Subskrybuj, aby otrzymywać powiadomienia na temat nowych wpisów:

Zero Trust, SASE i SSE: podstawowe koncepcje sieci nowej generacji

2022-06-19

11 min czytania
Ten post jest również dostępny w następujących językach: English, 繁體中文, Français, Deutsch, Italiano, 日本語, 한국어, Português, Español, Рyсский, Svenska i 简体中文.

Jeśli kierujesz zespołem ds. bezpieczeństwa, sieci lub IT, prawdopodobnie nie są Ci zupełnie obce pojęcia Zero Trust, SASE (krawędź usługi bezpiecznego dostępu) i SSE (krawędź usług bezpieczeństwa), reprezentujące nowe podejście do architektury sieci korporacyjnej. Te modele kształtują falę technologii, która zasadniczo zmieni budowę i obsługę sieci korporacyjnych, jednak pojęcia te są często używane zamiennie i niekonsekwentnie. Nietrudno więc zgubić się w morzu haseł i zapomnieć o stojących za nimi celach, jakimi są bezpieczniejsze, szybsze i niezawodne środowisko pracy Twoich użytkowników końcowych, aplikacji i sieci. Dziś wyjaśnimy każde z tych pojęć — Zero Trust, SASE i SSE — i przedstawimy kluczowe komponenty wymagane do osiągnięcia tych celów. Zawsze aktualna wersja tych treści jest dostępna w naszym centrum edukacji pod tym linkiem.

Zero Trust, SASE and SSE: foundational concepts for your next-generation network

Co to jest Zero Trust?

Zero Trust to model bezpieczeństwa IT, który wymaga ścisłej weryfikacji tożsamości od każdej osoby i urządzenia próbujących uzyskać dostęp do zasobów w sieci prywatnej, bez względu na to, czy znajdują się w obwodzie sieci, czy poza nim. To podejście różni się od tradycyjnego, obwodowego modelu bezpieczeństwa, znanego także jako architektura „zamku i fosy”, w którym użytkownicy mają dostęp do zasobów po uzyskaniu dostępu do sieci.

Ujmując to prościej: tradycyjne zabezpieczenia sieci IT ufają wszystkim i wszystkiemu wewnątrz sieci. Architektura Zero Trust nie ufa nikomu i niczemu. Więcej o zabezpieczeniach Zero Trust przeczytasz tutaj.

Co to jest krawędź usługi bezpiecznego dostępu (SASE)?

Model SASE został zdefiniowany przez firmę Gartner jako struktura do implementacji architektury Zero Trust w dowolnej organizacji. SASE łączy możliwości sieci zdefiniowanej programowo z szeregiem funkcji bezpieczeństwa sieci, przy czym wszystko jest dostarczane z jednej platformy w chmurze. Dzięki temu SASE umożliwia pracownikom uwierzytelnienie i bezpieczne połączenie z zasobami wewnętrznymi z dowolnego miejsca, a także zapewnia organizacjom lepszą kontrolę nad ruchem i danymi, które wchodzą w sieć wewnętrzną i ją opuszczają.

Bezpieczny dostęp w SASE to między innymi definiowanie zasad bezpieczeństwa w modelu Zero Trust w odniesieniu do aplikacji i urządzeń użytkowników, ale również oddziałów, centrów danych i chmury. Natomiast krawędź usługi odnosi się do zezwalania wszelkiemu ruchowi, niezależnie od lokalizacji, do przejścia przez kontrole bezpiecznego dostępu — bez potrzeby przekierowywania przez centralny koncentrator, gdzie te kontrole są przeprowadzane. Więcej o SASE można przeczytać tutaj.

Co to jest krawędź usług bezpieczeństwa (SSE)?

SSE, także zdefiniowany przez Gartner, to podzbiór funkcji SASE skupiający się na możliwościach egzekwowania zabezpieczeń. SSE jest często pierwszym krokiem na drodze do pełnego wdrożenia modelu SASE, który z kolei rozszerza kontrole zabezpieczeń SSE do korporacyjnej sieci WAN i zawiera możliwości sieci zdefiniowanej programowo, takie jak kształtowanie ruchu i jakość usługi. Więcej o SSE można przeczytać tutaj.

Co składa się na SASE?

