Giải pháp ZeroTrust và SASE của CloudFlare
Hãng bảo mật CloudFlare
Cloudflare là một công ty bảo mật được thành lập vào tháng 7 năm 2009. Họ cung cấp CDN, WAF, DNS/ Email security, phòng chống tấn công DDoS và SASE cho các doanh nghiệp, tổ chức phi lợi nhuận, nhà phát triển và người tiêu dùng.
Trụ sở chính của họ ở San Francisco, California, Bắc Mỹ, với khoảng hơn 3000 nhân viên. Cloudflare có mạng lưới toàn cầu của riêng họ, có thể truy cập hơn 285 thành phố ở hơn 100 quốc gia trên toàn thế giới, bao gồm cả những khu vực khó tiếp cận như Trung Quốc. Hơn 10.000 mạng đã kết nối với Cloudflare với tổng dung lượng lên tới hơn 192Tbps, mang đến khả năng truy cập các trung tâm dữ liệu đặt tại Châu Âu, Bắc Mỹ, Trung Quốc đại lục, Châu Mỹ Latinh, Châu Đại Dương, Châu Á, Châu Phi và Caribê.
Cloudflare cung cấp dịch vụ cho mọi loại hình tổ chức/ doanh nghiệp như thương mại điện tử, hành chính công, SaaS, dịch vụ tài chính, chăm sóc sức khỏe, trò chơi, giáo dục, truyền thông và giải trí.
Cloudflare One là gì? Mạng toàn cầu an toàn, được tối ưu hóa
Giải pháp SASE của Cloudflare hay còn được gọi là Cloudflare One, được thiết kế để kết hợp các dịch vụ kết nối mạng với Zero Trust Security trên một mạng toàn cầu. Giải pháp có khả năng phòng chống tấn công DDoS, Zero Trust, tăng tốc lưu lượng và Firewall.
Người dùng có thể kết nối các tài nguyên mà không cần VPN, nhưng vẫn được đảm bảo khả năng ngăn chặn ransomware, phising, malware, thăm dò, lây lan mã độc. Người dùng có thể sử dụng SASE tại 1 trong 285 site trên toàn cầu của Cloudflare cũng như những mạng peer với Cloudflare. Cloudflare One SASE bao gồm các thành phần: Secure Web Gateway (SWG), Firewall as a Service (FWaaS), Zero Trust Network Access (ZTNA) và Wide Area Network as a Service (WANaaS). Tất cả đều được hỗ trợ bởi mạng toàn cầu Cloudflare.
Cloudflare One là một giải pháp mạng dưới dạng dịch vụ dựa trên đám mây toàn diện, được thiết kế để đảm bảo tính bảo mật, tốc độ, đáng tin cậy cho hệ thống mạng của 1 tổ chức/ doanh nghiệp. Cloudflare One thay thế một loạt các thiết bị và công nghệ WAN bằng một mạng duy nhất thông qua giao diện quản trị user interface. Cloudflare One tập hợp an toàn cách người dùng kết nối các ứng dụng, truy cập có kiểm soát vào SaaS, các đường truyền cho các văn phòng chi nhánh vào một nền tảng duy nhất.
Chúng ta cần biết bản chất phức tạp của mạng doanh nghiệp ngày nay: người dùng di động và từ xa, ứng dụng SaaS, hỗn hợp các ứng dụng được lưu trữ trong trung tâm dữ liệu riêng và đám mây công cộng, cũng như thách thức của nhân viên khi sử dụng Internet thoải mái hơn nhưng làm sao để an toàn từ các thiết bị cá nhân và công ty của họ:
Cho dù bạn gọi đây là SASE hay đơn giản là thực tế mới, doanh nghiệp ngày nay cần sự linh hoạt ở mọi lớp của mạng và các tầng ứng dụng. Quyền truy cập an toàn và được xác thực là cần thiết cho người dùng ở bất cứ đâu: tại văn phòng, trên thiết bị di động hoặc làm việc tại nhà.
Kiến trúc mạng doanh nghiệp cần chuyển đổi theo các phương pháp công nghệ tiên tiến, hiện đại mà vẫn đảm bảo yêu cầu truy cập Internet an toàn, được sàng lọc để truy cập SaaS hoặc đám mây công cộng, kết nối ứng dụng an toàn để bảo vệ chống lại tin tặc và tấn công DDoS cũng như truy cập văn phòng tại nhà và chi nhánh một cách nhanh chóng, đáng tin cậy.
