xiàng)都均可組合和并行使用。

我們基于代理的站點(diǎn)到站點(diǎn)連接方法使用的底層技術(shù)與幫助安全團(tuán)隊(duì)完全替代VPN的相同，支持適用于應(yīng)用程序的ZTNA，具有服務(wù)器發(fā)起流量或雙向流量。其中包括的服務(wù)例如互聯(lián)網(wǎng)協(xié)議語(yǔ)音（VoIP）和會(huì)話初始協(xié)議（SIP）流量，Microsoft系統(tǒng)中心配置管理器（SCCM），活動(dòng)目錄（AD）域復(fù)制，以及下文將詳細(xì)介紹的DevOps工作流程。

圖中展示Cloudflare的軟件連接器（入口）同時(shí)連接總部、分支機(jī)構(gòu)、數(shù)據(jù)中心、公共云和遠(yuǎn)程用戶。

對(duì)網(wǎng)絡(luò)團(tuán)隊(duì)更高效

同時(shí)，對(duì)于基于網(wǎng)絡(luò)層設(shè)備/路由的實(shí)現(xiàn)更傾向于站點(diǎn)到站點(diǎn)連接的網(wǎng)絡(luò)團(tuán)隊(duì)而言，行業(yè)常態(tài)依然在安全性、性能、成本和可靠性之間強(qiáng)加了太多的折衷。許多大型企業(yè)仍然依賴于諸如MPLS的傳統(tǒng)專用連接形式。MPLS通常被認(rèn)為昂貴且缺乏靈活性，但它非?？煽?，并且具有諸如服務(wù)質(zhì)量（QoS）的功能用于帶寬管理。

商品互聯(lián)網(wǎng)連接在大多數(shù)有人居住的地區(qū)都是廣泛可用的，但存在一系列挑戰(zhàn)，導(dǎo)致并不能完全取代MPLS。在許多國(guó)家，高速互聯(lián)網(wǎng)又快又便宜，但并非普遍如此。速度和成本取決于當(dāng)?shù)氐幕A(chǔ)設(shè)施和地區(qū)服務(wù)提供商的市場(chǎng)?？偟膩?lái)說(shuō)，寬帶互聯(lián)網(wǎng)也不像MPLS那樣可靠。中斷和降速并不罕見，客戶對(duì)中斷服務(wù)的頻率和持續(xù)時(shí)間有不同程度的容忍度。對(duì)企業(yè)而言，中斷和降速是不可容忍的。網(wǎng)絡(luò)服務(wù)中斷意味著業(yè)務(wù)損失、客戶不滿、生產(chǎn)力下降、員工沮喪。因此，盡管大量企業(yè)流量已經(jīng)轉(zhuǎn)移到互聯(lián)網(wǎng)，但許多企業(yè)及組織依然難以放棄MPLS。

SD-WAN引入了MPLS替代方案，不受傳輸技術(shù)限制，可以提高網(wǎng)絡(luò)穩(wěn)定性，優(yōu)于僅僅依靠傳統(tǒng)寬帶。然而，它也引入了新的拓?fù)浜桶踩魬?zhàn)。例如，如果在分支之間繞過(guò)檢查，許多SD-WAN實(shí)現(xiàn)可能增加風(fēng)險(xiǎn)。它還具有特定于實(shí)施的挑戰(zhàn)，例如如何解決中間連接基礎(chǔ)設(shè)施的擴(kuò)展和使用/控制（或者更準(zhǔn)確的說(shuō)，是缺乏可控性）。因此，對(duì)于許多企業(yè)及組織來(lái)說(shuō)，完全轉(zhuǎn)用互聯(lián)網(wǎng)連接并淘汰MPLS的承諾仍未兌現(xiàn)。這些問(wèn)題在方案采購(gòu)時(shí)對(duì)一些客戶而言并不是很明顯，需要持續(xù)的市場(chǎng)教育。