Najczęstsze definicje SASE wymieniają szereg funkcji bezpieczeństwa, takich jak dostęp do sieci w modelu Zero Trust (ZTNA) i broker bezpieczeństwa dostępu do chmury (CASB), skupiając się na zadaniach platformy SASE. Funkcje bezpieczeństwa oczywiście są kluczowym elementem tego modelu, jednak takie definicje są niepełne — nie opisują, jak realizuje się te funkcje, co jest równie istotne.

Pełna definicja SASE rozszerza tę listę funkcji bezpieczeństwa o trzy odrębne aspekty: bezpieczny dostęp, rozwiązania łączące i krawędź usługi.

Cloudflare One: kompleksowa platforma SASE

Cloudflare One to kompletna platforma SASE wiążąca całościowy zestaw funkcji bezpiecznego dostępu z elastycznymi rozwiązaniami łączącymi w celu łączenia dowolnego źródła i miejsca docelowego — a wszystko to w globalnej sieci Cloudflare, która stanowi imponująco szybką i niezawodną krawędź usługi. Dla organizacji, które chcą zacząć od SSE, by z czasem przejść do SASE, Cloudflare One również jest doskonałym wyborem. Platforma jest w pełni komponowalna, dzięki czemu można indywidualnie wdrażać poszczególne komponenty w celu zaspokojenia najpilniejszych potrzeb i stopniowo przechodzić do pełnej architektury SASE we własnym tempie.

Omówmy szczegółowo każdy komponent architektury SASE i wyjaśnijmy, jak Cloudflare One je dostarcza.

Bezpieczny dostęp: funkcje bezpieczeństwa

Funkcje bezpiecznego dostępu działają w obrębie całego ruchu w Twojej organizacji, zapewniając ochronę użytkowników, aplikacji, sieci i danych. W modelu wejścia/procesu/wyjścia (IPO) bezpieczny dostęp stanowi procesy monitorujące i reagujące na ruch.

Dostęp do sieci w modelu Zero Trust (ZTNA)

Dostęp do sieci w modelu Zero Trust to technologia, która umożliwia implementację modelu bezpieczeństwa Zero Trust poprzez wymóg ścisłej weryfikacji tożsamości każdego użytkownika i każdego urządzenia przed autoryzacją dostępu do zasobów wewnętrznych. W porównaniu z tradycyjnymi wirtualnymi sieciami prywatnymi (VPN), które zapewniają dostęp do całej sieci lokalnej jednocześnie, ZTNA przyznaje dostęp jedynie do konkretnej aplikacji i domyślnie odmawia dostępu do pozostałych aplikacji i danych.

ZTNA może współpracować z innymi funkcjami bezpieczeństwa, takimi jak zapory aplikacji internetowej, ochrona przed atakami DDoS i zarządzanie botami, w celu zapewnienia pełnej ochrony aplikacji w publicznym Internecie. Więcej informacji o ZTNA znajduje się tutaj.

Cloudflare One zawiera rozwiązanie ZTNA — Cloudflare Access — które działa w trybie opartym na kliencie lub bez klienta i udziela dostępu do aplikacji na własnym serwerze oraz SaaS.

ZTNACloudflare One includes a ZTNA solution, Cloudflare Access, which operates in client-based or clientless modes to grant access to self-hosted and SaaS applications.

Bezpieczna brama internetowa (SWG)

Bezpieczna brama internetowa operuje między siecią korporacyjną a Internetem i egzekwuje zasady bezpieczeństwa, by chronić dane firmy. Bez względu na to, czy ruch pochodzi z urządzenia użytkownika, biura oddziału czy aplikacji, bezpieczna brama internetowa zapewnia warstwę ochrony — w tym filtrowanie adresów URL, wykrywanie i blokowanie złośliwego oprogramowania oraz kontrolę aplikacji. Coraz więcej ruchu sieci korporacyjnych przechodzi z sieci prywatnych do Internetu, dlatego wdrażanie bezpiecznych bram internetowych jest konieczne do ochrony urządzeń, sieci i danych firm przed rozmaitymi zagrożeniami.

SWG może współpracować z innymi narzędziami, w tym zaporami aplikacji internetowej i zaporami sieciowymi, zabezpieczając przepływ ruchu przychodzącego oraz wychodzącego w całej sieci korporacyjnej. Można ją także zintegrować ze zdalną izolacją przeglądarki (RBI) w celu ochrony urządzeń i sieci korporacyjnych przed złośliwym oprogramowaniem i innymi atakami, nie blokując przy tym całkowicie dostępu użytkowników do zasobów internetowych. Więcej o SWG można przeczytać tutaj.