Hệ thống biên phân tán (POP) của Cloudflare nằm trước các ứng dụng của tổ chức/ doanh nghiệp được triển khai trên cloud, onpremise hoặc SaaS và tiếp nhận mọi traffic từ người dùng, bot và kẻ tấn công. Tất cả các kết nối đến tổ chức/ doanh nghiệp sử dụng dịch vụ Cloudflare đều phải đi qua các POP thông qua giao thức BGP Anycast. Việc triển khai anycast cho phép đồng nhất thiết lập mạng, thiết kế, dịch vụ chạy trên tất cả các trung tâm dữ liệu biên.
Vì vậy các giải pháp bảo mật của Cloudflare như chống DDoS, WAF, Bot Management có thể được tích hợp liền mạch, kết hợp với các giải pháp nâng cao hiệu suất (CDN, Loadbalancing, Argo Smart Routing…) cung cấp sự bảo vệ toàn diện chống lại nhiều cuộc tấn công DDoS trên L3/4 và L7 nhưng không phải đánh đổi chất lượng dịch vụ, đảm bảo trải nghiệm người dùng được tốt nhất.
Với sự hiện diện rộng rãi trên toàn cầu của Cloudflare, lưu lượng truy cập được bảo mật, định tuyến và lọc lưu lượng được tối ưu hóa sử dụng trí thông minh Internet theo thời gian thực để bảo vệ chống lại các mối đe dọa mới nhất và điều phối bằng những tuyến đường tốt nhất.
Cloudflare One tận dụng sức mạnh của mạng Cloudflare với quản lý danh tính tốt nhất và tính toàn vẹn của thiết bị để tạo ra một giải pháp hoàn chỉnh cho mạng tổ chức/ doanh nghiệp hiện nay cũng như trong tương lai.
Hệ sinh thái đối tác: Quản lý danh tính
Hầu hết các tổ chức đã có một hoặc nhiều hệ thống quản lý danh tính. Thay vì yêu cầu họ thay đổi, Cloudflare đang tích hợp với tất cả các nhà cung cấp nhà cung cấp danh tính hàng đầu, bao gồm Microsoft Active Directory, Google Workspace, Okta, Ping Identity, OneLogin cũng như các nền tảng nhận dạng người tiêu dùng và nhà phát triển được áp dụng rộng rãi như Github, LinkedIn và Facebook.
Đặc biệt, Cloudflare One không yêu cầu tổ chức/ doanh nghiệp phải chuẩn hóa chỉ một nhà cung cấp nhận dạng. Cloudflare thấy rằng nhiều công ty có thể có một nhà cung cấp danh tính cho nhân viên toàn thời gian và một nhà cung cấp khác cho những trường hợp làm theo hợp đồng, hoặc một cái họ tự chọn và một cái khác họ được thừa hưởng từ một thương vụ mua lại.
Cloudflare One sẽ tích hợp với một hoặc nhiều nhà cung cấp danh tính và sau đó cho phép bạn đặt các chính sách nhất quán trên tất cả các ứng dụng của mình.
Hệ sinh thái đối tác: Tính toàn vẹn của thiết bị
Ngoài danh tính, tính toàn vẹn của thiết bị và bảo mật điểm cuối là một phần quan trọng của giải pháp Zero Trust. Cloudflare đã công bố quan hệ đối tác với CrowdStrike, VMware Carbon Black, SentinelOne và Tanium. Các nhà cung cấp này chạy trên các thiết bị và đảm bảo rằng chúng không bị xâm phạm.
Một lần nữa, các tổ chức có thể tập trung vào một nhà cung cấp duy nhất để đảm bảo tính toàn vẹn của thiết bị hoặc có thể kết hợp với Cloudflare One để cung cấp một mặt phẳng điều khiển nhất quán.
Việc hợp tác với các công ty quản lý danh tính và bảo mật điểm cuối hàng đầu này làm cho Cloudflare One trở nên linh hoạt và mạnh mẽ.