企業(yè)WAN的演變

Cloudflare Magic WAN遵循一種不同的范式，在Cloudflare的全球連通云中從頭構(gòu)建；它采用“輕分支重云”的方式來(lái)增強(qiáng)并最終取代現(xiàn)有的網(wǎng)絡(luò)架構(gòu)，包括MPLS線路和SD-WAN覆蓋層。雖然Magic WAN具有類似于傳統(tǒng)SD-WAN的云原生路由和配置控制，但它更易于部署、管理和使用。它可以根據(jù)不斷變化的業(yè)務(wù)需求進(jìn)行擴(kuò)展，并內(nèi)置安全性。像Solocal這樣的客戶認(rèn)為，這種架構(gòu)的好處在于最終有效降低了他們的總擁有成本：

“Cloudflare的Magic WAN Connector以直觀的方式提供了對(duì)網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施的集中化和自動(dòng)化管理。作為Cloudflare的SASE平臺(tái)的一部分，它提供了一個(gè)基于市場(chǎng)標(biāo)準(zhǔn)和最佳實(shí)踐打造的一致且同構(gòu)的單一供應(yīng)商架構(gòu)。確保對(duì)所有數(shù)據(jù)流的控制，并減少違規(guī)或安全漏洞風(fēng)險(xiǎn)。對(duì)Solocal而言，這顯然可以為我們提供顯著的節(jié)省，將獲取、安裝、維護(hù)和升級(jí)分支網(wǎng)絡(luò)設(shè)備的所有相關(guān)成本降低多達(dá)40％。這是一個(gè)高潛力的連接解決方案，支持我們的IT團(tuán)隊(duì)實(shí)施我們的網(wǎng)絡(luò)現(xiàn)代化?！?/p>

–Maxime Lacour，網(wǎng)絡(luò)運(yùn)營(yíng)經(jīng)理Solocal

這完全不同于其他單一供應(yīng)商SASE服務(wù)商的方法，后者一直試圖解決通過(guò)收購(gòu)獲得的單點(diǎn)解決方案之間的沖突，因?yàn)樗鼈兪腔诮厝徊煌脑O(shè)計(jì)理念而構(gòu)建的。這些“拼湊起來(lái)”的解決方案會(huì)導(dǎo)致不統(tǒng)一的體驗(yàn)，因?yàn)樗鼈兊募軜?gòu)支離破碎，類似于企業(yè)及組織在管理多個(gè)獨(dú)立供應(yīng)商時(shí)可能看到的情況。通過(guò)構(gòu)建了統(tǒng)一集成解決方案的供應(yīng)商來(lái)整合SASE的組件，而非將不同的網(wǎng)絡(luò)和安全解決方案拼湊在一起，從而降低復(fù)雜性、避免繞過(guò)安全控制和潛在的集成或連接挑戰(zhàn)，最終大幅簡(jiǎn)化部署和管理。

Magic WAN可以通過(guò)我們的Connector設(shè)備自動(dòng)建立到Cloudflare的IPsec隧道，也可以通過(guò)客戶邊緣路由器或防火墻上手動(dòng)啟動(dòng)的Anycast IPsec或GRE隧道，或者通過(guò)在私有對(duì)等連接位置或公共云實(shí)例上的Cloudflare網(wǎng)絡(luò)互連（CNI）。它超越了SSE所提出的“集成”，真正融合了安全和網(wǎng)絡(luò)功能，幫助企業(yè)及組織更高效地實(shí)現(xiàn)網(wǎng)絡(luò)現(xiàn)代化。

圖中顯示Cloudflare Magic WAN將分支辦公室、數(shù)據(jù)中心和VPC連接到Cloudflare全球網(wǎng)絡(luò)上的安全服務(wù)。

Magic WAN Connector新功能

在2023年10月，我們宣布Magic WAN Connector普遍可用，這是一種輕量級(jí)設(shè)備，供客戶置入其現(xiàn)有網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)與Cloudflare One的“零接觸”連接，最終用于替換其他網(wǎng)絡(luò)硬件，例如傳統(tǒng)SD-WAN設(shè)備、路由器和防火墻。

