Cloudflare WARP Connector：為任意對(duì)任意連接鋪平道路

在不斷發(fā)展的企業(yè)安全領(lǐng)域，首席信息安全官和首席信息官必須孜孜不倦地構(gòu)建新的企業(yè)網(wǎng)絡(luò)并維護(hù)舊的網(wǎng)絡(luò)，以實(shí)現(xiàn)高性能的任意對(duì)任意連接。對(duì)于他們的網(wǎng)絡(luò)架構(gòu)師團(tuán)隊(duì)來說，調(diào)查自己的環(huán)境以跟上不斷變化的需求是工作的一半，另一半通常是發(fā)掘可以無縫集成到現(xiàn)有環(huán)境中的創(chuàng)新解決方案。為追求安全、靈活的基礎(chǔ)設(shè)施而進(jìn)行這樣的持續(xù)建設(shè)和強(qiáng)化，正是Cloudflare的SASE產(chǎn)品Cloudflare One的目的所在。

Cloudflare One根據(jù)客戶和分析師的反饋不斷改進(jìn)。Cloudflare WARP Connector，正是由此而推出的一種新工具，可以更輕松地確保雙向、站點(diǎn)到站點(diǎn)和網(wǎng)狀連接的安全性，而無需對(duì)現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行任何破壞性更改。

彌合Cloudflare Zero Trust旅程中的缺口

我們承認(rèn)網(wǎng)絡(luò)連接沒有一體適用的解決方案，也正因如此Cloudflare始終致力于提供廣泛的產(chǎn)品。我們的愿景很簡(jiǎn)單：以您想要的任何方式實(shí)現(xiàn)任意對(duì)任意連接。

在WARP Connector出現(xiàn)之前，將您的基礎(chǔ)設(shè)施連接到Cloudflare的最簡(jiǎn)單方法之一（無論是本地HTTP服務(wù)器、由Kubernetes集群提供的Web服務(wù)還是私有網(wǎng)絡(luò)段）是通過Cloudflare Tunnel應(yīng)用連接器Cloudflare。在許多情況下，這種方法效果很好，但隨著時(shí)間的推移，客戶開始發(fā)現(xiàn)一系列基于Cloudflare底層架構(gòu)無法支持的用例。這包括客戶使用VOIP電話的情況，需要SIP服務(wù)器與用戶的軟件電話建立傳出連接，或者需要CI/CD服務(wù)器向CI/CD管道每個(gè)階段的相關(guān)利益相關(guān)者發(fā)送通知。稍后，我們將在這篇博文中詳細(xì)探討這些用例。

作為OSI模型第4層的Cloudflare代理，其設(shè)計(jì)專門針對(duì)代理對(duì)原始服務(wù)的請(qǐng)求進(jìn)行了優(yōu)化——它并非設(shè)計(jì)作為處理源自原始服務(wù)之請(qǐng)求的主動(dòng)監(jiān)聽器。這種設(shè)計(jì)權(quán)衡意味著Cloudflare需要將其代理到應(yīng)用程序服務(wù)器的所有請(qǐng)求都進(jìn)行源NAT。對(duì)于客戶無需更新路由表即可在其原始服務(wù)前面部署Cloudflare的情況，這種設(shè)置非常方便。但是，這也意味著客戶無法看到發(fā)送請(qǐng)求的客戶端的真實(shí)源IP。這在網(wǎng)絡(luò)防火墻記錄所有網(wǎng)絡(luò)流量的情況下很重要，因?yàn)樗姓?qǐng)求的源IP都將是Cloudflare的IP地址，導(dǎo)致客戶無法看到真正的客戶端源。

自建還是借用

為了解決這個(gè)問題，我們確定了兩個(gè)潛在的解決方案：從頭開始構(gòu)建新的連接器，或者借用現(xiàn)有的連接器，可能是Cloudflare或WARP。

