Cloudflare解決方案工程師 Alan Chen 表示,因雲端技術興起、輔以疫情驅使雲端辦公需求驟增,隨之而來的大量網路攻擊,已為企業帶來重大考驗,突顯出存在已久且昂貴的傳統網路架構,不再適合目前新環境,現有硬體設備也無法根除嚴峻的資安威脅。如今企業迫切需要的,是能夠在數位化環境中協助保護IT基礎架構的創新方案。
[ 敬邀參與2022年度CIO大調查活動,掌握IT脈動缺你不可 ]
「值此時刻,企業可將事業網路建構於 Cloudflare SaaS 平台,一來保護雲端應用,再者也可保護地端機房設備,」Alan Chen 說,Cloudflare成立於2010年,目前在全球設有16個營業據點、逾兩千名員工給予跨國技支持,並已在全世界200多個城市佈建節點且持續擴增,台灣也有Cloudflare節點。
截至目前,全球已有許多企業與Cloudflare合作,共同探索對於未來網路的可能性。Cloudflare從中理解到傳統網路架構的不足,以及企業對未來網路的需求樣貌。企業已意識到,從前基於邊界管控的安全護城河城架構中,舉凡所費不貲的地端網路設備,串聯各營運據點的MPLS或私有電路,即便已結合雲端或SaaS而形成混合架構,依然缺乏彈性,以致不管在網路效能、資安可視性上都出現莫大問題,且在維運管理上太過繁瑣,種種缺陷,在疫期遠距上班期間表露無遺。
[ 推薦閱讀: IT如何支援新興的混合辦公環境 ]
因此企業不得不思考重新設計網路架構,來因應不可避免的數位轉型趨勢,進一步實踐Gartner揭櫫的SASE(Secure Access Service Edge)安全模型,將網路與安全防護功能整合在統一雲端平台,好讓企業更有彈性、更有效率地串聯散居各地的員工、外部據點,透過在邊緣網路實施包括零信任的存取策略,從而使企業能將網路範圍擴展到任何使用者、分公司、遠端裝置或應用程式,同時消除對硬體設備及傳統網路架構的依賴。Cloudflare的宗旨正是協助企業建立更好的網際網路,讓用戶很簡單地透過Cloudflare進行連線存取,同步最佳化網路效能及資安防護功能,徹底落實SASE目標。
[ 加入 CIO Taiwan 官方 LINE 與 FB ,與全球CIO同步獲取精華見解 ]
Alan Chen 指出,Cloudflare擁有龐大的全球網路,有超過9,500個交換中心,及超過 91 Tbps 的總頻寬,且自行發展應用層服務或SASE服務,都部署在全球網路的每個節點上,透過Anycast技術對外提供服務,不需為了特定功能而將用戶流量導向遠處;換言之企業一旦啟用 Cloudflare One 平台,即可就近引入零信任服務、網路服務等豐富機能,兼能保護員工對內部應用、對外部網路的存取,加上網路層的WAN級服務、DDoS防護等等,足以營造流暢的服務體驗、絕佳的可用性。
基於零信任 嚴防對內對外的異常存取
目前每秒有上千萬請求經過Cloudflare,使Cloudflare能從中分析並快速掌握網路上的趨勢、新型態攻擊,並將這些資訊回饋至各項資安服務,據此最佳化Cloudflare的威脅特徵資料庫與機器學習模型,這些都是傳統地端設備無法做到的。
大家皆知疫情期間出現甚多DDoS攻擊和勒索病毒感染事件,對企業的營運、形象造成重創。駭客們不斷變化攻擊手法、考驗防禦設備的規則更新速度,但同時間也突顯Cloudflare的優勢。如2021年8月某殭屍網路發動大規模DDoS攻擊,企圖以高PPS(Packets per Second)來消耗Cloudflare資源,結果Cloudflare不負眾望擋下攻擊,成效有目共睹。
Alan Chen 說,論及Cloudflare在SASE概念上可為大家做些什麼,首先即是零信件方案,可對企業內部應用的存取施以管控,使企業在疫情期間不需緊急增購 VPN License,更不必忍受無謂的網路延遲與瓶頸,便可從容因應大量員工居家辦公的安全連線需求;更有甚者,也能針對不同使用者、不同目標應用,設置不同的存取規則。更重要的,用戶可利用 Cloudflare Access 零信任服務,巧妙解決VPN可視性不足的缺點,提供更好的安全防護;另藉由 Cloudflare Access 搭配企業的身份驗證機制,以利針對存取者的身份、裝置狀態等條件進行確認,再給予不同權限,確保每個請求都必須帶著有效的認證資訊、才允許執行。
總結來說,Cloudflare可協助傳送並保護各類應用,搭配使用者身份、終端裝置狀態的確認,甚至是使用者所在地等,經驗證後才准予存取對應的地端、雲端或SaaS應用,並保留完整可視化記錄。此外在零信件架構下,預設沒有任何網站可被相信,當使用者透過Cloudflare傳送請求到網際網路上,Cloudflare Gateway 會比對企業設定的規則,再依不同的使用者身份給予不同權限。
值得一提的是零信任瀏覽。意即把原本運行在本機端瀏覽器的行為,改成在Cloudflare全球節點上執行,由Cloudflare代替使用者去讀取並執行網頁,再傳送畫面到使用者的瀏覽器;即便用戶不慎點擊惡意連結,也不會被影響。
Alan Chen 重申,無論零信任安全或其餘諸多網路服務,皆是 Cloudflare One 平台下的拼圖,有了此平台,不管來源與目的地是員工、內部裝置、外部應用、自有機房與辦公室等,企業都可享有多種連接到Cloudflare的選項,並利用 Cloudflare One 來保障網路架構,確保安全與服務效能。(文/明雲青)
(本文授權非營利轉載,請註明出處:CIO Taiwan)