Magic WAN Connector的新功能，包括：

-適用于關(guān)鍵環(huán)境的高可用性（HA）配置：在企業(yè)部署中，組織通常希望支持高可用性，以減輕硬件故障的風(fēng)險(xiǎn)。高可用性使用一對(duì)Magic WAN Connector（作為虛擬機(jī)或在支持的硬件設(shè)備上運(yùn)行），兩者相互配合，以便在一個(gè)設(shè)備發(fā)生故障時(shí)無(wú)縫恢復(fù)運(yùn)行?？蛻艨梢韵窆芾鞰agic WAN Connector的所有其他方面一樣，從統(tǒng)一的Cloudflare One儀表板管理HA配置。

-應(yīng)用程序感知：SD-WAN與更傳統(tǒng)的網(wǎng)絡(luò)設(shè)備相比一個(gè)核心區(qū)別特性是，除了網(wǎng)絡(luò)層屬性如IP和端口范圍外，還能夠創(chuàng)建基于知名應(yīng)用程序的流量策略。應(yīng)用程序感知策略提供了更容易管理和更精細(xì)化的流量流動(dòng)控制。Cloudflare的應(yīng)用程序感知實(shí)現(xiàn)利用了我們?nèi)蚓W(wǎng)絡(luò)的情報(bào)，使用已經(jīng)在安全工具中共享的相同分類，因此IT和安全團(tuán)隊(duì)可以期望在路由和檢查決策上獲得一致的行為，這是雙供應(yīng)商或拼湊在一起的SASE解決方案所不具備的能力。

-虛擬機(jī)部署選項(xiàng):Magic WAN Connector現(xiàn)在可作為虛擬設(shè)備軟件映像進(jìn)行下載，可立即部署在任何支持的虛擬化平臺(tái)/虛擬機(jī)監(jiān)控程序上。虛擬Magic WAN Connector具有與硬件設(shè)備相同的超低接觸部署模型和集中式設(shè)備管理體驗(yàn)，并向所有Magic WAN用戶免費(fèi)提供。

-增強(qiáng)的可見性和分析：Magic WAN Connector具有針對(duì)關(guān)鍵指標(biāo)的增強(qiáng)可見性，例如連接狀態(tài)、CPU利用率、內(nèi)存消耗和設(shè)備溫度。這些分析數(shù)據(jù)可以通過(guò)儀表板和API獲得，以便運(yùn)維團(tuán)隊(duì)將數(shù)據(jù)集成到其網(wǎng)絡(luò)運(yùn)營(yíng)中心。

將SASE覆蓋范圍擴(kuò)展到DevOps

復(fù)雜的持續(xù)集成和持續(xù)交付（CI/CD）流水線交互因其敏捷性而聞名，因此支持這些工作流程的連接和安全性應(yīng)該相匹配。DevOps團(tuán)隊(duì)過(guò)度依賴于傳統(tǒng)VPN來(lái)實(shí)現(xiàn)對(duì)各種開發(fā)和運(yùn)營(yíng)工具的遠(yuǎn)程訪問(wèn)。VPN管理繁瑣，易受已知或零日漏洞利用攻擊，采用傳統(tǒng)軸幅式連接模型，對(duì)于現(xiàn)代工作流程來(lái)說(shuō)速度太慢。

在所有員工群體中，開發(fā)人員特別擅長(zhǎng)找到創(chuàng)造性的解決方案，以減少他們?nèi)粘９ぷ髁鞒讨械哪Σ粒虼怂衅髽I(yè)安全措施僅需“能夠工作”，不要妨礙到他們。理想情況下，無(wú)論使用什么組件和工具，無(wú)論位于何處，構(gòu)建、模擬和生產(chǎn)環(huán)境中的所有用戶和服務(wù)器都應(yīng)通過(guò)集中的、Zero Trust訪問(wèn)控制進(jìn)行編排。應(yīng)該容許臨時(shí)的策略改變，以及適用于承包商或甚至生產(chǎn)服務(wù)器事件緊急響應(yīng)人員的臨時(shí)Zero Trust訪問(wèn)。