SWGCloudflare One includes a SWG solution, Cloudflare Gateway, which provides DNS, HTTP, and Network filtering for traffic from user devices and network locations.

Cloudflare One zawiera rozwiązanie SWG — Cloudflare Gateway — które zapewnia filtrowanie ruchu z urządzeń użytkowników i lokalizacji sieciowych na poziomie DNS, HTTP i sieci.

Zdalna izolacja przeglądarki (RBI)

Izolacja przeglądarki to technologia pozwalająca bezpiecznie przeglądać Internet, oddzielając proces ładowania stron internetowych od urządzeń użytkowników wyświetlających te strony. Dzięki temu potencjalnie złośliwy kod strony internetowej nie zostanie uruchomiony na urządzeniu użytkownika, co ochroni zarówno urządzenia, jak i sieci wewnętrzne przed infekcjami oraz innymi cyberatakami.

RBICloudflare One includes Browser Isolation. In contrast to legacy remote browser approaches, which send a slow and clunky version of the web page to the user, Cloudflare Browser Isolation draws an exact replica of the page on the user’s device, and then delivers that replica so quickly that it feels like a regular browser.

Izolacja przeglądarki współdziała z innymi funkcjami bezpiecznego dostępu — przykładowo zespół ds. bezpieczeństwa może skonfigurować zasady bezpiecznej bramy internetowej tak, by automatycznie izolowała ona ruch do znanych lub potencjalnie podejrzanych stron internetowych. Więcej o izolacji przeglądarki można dowiedzieć się tutaj.

W Cloudflare One dostępna jest Browser Isolation. W przeciwieństwie do starszych metod zdalnego przeglądania, które wysyłają użytkownikowi powolną, niezgrabną wersję strony internetowej, rozwiązanie Cloudflare tworzy na urządzeniu użytkownika identyczną kopię strony i dostarcza ją tak szybko, że wrażenia są identyczne, jak podczas zwykłego przeglądania.

Broker bezpieczeństwa dostępu do chmury (CASB)

Broker bezpieczeństwa dostępu do chmury skanuje, wykrywa i stale monitoruje problemy związane z bezpieczeństwem w aplikacjach SaaS. Organizacje wykorzystują CASB w następujących obszarach:

CASBCloudflare One includes an API-driven CASB which gives comprehensive visibility and control over SaaS apps, so you can easily prevent data leaks and compliance violations.

  • bezpieczeństwo danych — np. by nie udostępniono publicznie przez Dropbox niewłaściwego pliku lub folderu;

  • aktywność użytkowników — np. do ostrzegania o podejrzanych zmianach uprawnień użytkownika w Workday o 2:00 w nocy;

  • wykrywanie błędnych konfiguracji — np. by nagrania ze spotkań przez Zoom nie były dostępne publicznie;

  • zgodność — np. do śledzenia i raportowania, kto zmienił uprawnienia gałęzi w Bitbucket;

  • szara strefa IT — np. do wykrywania użytkowników, którzy zarejestrowali się do niezatwierdzonej usługi z użyciem firmowego adresu e‑mail.

Oparty na interfejsie API CASB wykorzystuje integracje API z rozmaitymi aplikacjami SaaS i łączy się w zaledwie kilka minut. CASB można także stosować razem z RBI, by wykrywać niepożądane zachowania, a następnie im zapobiegać w zatwierdzonych i niezatwierdzonych aplikacjach SaaS, na przykład blokując możliwość pobierania plików lub kopiowania tekstu z dokumentów. Więcej informacji o CASB można znaleźć tutaj.

DLPDLP capabilities for Cloudflare One are coming soon. These will include the ability to check data against common patterns like PII, label and index specific data you need to protect, and combine DLP rules with other Zero Trust policies.

Cloudflare One zawiera oparty na interfejsie API CASB, który zapewnia kompleksowy wgląd w aplikacje SaaS i kontrolę nad nimi, ułatwiając zapobieganie wyciekom danych i naruszeniom zgodności.

Zapobieganie utracie danych (DLP)

FirewallCloudflare One includes Magic Firewall, a firewall-as-a-service that allows you to filter any IP traffic from a single control plane and (new!) enforce IDS policies across your traffic.

