Cloudflare One — SASE解決方案
Sep 6, 2023
功能
- Zero-Trust security(Proxy-based架構)
- L3-L7 DDoS防護
- 網路防火牆
- 網路加速
Zero Trust Network Access模組
- Cleint端的目的來源可以是SaaS、地端機房
- 取代VPN(client-to-site)
- 可以與第三方Idp/endpoint protection/雲端進行整合
CASB(Cloud Access Security Broker)模組
- 預防使用SaaS解決方案的資料外洩(如One driver/ google driver)並設定控制政策
- 找出shadow IT並設定管理政策
- 透過與API的整合,掃描SaaS的misconfigurations、不合適的存取與其他data at rest的資料保護風險
Secure Web gateway模組
透過隔離的方式讓client的瀏覽器與其他網路協定與port不會直接接觸client devices。malware, ransomware, phishing,command & control, Shadow IT等等此類的Internet風險
Firewall as a Service模組
雲原生的firewall,並且以低於500 ms的延遲對目標來源進行通訊。
WAN as a Service
- SD-WAN
- CDN
- Private WAN
Cloudflare功能表
舊的網路運作模式會有網路與管理的複雜性(也就是效率不足)、維運昂貴、攻擊面積大與到處都瓶頸點:
這代表企業必須自行執行如下的許多功能(也就是許多的filter — 洗流量)。其中Managed Users是指企業可以管理的使用者。不受控的使用者可能有合作夥伴、承包商與駭客。
新的網路運作模式(hub-and-spoke)降低了舊網路模式的缺點。但是新的風險在於這將安全控制完全的交付給廠商。
使用Cloudflare SASE之後,許多的洗流量功能都由Cloudflare All-in-one代勞。
零信任架構路線圖
傳統網路的概念是有
- 有邊界的
- 信任區域是有分等級的(如inside/outside/DMZ)
但zero turst概念卻沒有以上概念。zero turst概念可參閱本部落格零信任的IT環境架構一文。當進行Zero Trust架構時,以下的組件都會在我們的架構當中。
架構中的組件
- small effort代表個人或小型團隊可以完成的
- Medium effort代表一個專屬的團隊
- Large effort代表需要一個大型專案計畫與多個團隊合作