適用于DevOps的Zero Trust連接

ZTNA作為安全的最低特權(quán)用戶-應(yīng)用程序訪問(wèn)的行業(yè)范式表現(xiàn)良好，但它應(yīng)該進(jìn)一步擴(kuò)展以保護(hù)涉及服務(wù)器發(fā)起或雙向流量的網(wǎng)絡(luò)用例。這遵循了一種新興趨勢(shì)，即構(gòu)想一種跨云、VPC或網(wǎng)絡(luò)分段的覆蓋式網(wǎng)狀連接模型，無(wú)需依賴路由器。對(duì)于真正的任意對(duì)任意連接，客戶需要涵蓋其所有網(wǎng)絡(luò)連接和應(yīng)用程序訪問(wèn)用例的靈活性，并非每個(gè)SASE供應(yīng)商的網(wǎng)絡(luò)入口都能在不需要網(wǎng)絡(luò)路由更改或做出安全折衷的情況下擴(kuò)展到客戶端發(fā)起的流量之外，因此通用的“任意對(duì)任意連接”聲明可能并非最初看起來(lái)的那樣。

圖中顯示Cloudflare的軟件連接器（入口）保護(hù)著涉及開發(fā)人員和服務(wù)器之間雙向流量的DevOps工作流程。

Cloudflare擴(kuò)展了ZTNA的覆蓋范圍，以確保涵蓋所有用戶到應(yīng)用程序的使用情況，同時(shí)提供網(wǎng)狀和P2P安全網(wǎng)絡(luò)，使連接選項(xiàng)盡可能廣泛和靈活。DevOps服務(wù)到服務(wù)的工作流程可以在實(shí)現(xiàn)ZTNA、VPN替代或企業(yè)級(jí)SASE的同一平臺(tái)上高效運(yùn)行。Cloudflare充當(dāng)連接“膠水”，覆蓋所有DevOps用戶和資源，無(wú)論在每一步中流量如何流動(dòng)。同樣的技術(shù)，即WARP Connector，使管理員能夠管理具有重疊IP范圍的不同專用網(wǎng)絡(luò)——VPC和RFC1918，支持服務(wù)器發(fā)起的流量和P2P應(yīng)用（例如SCCM、AD、VoIP和SIP流量）通過(guò)現(xiàn)有專用網(wǎng)絡(luò)進(jìn)行連接，構(gòu)建P2P專用網(wǎng)絡(luò)（例如CI/CD資源流動(dòng)），并確定性地路由流量。企業(yè)及組織還可以使用Cloudflare的Terraform程序自動(dòng)管理其SASE平臺(tái)。

Cloudflare的不同之處

Cloudflare的單一供應(yīng)商SASE平臺(tái)——Cloudflare One在我們的全球連通云（公共云的進(jìn)階演進(jìn)）上構(gòu)建，提供一個(gè)統(tǒng)一、智能的可編程、可組合服務(wù)平臺(tái)，實(shí)現(xiàn)所有網(wǎng)絡(luò)（企業(yè)和互聯(lián)網(wǎng)）、云、應(yīng)用程序和用戶之間的連接。Cloudflare的全球連通云具備足夠的靈活性，使得“任意對(duì)任意連接”對(duì)于實(shí)施SASE架構(gòu)的企業(yè)及組織而言更具可行性，容納部署偏好并提供規(guī)范指導(dǎo)。Cloudflare旨在通過(guò)單一供應(yīng)商SASE解決方案及更多功能來(lái)為企業(yè)及組織提供重新掌控IT所需的廣度和深度，同時(shí)為這個(gè)過(guò)程中做出貢獻(xiàn)的每一個(gè)團(tuán)隊(duì)簡(jiǎn)化工作流程。

而其他SASE供應(yīng)商將其數(shù)據(jù)中心設(shè)計(jì)成向互聯(lián)網(wǎng)發(fā)送流量。這種方案并非設(shè)計(jì)用于處理或保護(hù)“東西向”流量，對(duì)于分支機(jī)構(gòu)到總部或分支機(jī)構(gòu)之間的流量，既不提供中間網(wǎng)絡(luò)連接，也不提供安全服務(wù)。Cloudflare的中間全球骨干網(wǎng)絡(luò)支持適用于任意到任意連接的安全和網(wǎng)絡(luò)服務(wù)，無(wú)論用戶是在本地還是遠(yuǎn)程，無(wú)論應(yīng)用程序是在數(shù)據(jù)中心還是在云中。