Narzędzia zapobiegania utracie danych wykrywają niszczenie i eksfiltrację danych (wyprowadzanie ich bez autoryzacji firmy) oraz im zapobiegają. Wiele rozwiązań DLP analizuje ruch sieciowy i wewnętrzne urządzenia punktów końcowych w celu identyfikacji wycieków lub utraty informacji poufnych, takich jak dane kart kredytowych czy dane osobowe. DLP wykorzystuje szereg technik do wykrywania danych wrażliwych, w tym tworzenie odcisków cyfrowych danych, dopasowywanie słów kluczowych i dopasowywanie plików. Więcej informacji o DLP jest dostępne tutaj.

Funkcje DLP pojawią się w Cloudflare One już wkrótce. Umożliwią między innymi wyszukiwanie w danych częstych schematów, np. danych osobowych, etykietowanie i indeksowanie konkretnych danych, które trzeba chronić, oraz łączenie reguł DLP z innymi zasadami Zero Trust.

Zapora jako usługa

Email SecurityCloudflare One includes Area 1 email security, which crawls the Internet to stop phishing, Business Email Compromise (BEC), and email supply chain attacks at the earliest stages of the attack cycle. Area 1 enhances built-in security from cloud email providers with deep integrations into Microsoft and Google environments and workflows.

Zapora jako usługa, znana także jako zapora w chmurze, filtruje potencjalnie złośliwy ruch, nie wymagając obecności sprzętu fizycznego w sieci klienta. Więcej o zaporze jako usłudze można przeczytać tutaj.

Cloudflare One zawiera Magic Firewall, zaporę w chmurze, która umożliwia filtrowanie dowolnego ruchu IP z jednej płaszczyzny sterowania oraz (to nowość!) egzekwowanie zasad IDS w całym ruchu w organizacji.

Bezpieczeństwo poczty e‑mail

Zabezpieczenia poczty elektronicznej zapobiegają cyberatakom wykorzystującym e‑maile oraz niepożądanej komunikacji. Chronią skrzynki odbiorcze przed przejęciem, zapobiegają fałszowaniu domen, zatrzymują ataki phishingowe, przeciwdziałają oszustwom, blokują dostarczanie złośliwego oprogramowania, filtrują spam i wykorzystują szyfrowanie do ochrony zawartości e‑maili przed dostępem nieautoryzowanych osób.

Narzędzia zabezpieczające pocztę e‑mail można stosować razem z innymi funkcjami bezpiecznego dostępu, w tym DLP i RBI — na przykład potencjalnie podejrzane linki w e‑mailach można otwierać w izolowanej przeglądarce, bez potrzeby blokowania dostępu do bezpiecznych linków. Więcej informacji o bezpieczeństwie poczty e‑mail jest dostępne tutaj.

Jednym z elementów Cloudflare One jest system Area 1, który przeszukuje Internet, by zapobiegać atakom phishingowym, włamaniom do firmowej poczty elektronicznej (BEC) i atakom wykorzystującym pocztowy łańcuch dostaw na możliwie najwcześniejszym etapie. Area 1 rozszerza wbudowane zabezpieczenia od dostawców poczty w chmurze o ścisłą integrację ze środowiskiem i przepływem pracy poczty Microsoft i Google.

Rozwiązania łączące

Do zastosowania funkcji bezpiecznego dostępu konieczne są mechanizmy łączące ruch ze źródła (którym może być urządzenie użytkownika zdalnego, biuro oddziału, centrum danych lub chmura) z krawędzią usługi (patrz poniżej), gdzie te funkcje operują. Są to właśnie rozwiązania łączące — wejścia i wyjścia w modelu IPO, czyli sposoby, w jakie ruch przechodzi z punktu A do punktu B po zastosowaniu filtrów.

Odwrotny serwer proxy (w przypadku aplikacji)

Odwrotny serwer proxy znajduje się przed serwerami sieci Web i przekierowuje do nich żądania klientów (np. przeglądarki internetowej). Odwrotne serwery proxy są zwykle implementowane w celu wzmocnienia bezpieczeństwa, wydajności i niezawodności. W połączeniu z dostawcami tożsamości i ochrony punktów końcowych mogą przyznawać dostęp do sieci aplikacjom internetowym.

Cloudflare One zawiera jeden z najczęściej używanych odwrotnych serwerów proxy na świecie, który codziennie przetwarza 1,39 –miliarda żądań DNS.