下表概述了這兩種方法的權(quán)衡：

Cloudflare WARP Connector

綜上所述，Cloudflare WARP Connector的推出開啟了新的可能性：服務(wù)器發(fā)起的（SIP/VoIP）流；站點(diǎn)到站點(diǎn)連接，連接分支機(jī)構(gòu)、總部和云平臺(tái)；甚至使用WARP-to-WARP實(shí)現(xiàn)網(wǎng)狀網(wǎng)絡(luò)。從本質(zhì)上講，這個(gè)新的連接器是warp-client的擴(kuò)展，可以充當(dāng)網(wǎng)絡(luò)內(nèi)任何子網(wǎng)的虛擬路由器，通過Cloudflare開啟/關(guān)閉流量。

通過基于WARP進(jìn)行構(gòu)建，我們能夠利用其設(shè)計(jì)，即在主機(jī)上創(chuàng)建虛擬網(wǎng)絡(luò)接口，以邏輯上細(xì)分物理接口（NIC）來路由IP流量。這使我們能夠通過主機(jī)和Cloudflare邊緣之間維護(hù)的WireGuard/MASQUE隧道發(fā)送雙向流量。利用這種架構(gòu)，客戶還可以獲得查看客戶端真實(shí)源IP的額外好處。

WARP Connector可以輕松部署在默認(rèn)網(wǎng)關(guān)上，無需進(jìn)行任何額外的路由更改?；蛘?，可以為需要通過WARP Connector路由的特定CIDR配置靜態(tài)路由，并且可以在默認(rèn)網(wǎng)關(guān)或該子網(wǎng)中的每個(gè)主機(jī)上配置靜態(tài)路由。

專用網(wǎng)絡(luò)用例

在這里，我們將介紹部署我們的新連接器的幾個(gè)主要理由，但請(qǐng)記住，此解決方案可以支持多種服務(wù)，例如Microsoft的System Center Configuration Manager（SCCM）、Active Directory服務(wù)器更新、VoIP和SIP流量，以及具有復(fù)雜CI/CD管道交互的開發(fā)人員工作流程。還需要注意的是，該連接器既可以與Cloudflare和Magic WAN一起運(yùn)行，也可以作為Cloudflare全球網(wǎng)絡(luò)的獨(dú)立遠(yuǎn)程訪問和站點(diǎn)到站點(diǎn)連接器。

-軟件電話和VoIP服務(wù)器

對(duì)于通過VoIP軟件服務(wù)建立語(yǔ)音或視頻通話的用戶，專用網(wǎng)絡(luò)中的SIP服務(wù)器通常會(huì)使用最終用戶的最后一個(gè)已知IP地址來代理連接。但是，如果流量在路徑上的任何地方被代理，這通常會(huì)導(dǎo)致參與者僅收到部分語(yǔ)音或數(shù)據(jù)信號(hào)。使用Cloudflare WARP Connector，客戶現(xiàn)在可以對(duì)這些服務(wù)應(yīng)用細(xì)粒度的策略以實(shí)現(xiàn)安全訪問，從而在其Zero Trust框架內(nèi)強(qiáng)化VoIP基礎(chǔ)設(shè)施。

-保護(hù)對(duì)CI/CD管道的訪問

企業(yè)及組織的DevOps生態(tài)系統(tǒng)通常由許多部分組成，但Jenkins或Teamcity之類的CI/CD服務(wù)器是所有開發(fā)活動(dòng)的中心。因此，確保CI/CD服務(wù)器的安全至關(guān)重要。借助Cloudflare WARP Connector和WARP客戶端，企業(yè)及組織可以保護(hù)整個(gè)CI/CD管道并輕松簡(jiǎn)化它。

讓我們看一下Kubernetes應(yīng)用程序的典型CI/CD管道。環(huán)境設(shè)置如上圖所示，開發(fā)人員和QA筆記本電腦上有WARP客戶端，WARP Connector安全地連接不同網(wǎng)絡(luò)上的CI/CD服務(wù)器和暫存服務(wù)器：