Mạng LAN tương lai: Mạng WAN an toàn
Một trong những lợi ích của việc áp dụng mô hình Zero Trust là nó giúp việc kích hoạt các văn phòng chi nhánh và home office dễ dàng hơn, ít tốn kém hơn. Thay vì phải thuê các mạng MPLS đắt tiền để kết nối các văn phòng chi nhánh — điều mà theo nghĩa đen là không thể thực hiện được khi mọi người làm việc tại nhà — thay vào đó, bạn yêu cầu mọi hoạt động sử dụng mọi ứng dụng phải được xác thực.
Điều này phù hợp với một thông điệp mà đa phần các ý kiến ngày nay đồng ý: “có lẽ mạng Internet gần như đủ tốt rồi.” Giống như các văn phòng vật lý, nhiều tổ chức/ doanh nghiệp triển khai MPLS hoặc SD-WAN hiện không có nhiều giá trị hoạt động mà nhân viên vẫn tiếp tục được yêu cầu phải làm việc hiệu quả.
Nếu tổ chức/ doanh nghiệp có thể chuyển sang một mô hình chạy trên Internet được cải thiện, doanh nghiệp có thể cắt giảm được chi phí vào việc duy trì/ mở rộng cho hệ thống mạng cũ. Thay vì cố gắng xây dựng thêm các mạng riêng, mạng công ty trong tương lai có thể tận dụng Internet nhưng với tính bảo mật, hiệu suất và độ tin cậy cao hơn.
Vào cuối năm 2019, chúng ta đã thấy một xu hướng mới đáng lo ngại bắt đầu xuất hiện. Những kẻ tấn công DDoS đã chuyển trọng tâm từ việc đánh sập trang web của tổ chức/ doanh nghiệp ở chế độ ngoại tuyến sang nhắm mục tiêu ngày càng nhiều vào các ứng dụng và mạng nội bộ.
Thật không may, chúng ta đã chứng kiến nhiều cuộc tấn công kiểu này hơn trong suốt đại dịch. Đó không phải là một sự trùng hợp ngẫu nhiên. Đó là kết quả trực tiếp của việc các công ty buộc phải đưa nhiều ứng dụng nội bộ của họ lên Internet hơn để hỗ trợ công việc từ xa.
Điều này cho thấy nếu bạn đang đưa nhiều ứng dụng của mình ra Internet, thì các vấn đề mà ứng dụng truy cập Internet phải giải quyết trong quá khứ giờ đây cũng trở thành các vấn đề của các ứng dụng nội bộ của bạn. Cloudflare thấy rõ rằng tương lai của mạng SASE hoặc Zero Trust cũng cần bao gồm cả giảm thiểu tấn công DDoS và WAF.
Tạo ra mạng Internet đủ an toàn và đáng tin cậy cho doanh nghiệp
Các tổ chức/ doanh nghiệp cần một hệ thống mạng phân tán, toàn cầu giúp tăng tốc lưu lượng truy cập ở bất kỳ vị trí nào.
Cloudflare đã dành cả thập kỷ qua để xây dựng mạng, đưa Internet đến gần hơn với người dùng trên toàn thế giới và hỗ trợ quy mô đáng kinh ngạc. Theo W3Techs, hơn 18% lưu lượng web toàn cầu đã dựa vào mạng của Cloudflare. Cloudflare cũng liên tục đo lường Internet trên quy mô lớn và tìm các tuyến đường nhanh hơn.
Quy mô đó cho phép Cloudflare cung cấp Cloudflare One cho bất kỳ tổ chức nào, bất kể họ ở đâu hoặc lực lượng lao động toàn cầu như thế nào, đồng thời đảm bảo mạng và ứng dụng của họ an toàn, nhanh chóng và đáng tin cậy.
Như chúng ta đã biết, Cloudflare WARP là VPN giúp bạn kết nối với Internet bằng cách sử dụng DNS 1.1.1.1 của Cloudflare đồng thời tối ưu hóa và bảo mật (tức là mã hóa) kết nối của bạn. DNS 1.1.1.1 là một trong những tùy chọn DNS nhanh chóng và an toàn nhất. Bạn có thể sử dụng một ứng dụng duy nhất để trang bị cho kết nối của mình cả DNS WARP và 1.1.1.1.