Łącznik aplikacji (w przypadku aplikacji)

Zespoły IT mogą zainstalować w istniejącej infrastrukturze lekkiego demona i stworzyć połączenie wychodzące z aplikacji prywatnych i nieopartych na sieci Web do krawędzi usługi. Takie łączniki aplikacji umożliwiają łączność z serwerami sieci HTTP, serwerami SSH, pulpitami zdalnymi i innymi aplikacjami lub protokołami bez narażania ich na potencjalne ataki.

Cloudflare One zawiera Cloudflare Tunnel. Użytkownicy mogą zainstalować lekkiego demona, który tworzy zaszyfrowany tunel między serwerem sieci Web pochodzenia a najbliższym centrum danych Cloudflare bez otwierania publicznych portów wejściowych.

Klient urządzenia (w przypadku użytkowników)

Aby przekierować ruch z urządzeń, w tym laptopów i telefonów, do krawędzi usługi w celu filtrowania i zapewnienia dostępu do sieci prywatnej, użytkownicy mogą zainstalować klienta. Taki klient stanowi serwer proxy przekazujący ruch lub jego część z urządzenia do krawędzi usługi.

Cloudflare One zawiera klienta urządzenia WARP, z którego korzystają miliony użytkowników na całym świecie. Jest on dostępny w systemach iOS, Android, ChromeOS, Mac, Linux i Windows.

BYOIP lub dzierżawione adresy IP (w przypadku oddziałów, centrów danych i chmur)

W zależności od możliwości sieci lub krawędzi usługi dostawcy SASE organizacje mogą zdecydować się na wykorzystywanie importowanych lub dzierżawionych adresów IP, by osiągnąć łączność sieci przez anonsowanie BGP.

Cloudflare One umożliwia wykorzystanie BYOIP i dzierżawionych adresów IP. Obie opcje anonsują adresy IP w całej naszej sieci Anycast.

Tunele sieciowe (w przypadku oddziałów, centrów danych i chmury)

Większość urządzeń sprzętowych lub sprzętu wirtualnego, które znajdują się na obwodach sieci, jest w stanie obsłużyć jeden lub więcej typów standardowych mechanizmów tunelowania, takich jak GRE czy IPsec. Te tunele mogą łączyć z krawędzią usługi oddziały, centra danych i publiczne chmury, zapewniając łączność na poziomie sieci.

Cloudflare One zawiera opcje tunelowania Anycast GRE i IPsec, które są konfigurowane jak tradycyjne tunele punkt-punkt, ale dostarczają automatyczną łączność z całą siecią Anycast Cloudflare, co zapewnia nadmiarowość i ułatwia zarządzanie. Te opcje umożliwiają także łatwą łączność z istniejących urządzeń SD-WAN, co pozwala na prostą w zarządzaniu lub całkowicie zautomatyzowaną konfigurację tuneli.

Połączenie bezpośrednie (w przypadku oddziałów i centrów danych)

Ostatnia opcja łączenia sieci wymagającej wysokiej niezawodności i pojemności z krawędzią usługi to połączenie bezpośrednie — fizyczne albo wirtualne, przez dostawcę wirtualnej infrastruktury połączeń.

Cloudflare One zawiera Cloudflare Network Interconnect (CNI), które pozwala połączyć się z siecią Cloudflare za pomocą fizycznego połączenia bezpośredniego lub wirtualnego połączenia przez partnera. Cloudflare for Offices przenosi CNI bezpośrednio do Twojej fizycznej lokalizacji, by jeszcze bardziej uprościć łączność.

Krawędź usługi: sieć, która wszystko napędza

Funkcje bezpiecznego dostępu muszą gdzieś operować. W tradycyjnym, obwodowym modelu architektury znajdowały się w szafie sprzętowej w biurze lub centrum danych. W modelu SASE szafę zastępuje sieć rozproszona, zlokalizowana jak najbliżej użytkowników i aplikacji — bez względu na to, gdzie się znajdują. Jednak nie wszystkie krawędzie usługi są sobie równe: aby platforma SASE zapewniała dobre środowisko użytkownikom, aplikacjom i sieciom, musi opierać się na szybkiej, inteligentnej, współdziałającej, programowalnej i przejrzystej sieci. Omówmy dokładniej każdą z tych cech.

