สมัครเพื่อรับการแจ้งเตือนเมื่อมีโพสต์ใหม่:สมัครรับข้อมูล

Cloudflare Agent — การปรับใช้ได้อย่างราบรื่นในทุกระดับ

2021-12-10

อ่านเมื่อ 5 นาทีก่อน
โพสต์นี้ยังแสดงเป็นภาษาEnglish, 日本語, Indonesia และ简体中文ด้วย
Cloudflare Agent — Seamless Deployment at Scale

เราเปิดตัว WARP for Desktop เมื่อปีที่แล้ว เพื่อให้ทุกคนสามารถเข้าถึงอินเทอร์เน็ตได้อย่างรวดเร็วและเป็นส่วนตัว ในส่วนลูกค้าธุรกิจของเรานั้น ผู้ดูแลระบบไอทีและความปลอดภัยสามารถใช้เอเยนต์รายเดียวกันและลงทะเบียนอุปกรณ์ในองค์กรของตนภายใน Cloudflare for Teams ได้ ซึ่งเมื่อลงทะเบียนแล้ว สมาชิกในทีมจะสามารถเร่งความเร็วบนอินเทอร์เน็ต พร้อมกับที่ Cloudflare ช่วยกรองความปลอดภัยที่ครอบคลุม ตั้งแต่ฟังก์ชันไฟร์วอลล์ของเครือข่ายไปจนถึงการแยกเบราว์เซอร์ระยะไกล

ตอนเปิดตัวเมื่อปีที่แล้ว เราจัดชุดตัวเลือกการกำหนดค่าที่เรียบง่ายที่รับรองกลไกการปรับใช้งานได้ครอบคลุมสูงสุด เพื่อให้องค์กรของคุณได้รับการปกป้องอย่างรวดเร็ว เรามุ่งเน้นที่การช่วยให้องค์กรรักษาปลอดภัยให้กับผู้ใช้และข้อมูลได้ด้วยการกรอง HTTP และ DNS จากที่ใดก็ได้ โดยเราเริ่มต้นด้วยการรองรับ Mac, Windows, iOS และ Android

นับตั้งแต่เปิดตัว องค์กรหลายพันแห่งได้ปรับใช้เอเยนต์เพื่อให้สมาชิกในทีมและอุปกรณ์ปลายทางมีความปลอดภัย เราได้ยินมาว่า ลูกค้าตื่นเต้นกับการขยายกิจการของตน แต่ต้องการการสนับสนุนระบบปฏิบัติการเพิ่มเติมและควบคุมการกำหนดค่าได้อย่างมีประสิทธิภาพ

และวันนี้เรายินดีที่จะแจ้งให้ทราบว่า Zero Trust Agent มีคุณสมบัติเท่าเทียมกันในทุกแพลตฟอร์มหลักแล้ว นอกจากนั้น คุณยังสามารถควบคุมตัวเลือกใหม่ ๆ เพื่อเลือกวิธีกำหนดเส้นทางการรับส่งข้อมูล และผู้ดูแลระบบของคุณสามารถจัดการการปรับใช้ในวงกว้างได้ เราเปิดตัวโซลูชันใหม่ในวันนี้เพื่อแจ้งว่าเราพร้อมที่จะช่วยคุณกำจัด VPN และเครื่องมือรักษาความปลอดภัยเครือข่ายแบบดั้งเดิมที่ทีมไอทีของคุณเกลียดออกไปได้แล้ว

สร้างขึ้นสำหรับทุกขนาด

ปัจจัยที่สำคัญที่สุดสองประการใน Zero Trust Agent คือความน่าเชื่อถือในทุกแพลตฟอร์มและความน่าเชื่อถือของการเชื่อมต่อ หากคุณเคยจัดส่งซอฟต์แวร์ในสเกลนี้ คุณจะรู้ว่าการดูแลลูกค้าในระบบปฏิบัติการหลักทั้งหมดนั้นเป็นงานที่หนักหนาสาหัส (และมีโอกาสเกิดข้อผิดพลาดได้ง่าย)

แต่เราหลีกเลี่ยงข้อผิดพลาดของแพลตฟอร์มได้ด้วยการเขียนแกนหลักของ Agent ใน Rust ซึ่งช่วยให้สามารถแชร์โค้ดได้ 95% ในทุกอุปกรณ์ เราอ้างถึงโค้ดทั่วไปนี้เป็นการภายในว่า shared daemon (หรือที่เรียกว่า บริการ สำหรับระบบ Windows) การใช้งานแบบ Rust-based โดยทั่วไปช่วยให้วิศวกรใช้เวลาน้อยลงในการทำซ้ำโค้ดในหลาย ๆ แพลตฟอร์ม และยังรับประกันได้อีกว่า ทุกคนจะเข้าถึงการปรับปรุงคุณภาพส่วนใหญ่ได้พร้อมกัน