Vì vậy, bạn đã có được những điều tốt nhất của cả hai tùy chọn với quyền truy cập nhanh. Không giống như các dịch vụ VPN truyền thống, Cloudflare sử dụng mạng lưới máy chủ của mình trên toàn cầu để mang đến cho bạn trải nghiệm nhanh nhất có thể, ngay cả khi bạn kết nối chậm.
Thông thường, tốc độ kết nối của bạn bị ảnh hưởng khi bạn sử dụng VPN; nó quay ngược lại với Cloudflare WARP. Công nghệ của Cloudflare chắc chắn rằng kết nối của bạn đáng tin cậy và ổn định. Nó bắt đầu như một ý kiến sáng tạo về mục đích giải quyết hiệu quả và bảo mật Internet cho điện thoại di động, vì vậy, với dịch vụ VPN thương mại, nó sẽ tiêu hao ít pin hơn và chắc chắn rằng bạn có thời gian phản hồi mạng. nhanh hơn.
Cloudflare WARP khả dụng cho nền tảng Android, iOS và máy tính để bàn, bao gồm Linux, Windows và macOS. Và điều tuyệt vời hơn, ứng dụng WARP bây giờ là 1 trong những con đường để đưa lưu lượng người dùng đến với Cloudflare One. Cloudflare đã xây dựng WARP để hoạt động hiệu quả trên thiết bị di động, không làm hao pin hoặc làm chậm kết nối. Hơn 10 triệu người tiêu dùng đã sử dụng WARP trong năm 2019 (năm đại dịch bắt đầu).
Trong khi đó, Cloudflare đã xây dựng các sản phẩm để mang lại những cải tiến tương tự cho các trung tâm dữ liệu và văn phòng. Magic Transit được công bố vào năm 2019 để cung cấp kết nối IP an toàn, hiệu quả và đáng tin cậy với Internet. Đầu năm 2020, Cloudflare đã mở rộng mô hình đó khi ra mắt Cloudflare Network Interconnect (CNI) để cho phép khách hàng của Cloudflare kết nối trực tiếp các văn phòng chi nhánh và trung tâm dữ liệu với Cloudflare.
Truy cập Cloudflare bắt đầu bằng cách giới thiệu danh tính vào mạng của Cloudflare. Cloudflare áp dụng các bộ lọc dựa trên danh tính và ngữ cảnh cho cả kết nối trong và ngoài nước. Mọi thông tin đăng nhập, yêu cầu và phản hồi đều được ủy quyền thông qua mạng của Cloudflare bất kể vị trí của máy chủ hoặc người dùng. Cloudflare Gateway giữ kết nối với phần còn lại của Internet một cách an toàn. Bằng cách định tuyến tất cả lưu lượng truy cập qua mạng của Cloudflare trước, khách hàng không cần sử dụng tường lửa tại chỗ (on-premise firewall) để loại bỏ các yêu cầu truyền tải Internet làm chậm người dùng.
Một giải pháp hoàn chỉnh và duy nhất
Các sản phẩm trong Cloudflare One được phân làm 2 loại:
- On-ramps: các sản phẩm kết nối người dùng, thiết bị hoặc vị trí với POP của Cloudflare. WARP cho enpoint, Magic Transit và CNI cho mạng, Argo Smart Routing để tăng tốc lưu lượng.
- Bộ lọc: các sản phẩm bảo vệ mạng khỏi các cuộc tấn công, kiểm tra lưu lượng truy cập để tìm các mối đe dọa và áp dụng các quy tắc đặc quyền tối thiểu cho dữ liệu và ứng dụng. Truy cập các quy tắc Zero Trust, Gateway để lọc lưu lượng, Magic Firewall để lọc mạng.
Hầu hết các nhà cung cấp cạnh tranh trong lĩnh vực này đều tập trung vào một trong 2 hình thức trên, điều này làm mất đi hiệu quả của việc kết hợp chúng trong một giải pháp duy nhất. Cloudflare One tập hợp những thứ đó lại với nhau trên mạng của Cloudflare. Bằng cách tích hợp cả hai hình thức trên, Cloudflare cung cấp cho quản trị viên một nơi duy nhất để quản lý và bảo mật mạng của họ.