Wydajność: lokalizacje, łączność, prędkość, pojemność

W przeszłości zespoły IT musiały dokonywać trudnych wyborów między bezpieczeństwem a wydajnością. Na przykład czy należy przekierowywać ruch (a jeśli tak, to jaki) przez centralny koncentrator, gdzie będzie filtrowany, albo które funkcje bezpieczeństwa powinny być włączone, by pogodzić przepływność sieci z obciążeniem przetwarzania danych. W SASE takie kompromisy nie są konieczne, o ile krawędź usługi spełnia następujące wymagania:

  • Jest rozproszona geograficznie: lokalizacje krawędzi usługi powinny być jak najbliżej użytkowników i aplikacji, co coraz częściej oznacza cały świat.

  • Jest dobrze połączona: krawędź usługi musi być połączona z innymi sieciami, w tym z dostawcami tranzytu, chmury i SaaS, aby zapewniać niezawodną i szybką łączność z lokalizacjami, do których wysyłany jest ruch.

  • Jest szybka: krawędź usługi musi nadążać ze stale rosnącymi oczekiwaniami użytkowników. O postrzeganej wydajności aplikacji decyduje wiele czynników, od dostępności szybkiego połączenia internetowego po wpływ filtrowania zabezpieczeń i szyfrowania/odszyfrowywania, dlatego konieczne jest całościowe podejście do mierzenia i poprawy wydajności sieci.

  • Ma dużą pojemność: w modelu architektury SASE nie ma miejsca na planowanie pojemności funkcji bezpieczeństwa — pytanie „jakiej wielkości pudełko musimy kupić” przechodzi do lamusa. To oznacza, że krawędź usługi musi mieć odpowiednią pojemność w każdej lokalizacji, do której może trafić ruch sieciowy, a także móc inteligentnie równoważyć obciążenia ruchu, by efektywnie wykorzystywać tę pojemność na krawędzi usługi.

Cloudflare One wykorzystuje globalną sieć Cloudflare , która obejmuje 270 miast w ponad 100 krajach oraz więcej niż 10 000 połączonych sieci i ma pojemność przekraczającą 140 Tb/s.

Inteligentny ruch: kształtowanie, jakość usługi, routing oparty na telemetrii

Oprócz typowych elementów wydajności sieci i krawędzi usługi ważna jest także możliwość wpływania na ruch zależnie od charakterystyk indywidualnej sieci. Technologie takie jak kształtowanie ruchu, jakość usługi (QoS) i routing oparty na telemetrii mogą dodatkowo poprawić wydajność ruchu na krawędzi usługi bezpieczeństwa — poprzez traktowanie priorytetowo przepustowości dla krytycznych aplikacji, a także omijanie przeciążeń, opóźnień i innych problemów podczas kierowania ruchem.

Kolejnym elementem Cloudflare One jest Argo Smart Routing, które optymalizuje ruch warstw 3 do 7, inteligentnie kierując ruchem, omijając przeciążenia, utracone pakiety i inne problemy spotykane w Internecie. Dodatkowe funkcje kształtowania ruchu i jakości usługi zostaną dodane do Cloudflare One w przyszłości.

Analiza zagrożeń

Funkcje bezpiecznego dostępu wymagają stale aktualizowanego kanału informacyjnego na temat znanych i nowych typów ataków wymierzonych we wszystkie warstwy stosu OSI. Możliwość zintegrowania kanałów informacyjnych stron trzecich to dobry początek, jednak natywne dane na temat zagrożeń oparte na ruchu na krawędzi usługi będą bardziej pomocne.

Cloudflare One korzysta z informacji nt. zagrożeń zbieranych z ponad 20 milionów zasobów internetowych w sieci Cloudflare, które są stale wykorzystywane w naszych zasadach bezpiecznego dostępu, zapewniając klientom ochronę przed nowymi zagrożeniami.

Współdziałanie: integracje, standardy i komponowalność

Platforma SASE zastępuje wiele komponentów starszej architektury sieci, jednak możesz zdecydować się na dalsze korzystanie z wybranych istniejących narzędzi i wprowadzenie nowych dopiero po jakimś czasie. Krawędź usługi musi być więc zgodna z istniejącymi dostawcami łączności, sprzętem i narzędziami, by umożliwić sprawną migrację do SASE.

Jednocześnie krawędź usługi powinna ułatwić implementację nowych standardów technologicznych i bezpieczeństwa, takich jak TLS 1.3 i HTTP3. Powinna być także w pełni komponowalna, pozwalając wszystkim usługom współpracować tak, by dawały lepsze rezultaty, niż zbiór indywidualnych, osobnych rozwiązań.