ในเรื่องความน่าเชื่อถือของการเชื่อมต่อ หากคุณเคยมีประสบการณ์กับ VPN แบบเดิม คุณจะรู้ว่าระบบเดิมนั้นมักเกิดข้อผิดพลาดและทำงานช้า รากฐานเครือข่ายของเราสร้างขึ้นจากการนำ WireGuard ไปใช้งานที่เรียกว่า BoringTun ทั้งนี้ UDP ต่างจาก VPN ทั่วไปที่ทำงานช้า เราใช้ UDP ที่ได้รับการปรับให้เหมาะสมกับรูปแบบที่หลากหลายของโครงสร้างพื้นฐานอินเทอร์เน็ตที่ผู้ใช้เชื่อมต่อในปัจจุบัน (เช่น บนเครื่องบิน ที่ร้านกาแฟ เครือข่ายที่คับคั่งในเมือง ฯลฯ) BoringTun ได้รับการปรับเปลี่ยนให้มีขนาดที่เหมาะสมกับอุปกรณ์สำหรับผู้บริโภคหลายล้านเครื่องตลอดหลายปีที่ผ่านมา ทำให้มั่นใจได้ว่าการรับส่งข้อมูลของคุณจะได้รับการเข้ารหัสและพร้อมรองรับทุกนโยบายที่คุณตัดสินใจใช้

ด้วยพลังของระดับความน่าเชื่อถือ ตอนนี้เราสนับสนุนระบบปฏิบัติการต่อไปนี้ผ่าน Agent ของเราอย่างเต็มที่

  • Windows 8.1, Windows 10 และ Windows 11

  • macOS Mojave, Catalina, Big Sur, Monterey

  • และยังรองรับ M1 ด้วย

  • ChromeBooks (ที่ผลิตหลังปี 2019) (ใหม่)

  • Linux CentOS 8, RHEL, Ubuntu, Debian (ใหม่)

  • iOS

  • Android

สร้างขึ้นเพื่อให้ตรงตามโมเดลการปรับใช้ของคุณ

เมื่อเปิดตัว Agent ครั้งแรก จุดเน้นคือการเข้ารหัสการรับส่งข้อมูลของอุปกรณ์ทั้งหมดไปยังเครือข่าย Cloudflare และอนุญาตให้ผู้ดูแลระบบสร้างนโยบาย HTTP และ DNS ไว้รวมกับการรับส่งข้อมูลนั้น เรายังทราบด้วยว่าลูกค้ากำลังวางแผนย้ายไปยังโมเดล Zero Trust ซึ่งบางครั้งการเปลี่ยนผ่านลักษณะนี้จำเป็นต้องเกิดขึ้นอย่างค่อยเป็นค่อยไป

ในช่วงเปลี่ยนผ่านดังกล่าว เราได้เพิ่มคุณสมบัติที่จะช่วยให้คุณไม่เพียงแค่แทนที่โซลูชันเดิมเท่านั้น แต่ยังสามารถเรียกใช้ซอฟต์แวร์ของเราควบคู่ไปกับโซลูชันเดิมเหล่านั้น เพื่อให้แผนการโยกย้ายดำเนินไปอย่างราบรื่นกว่าเดิม

  • Domain-Based Split Tunneling - บางครั้ง คุณไม่จำเป็นต้องส่งการรับส่งข้อมูลทั้งหมดผ่านเลเยอร์ความปลอดภัยของคุณ เพราะเราสนับสนุนการยกเว้นตาม IP เรียบร้อยแล้ว และตอนนี้เราทำให้คุณสร้างกฎ Split Tunnel ด้วยชื่อโดเมน (เช่น *.example.com หรือ example.com) ได้ง่ายๆ แทนที่จะบังคับให้คุณค้นหา CIDR ที่อยู่ IP สำหรับโดเมนใดโดเมนหนึ่ง