1.通常，當(dāng)開發(fā)人員提交其代碼更改并調(diào)用CI/CD服務(wù)器上的webhook時(shí)，就會(huì)觸發(fā)CI/CD管道。

2.構(gòu)建圖像后，就可以部署代碼，這通常分階段進(jìn)行：測(cè)試、暫存和生產(chǎn)。

3.當(dāng)圖像在測(cè)試/暫存環(huán)境中準(zhǔn)備就緒時(shí)，會(huì)向開發(fā)人員和QA工程師發(fā)送通知。

4.QA工程師通過webhook從CI/CD服務(wù)器接收通知，以啟動(dòng)監(jiān)控和故障排除工作流程。

借助WARP Connector，客戶可以輕松地將其開發(fā)人員連接到DevOps生態(tài)系統(tǒng)中的工具，同時(shí)保持生態(tài)系統(tǒng)的私密性，不向公眾公開。在DevOps生態(tài)系統(tǒng)安全地連接到Cloudflare后，可以輕松應(yīng)用細(xì)粒度的安全策略來保護(hù)對(duì)CI/CD管道的訪問。

-保留真實(shí)源IP地址

運(yùn)行Microsoft AD服務(wù)器或非Web應(yīng)用程序服務(wù)器的企業(yè)及組織通常需要識(shí)別真實(shí)的源IP地址以進(jìn)行審計(jì)或應(yīng)用策略。如果存在這些要求，WARP Connector可以簡(jiǎn)化此過程，提供無需添加NAT邊界的解決方案。這對(duì)于限制不健康的源IP地址的速率、在邊界內(nèi)實(shí)施基于ACL的策略或從最終用戶處收集其他診斷信息非常有用。

開始使用WARP Connector

作為發(fā)布的一部分，我們也對(duì)Cloudflare One儀表板進(jìn)行了一些更改，以更好地突出我們不同的網(wǎng)絡(luò)開啟/關(guān)閉選項(xiàng)?，F(xiàn)在，您的儀表板上會(huì)出現(xiàn)一個(gè)新的“網(wǎng)絡(luò)”選項(xiàng)卡。這將成為Cloudflare Tunnel UI的新主頁(yè)。

我們還在“隧道”旁邊引入了新的“路由”選項(xiàng)卡。此頁(yè)面會(huì)顯示客戶虛擬網(wǎng)絡(luò)、Cloudflare Tunnel及其相關(guān)路由的結(jié)構(gòu)化視圖。這個(gè)新頁(yè)面有助于回答客戶有關(guān)其網(wǎng)絡(luò)配置的問題，例如：“哪個(gè)Cloudflare Tunnel具有到我的主機(jī)192.168.1.2的路由”、“如果存在CIDR 192.168.2.1/28的路由，如何訪問它”，或“我的環(huán)境中有哪些重疊的CIDR，它們屬于哪些VNET？”。這對(duì)于擁有非常復(fù)雜的企業(yè)網(wǎng)絡(luò)并使用Cloudflare儀表板來解決連接問題的客戶非常有幫助。

開始您的WARP Connector之旅非常簡(jiǎn)單。目前可在Linux主機(jī)上部署，用戶可以選擇“創(chuàng)建Tunnel”，并從Cloudflare或WARP中選擇，直接從儀表板進(jìn)行部署。遵循我們的開發(fā)人員文檔，只需幾個(gè)簡(jiǎn)單的步驟即可開始。在不久的將來，我們將支持在更多平臺(tái)上部署WARP Connector。

寫在最后

感謝所有私人測(cè)試版客戶提供的寶貴反饋。展望未來，我們未來幾個(gè)季度的首要任務(wù)是簡(jiǎn)化部署、效仿Cloudflare的部署以及通過冗余和故障轉(zhuǎn)移機(jī)制增強(qiáng)高可用性。