Cloudflare One integruje się z innymi platformami, na przykład dostawcami tożsamości, zabezpieczeniami punktów końcowych, urządzeniami SD-WAN, dostawcami łączności czy narzędziami SIEM. Istniejące narzędzia bezpieczeństwa i IT mogą działać wspólnie z Cloudflare One i wymagają minimalnych prac integracyjnych.

Cloudflare jest także liderem w rozwijaniu standardów internetowych i sieciowych. Wszelkie nowe standardy i protokoły internetowe prawdopodobnie powstały z udziałem naszego zespołu badawczego.

Cloudflare One jest także w pełni komponowalne, dzięki czemu możesz zacząć od jednego zastosowania i stopniowo dodawać dalsze funkcje, tworząc w swojej sieci efekt „1+1=3”.

Orkiestracja: automatyzacja i programowalność

Wdrażanie konfiguracji SASE i późniejsze zarządzanie nią może być skomplikowane, kiedy wychodzimy poza skalę kilku użytkowników, aplikacji i lokalizacji. Krawędź usługi powinna oferować pełną automatyzację i programowalność, w tym możliwość zarządzania infrastrukturą jako kodem z użyciem narzędzi takich jak Terraform.

Cloudflare One zapewnia pełną obsługę interfejsów API i Terraform, umożliwiając proste wdrożenie konfiguracji oraz zarządzanie nią.

Widoczność: analiza danych i dzienniki

Twój zespół powinien mieć pełen wgląd w ruch przechodzący przez krawędź usługi. W klasycznym, obwodowym modelu bezpieczeństwa zespoły ds. IT i bezpieczeństwa mogły uzyskać wgląd w ruch poprzez konfigurację punktów dostępu w nielicznych lokalizacjach, gdzie wchodzi on w sieć korporacyjną i ją opuszcza. Gdy aplikacje opuściły centra danych, a użytkownicy zaczęli pracować zdalnie, uzyskanie dostępu do tych danych stało się znacznie trudniejsze. Jednak ponieważ w architekturze SASE cały ruch jest kierowany przez krawędź usługi z jedną płaszczyzną sterowania, możesz odzyskać pełny wgląd — poprzez znane formaty, takie jak dane przepływu i przechwytywanie pakietów, a także dzienniki i analizę danych.

Wszystkie komponenty bezpiecznego dostępu Cloudflare One generują bogate dzienniki danych i analizę, z którymi można zapoznać się bezpośrednio na pulpicie nawigacyjnym Cloudflare One; mogą one być także wypychane do narzędzi SIEM w celu zaawansowanej analizy.

Przejdź do modelu SASE z Cloudflare One

W ciągu najbliższego tygodnia będziemy ogłaszać nowe funkcje, które dalej rozwiną możliwości platformy Cloudflare One, jeszcze bardziej ułatwiając Twojemu zespołowi realizację wizji SASE. Możesz śledzić te informacje na stronie głównej tygodnia innowacji lub skontaktować się z nami, by zacząć już dzisiaj.

Chronimy całe sieci korporacyjne, pomagamy klientom sprawnie tworzyć aplikacje o skali internetowej, przyspieszamy działanie wszelkich witryn i aplikacji internetowych, zapobiegamy atakom DDoS, trzymamy hakerów z daleka oraz możemy pomóc Ci we wdrażaniu modelu Zero Trust.

Odwiedź stronę 1.1.1.1 na dowolnym urządzeniu i zacznij korzystać z naszej bezpłatnej aplikacji, dzięki której Twój Internet będzie szybszy i bezpieczniejszy.

Aby dowiedzieć się więcej o naszej misji budowania lepszego Internetu, przejdź tutaj . Jeśli interesuje Cię zmiana ścieżki kariery, sprawdź nasze wolne stanowiska.
Cloudflare One WeekCloudflare Zero TrustBezpiecz.SASE

Obserwuj nas w serwisie X

Annika Garbers|@annikagarbers
Kenny Johnson|@KennyJohnsonATX
Cloudflare|@cloudflare

Powiązane wpisy

23 października 2024 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

15 października 2024 13:00

Protect against identity-based attacks by sharing Cloudflare user risk scores with Okta

Uphold Zero Trust principles and protect against identity-based attacks by sharing Cloudflare user risk scores with Okta. Learn how this new integration allows your organization to mitigate risk in real time, make informed access decisions, and free up security resources with automation....