  • Include-Only Split Tunnels - เริ่มแรกเราสร้าง Agent บนสมมติฐานที่ว่าการรับส่งข้อมูลของอุปกรณ์ทั้งหมดควรได้รับการเข้ารหัสและส่งไปยังเครือข่ายของเรา เพื่อให้แน่ใจว่าการรับส่งข้อมูลจะไม่ถูกสอดแนมและอนุญาตให้ผู้ดูแลระบบมองเห็นได้ตลอด แม้ว่าในบางครั้ง คุณต้องการส่งการรับส่งข้อมูลบางส่วนไปยัง Cloudflare และยกเว้นส่วนที่เหลือไว้ตั้งแต่ต้น Include-only split tunneling ทำได้เพียงแค่นั้น เปิดโอกาสให้คุณเลือกเส้นทางที่ต้องการไปที่เครือข่ายของเรา หากคุณต้องการเปลี่ยน VPN แบบเก่าโดยเร็วเพื่อเชื่อมต่อกับทรัพยากรของ Cloudflare Tunnel หรือเพียงต้องการให้แน่ใจว่า การรับส่งข้อมูลไปยังโครงสร้างพื้นฐานที่ละเอียดอ่อนที่สุดของคุณอยู่ภายใต้การตรวจสอบ HTTP แนะนำให้ใช้กฎ include-only split tunnel

  • พัฒนาโดเมนส่วนบุคคล - บางองค์กรเริ่มการโอนย้ายโดยใช้ผลิตภัณฑ์ Zero Trust ของ Cloudflare ควบคู่ไปกับ VPN ของบุคคลที่สามที่มีอยู่แล้ว ในอดีต Agent ของเราสนับสนุนการกำหนดค่าโดยอนุญาตให้ผู้ดูแลระบบตั้งความละเอียดชื่อโดเมนสำรองเพื่อส่งการร้องขอ DNS สำหรับกรณีการใช้งานที่ไว้ใจได้ผ่าน VPN อย่างไรก็ตาม นี่เป็นการตั้งค่าแบบมีผลทั้งระบบ และยังขาดการควบคุมว่าการร้องขอนั้นจะส่งไปที่ใด เราจึงได้เพิ่มความสามารถเพื่อ กำหนดเซิร์ฟเวอร์ DNS ที่ควรตอบสนองต่อโดเมนส่วนตัว และตามที่ได้พูดไปแล้วในสัปดาห์นี้ ว่าจะสามารถใช้งานกับความสามารถของเครือข่าย Zero Trust แบบใหม่ได้ด้วย

  • โหมด Posture-only (เร็วๆ นี้) — เราได้พูดไว้ก่อนหน้านี้เกี่ยวกับความสำคัญของ Device Posture และความสามารถของเรา ในช่วงไตรมาสแรกของปี 2022 เราจะส่งความสามารถเพื่อให้ agent ของเราใช้งานในโหมด Posture-only ได้ ทำให้ลูกค้าของเราไม่ต้องส่งคำร้องขอ DNS หรือส่งการรับส่งข้อมูลอื่นๆ ให้กับเรา ซึ่งจะช่วยให้คุณเริ่มต้นใช้งานนโยบาย posture ของ Cloudflare Access โดยไม่ต้องเปิดการตรวจสอบ HTTP ของผู้ใช้ของคุณ

สร้างเพื่อการกำหนดค่าแบบไม่มีสะดุด

การใช้งาน agent ใดๆ กับผู้ใช้เป็นร้อยเป็นพันบัญชีอาจมีอุปสรรคด้านโลจิสติกส์ เราสร้าง agent สำหรับ Cloudflare for Teams ให้สามารถนำมาใช้งานได้แบบไม่มีสะดุดตามที่ทีมคุณต้องการ การประกาศในวันนี้ให้คุณมีตัวเลือกมากขึ้นเพื่อใช้งาน agent กับทั้งองค์กรด้วย API และการควบคุมโดยอาศัย Terraform

การทำให้งานบริหารจัดการเป็นอัตโนมัติเป็นวิธีที่ดีที่สุดที่จะช่วยให้ทำงานได้ต่อเนื่อง ที่ Cloudflare เราสร้าง UI ไว้บน RESTful APIs ตามการร้องของของ HTTPS และการตอบสนองของ JSON หลังจากนั้น APIs เดียวกันนี้ในการจัดการอุปกรณ์ของเราจึงจะเปิดเผยต่อผู้ใช้ผ่าน เอกสาร API ของเรา และเปิดเผยเพิ่มเติมผ่าน ผู้ให้บริการ Terraform ทุกอย่างที่เปิดเผยในเวอร์ชันเว็บ https://dash.teams.cloudflare.com/ จะมีให้บริการผ่านหนึ่งในอินเทอร์เฟซเหล่านี้

เพื่อเป็นตัวอย่างว่าคุณจะสามารถใช้งานอัตโนมัติอย่างไร เราจะมาดูที่ Split tunneling ตามโดเมนของเรา เพื่อการอ้างอิง นี่คือ เอกสาร API และ สิ่งเทียบเท่า Terraform

เพื่อสร้างกฎการ include ที่อ้างอิงตามโดเมน สำหรับ example.com

curl -X PUT "https://api.cloudflare.com/client/v4/accounts/699d98642c564d2e855e9661899b7252/devices/policy/include" \
     -H "X-Auth-Email: user@example.com" \
     -H "X-Auth-Key: c2547eb745079dac9320b638f5e225cf483cc5cfdda41" \
     -H "Content-Type: application/json" \
     --data '[{"host":"*.example","description":"Include all traffic to example.com in the tunnel"}]'

กฎเดียวกันนั้นสามารถสร้างได้ใน Terraform ด้วย

# Including *.example.com in WARP routes
resource "cloudflare_split_tunnel" "example_split_tunnel_include" {
  account_id = "699d98642c564d2e855e9661899b7252"
  mode       = "include"
  tunnels {
    host        = "*.example.com",
    description = "Include all traffic to example.com in the tunnel"
  }
}

การทำงานทั่วไปอีกอย่างหนึ่งคือการสร้างรายงานอุปกรณ์ที่ลงทะเบียน โดยการใช้ รายการอุปกรณ์ API ตัวอย่างต่อไปนี้แสดงให้เห็นวิธีระบุรายการอุปกรณ์ Windows ทั้งหมดที่ลงทะเบียนไว้กับองค์กรของคุณ

curl -X GET "https://api.cloudflare.com/client/v4/accounts/699d98642c564d2e855e9661899b7252/devices?type=windows" \
     --header 'Authorization: Bearer 8M7wS6hCpXVc-DoRnPPY_UCWPgy8aea4Wy6kCe5T' \
     -H "Content-Type: application/json"

การใช้งานคำสั่งนี้จะกลับไปที่ JSON ซึ่งจะมีลักษณะดังนี้

        {
            "created": "2021-12-01T17:14:23.847538Z",
            "device_type": "windows",
            "gateway_device_id": "215f9adc-52ca-11ec-9ece-f240956bdf5f",
            "id": "215f9adc-52ca-11ec-9ece-f240956bdf5f",
            "ip": "150.111.29.1",
            "key": "0mS9vj2gk0KNcXoi50pwfuL49WT0rLGAcX2gVze3ixA=",
            "last_seen": "2021-12-01T17:14:30.110663Z",
            "mac_address": "00:0c:29:6f:11:93",
            "model": "VMware7,1",
            "name": "MYVMWin10",
            "os_version": "10.0.19042",
            "serial_number": "VMware-56",
            "updated": "2021-12-01T17:14:30.110663Z",
            "user": {
                "email": "user@example.com",
                "id": "6a8e079d-8a33-4677-b610-a5e361c0c959"
            },
            "version": "2021.11.278"
        },
        {
            "created": "2021-11-08T23:59:37.621164Z",
            "device_type": "windows",
            "gateway_device_id": "ee02da10-40ef-11ec-bb68-6a56f426bb46",
            "id": "ee02da10-40ef-11ec-bb68-6a56f426bb46",
            "ip": "98.247.211.1",
            "key": "DhUI8nqeVrXL1JFhYbeCFmkeu/XEkkEjVmcZ8UraTDI=",
            "last_seen": "2021-11-08T23:59:37.621164Z",
            "model": "Latitude 7400",
            "name": "CloudBox",
            "os_version": "10.0.19043",
            "serial_number": "7CHR3Z2",
            "updated": "2021-11-23T20:03:12.046067Z",
            "user": {
                "email": "user2@example.com",
                "id": "39663a0d-9f7c-4a24-ae7f-f869a8cf07f1"
            },
            "version": "2021.11.34"
        },

สร้างขึ้นเพื่อให้ทุกคนจัดการได้

ส่วนหนึ่งของการเปิดตัววันนี้ เรายังประกาศ ความร่วมมือทางธุรกิจกับผู้ให้บริการ MDM เพื่อเป็นกลไกให้คุณสามารถใช้งานซอฟต์แวร์กับผู้ใช้ของคุณได้ เรายังทราบอีกว่าองค์กรต่างๆ ยังไม่มี MDM หรือมีผู้ดูแลจัดการการใช้งานที่ชอบอินเทอร์เฟซผู้ใช้แบบเห็นภาพ

ในอีกไม่กี่สัปดาห์ข้างหน้า เราจะเปิด (ในเวอร์ชันเบต้า) ความสามารถในการจัดการมุมมองพฤติกรรมลูกค้าโดยตรงจาก Dashboard ซึ่งจะอนุญาตให้คุณเปลี่ยนแปลงการกำหนดค่าของลูกค้าได้ทันทีโดยไม่ต้องส่งเวอร์ชันใหม่ของลูกค้า

มีอะไรใหม่เร็วๆ นี้

ปีหน้าเป็นช่วงเวลาน่าตื่นเต้นสำหรับลูกค้า เมื่อเราจะเพิ่มการสนับสนุนและความยืดหยุ่นของลูกค้าขึ้นหลังจากใช้งานแล้ว คุณลักษณะบางอย่างที่เราตื่นเต้นที่จะส่งให้คือ

  • การตั้งค่าอุปกรณ์โดยผู้ใช้/กลุ่ม ที่คุณสามารถระบุการตั้งค่าของลูกค้า (เช่น ใครได้รับอนุญาตให้อัปเดตได้ กฎ split tunnel เป็นต้น) ให้กับผู้ใช้ที่แตกต่างกันได้

  • โหมด Posture-only อนุญาตให้คุณเริ่มต้นใช้งานการควบคุม posture ของ Cloudflare Access เพิ่มเติมได้ หากคุณยังไม่พร้อมสำหรับ Cloudflare Gateway

  • การสนับสนุนผู้แจกจ่าย Linux เพิ่มเติม เพื่อให้ทุกคนในองค์กรของคุณได้รับการป้องกัน

  • การตรวจวัดระยะไกลและการวิเคราะห์ การทำงานของอุปกรณ์ในองค์กรของคุณ ตามที่มีความเกี่ยวข้องกับลูกค้าของเราและความต่อเนื่องในการรับส่งข้อมูลไปยังเครือข่ายของ Cloudflare

เชื่อมต่อเลยตอนนี้

คุณสามารถเลือกการดาวน์โหลดสำหรับรายการลูกค้าของเราทั้งหมดด้านล่าง

Windows Download Beta Download Release
macOS Download Beta Download Release
Linux Setup Repository Download Packages
iOS Download Release
Android/Chrome Download Release

.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-0pky{border-color:inherit;text-align:left;vertical-align:top}

Windows

ดาวน์โหลดเวอร์ชันเบต้า

ดาวน์โหลดเวอร์ชันรีลีส

macOS

ดาวน์โหลดเวอร์ชันเบต้า

ดาวน์โหลดเวอร์ชันรีลีส

Linux

ตั้งค่าฐานข้อมูล

ดาวน์โหลดแพ็กเกจ

iOS

ดาวน์โหลดเวอร์ชันรีลีส

Android/Chrome

ดาวน์โหลดเวอร์ชันรีลีส

เราปกป้องเครือข่ายของทั้งองค์กร โดยช่วยลูกค้าสร้างแอปพลิเคชันรองรับผู้ใช้อินเทอร์เน็ตทั่วโลกได้อย่างมีประสิทธิภาพ เพิ่มความรวดเร็วของการใช้เว็บไซต์หรือแอปพลิเคชันอินเทอร์เน็ต จัดการการโจมตีแบบ–DDoS ป้องปรามบรรดาแฮกเกอร์ และช่วยเหลือคุณตลอดเส้นทางสู่ Zero Trust

เข้าไปที่ 1.1.1.1 จากอุปกรณ์ใดก็ได้เพื่อลองใช้แอปฟรีของเราที่จะช่วยให้อินเทอร์เน็ตของคุณเร็วขึ้นและปลอดภัยขึ้น

หากต้องการศึกษาข้อมูลเพิ่มเติมเกี่ยวกับภารกิจของเราเพื่อปรับปรุงการใช้งานอินเทอร์เน็ต เริ่มได้จากที่นี่ หากคุณกำลังมองหางานในสายงานใหม่ ลองดูตำแหน่งที่เราเปิดรับ
CIO Week

ติดตามบน X

Kyle Krum|@KyleKrum
Cloudflare|@cloudflare

โพสต์ที่เกี่ยวข้อง

13 มกราคม 2566 เวลา 14:00

Cloudflare Application Services for private networks: do more with the tools you already love

Today, we’re excited to announce new integrations that make it possible to unlock operational and cost efficiencies for IT teams by allowing them to do more with fewer tools, and enable new use cases that are impossible without Cloudflare’s “every service everywhere” architecture....