Điều gì làm nên sự khác biệt của Cloudflare One
Dễ triển khai, quản lý và sử dụng
Cloudflare luôn cung cấp các gói miễn phí và trả theo mức sử dụng mà các nhóm thuộc mọi quy mô có thể đăng ký bằng thẻ tín dụng. Để phục vụ mọi nhóm người dùng ở mọi trình độ CNTT khác nhau, Cloudflare đã xây dựng một mặt phẳng điều khiển và bảng điều khiển có thể truy cập và dễ sử dụng. Các sản phẩm trong Cloudflare One cũng tuân theo cách tiếp cận đó; đủ toàn diện cho các doanh nghiệp nhưng dễ sử dụng để làm cho các sản phẩm này có thể tiếp cận được với bất kỳ nhóm nào.
Giải pháp hợp nhất
Cloudflare One đặt toàn bộ mạng của tổ chức/ doanh nghiệp phía sau một mặt phẳng duy nhất. Bằng cách tích hợp với các nhà cung cấp danh tính hàng đầu và giải pháp bảo mật điểm cuối, Cloudflare One cho phép các tổ chức/ doanh nghiệp thực thi một bộ chính sách nhất quán trên tất cả các ứng dụng của họ. Vì mạng là mẫu số chung của tất cả các ứng dụng, nên bằng cách tích hợp quyền kiểm soát vào mạng, Cloudflare One đảm bảo các chính sách nhất quán cho dù ứng dụng là mới hay cũ, chạy tại chỗ hay trên đám mây và được phân phối từ cơ sở hạ tầng của chính bạn hoặc thuê nhà cung cấp SaaS.
ROI hiệu quả
Nguyên lý cốt lõi của Cloudflare là phục vụ toàn bộ Internet và điều đó đòi hỏi Cloudflare phải quan tâm đến chi phí. Tính hiệu quả nằm trong DNA của Cloudflare và Cloudflare sử dụng tính hiệu quả của mình để đưa ra mức giá cố định, thân thiện với khách hàng. Cloudflare One xây dựng dựa trên trải nghiệm đó để cung cấp một nền tảng tiết kiệm chi phí hơn so với việc kết hợp các nhà cung cấp giải pháp khác nhau. Để đạt được mức độ hiệu quả cần thiết nhằm cạnh tranh với các thiết bị phần cứng, Cloudflare phát minh ra một loại nền tảng mới. Nền tảng đó cần được xây dựng trên mạng riêng của Cloudflare, nơi có thể giảm chi phí và đảm bảo mức hiệu suất cao nhất.
Nó cần phải được kiến trúc để bất kỳ máy chủ nào ở bất kỳ thành phố nào tạo nên mạng của Cloudflare đều có thể chạy mọi dịch vụ của Cloudflare. Điều đó có nghĩa là Cloudflare One chạy trên mạng toàn cầu của Cloudflare trải dài hơn 285 thành phố trên toàn thế giới. Ngay cả các văn phòng chi nhánh xa nhất của bạn và nhân viên làm việc từ xa cũng có khả năng hoạt động trong vòng một phần nghìn giây đối với các máy chủ cung cấp năng lượng cho Cloudflare One, đảm bảo dịch vụ hoạt động tốt ở bất cứ nơi nào nhóm của bạn làm việc. Cloudflare One cũng giúp đơn giản hoá việc triển khai. Cloudflare One cho phép bạn kết nối các nhà cung cấp khác nhau vào một mặt phẳng điều khiển mạng thống nhất để đảm bảo các chính sách nhất quán.
Tận dụng quy mô của Cloudflare
Như chúng ta biết, Cloudflare giờ đây là một phần của Internet. Điều đó cho phép Cloudflare liên tục thấy và phản ứng với các mối đe dọa bảo mật mới. Điều đó cũng có nghĩa là lưu lượng truy cập của khách hàng Cloudflare One có thể được định tuyến hiệu quả hơn, ngay cả khi truy cập vào các ứng dụng trên Internet công cộng.
Chẳng hạn, một người dùng sử dụng Cloudflare One đang mua sắm trong giờ nghỉ trưa của họ, có thể định tuyến lưu lượng truy cập của họ từ văn phòng chi nhánh công ty, qua Magic Transit của Cloudflare, qua đường trục toàn cầu của Cloudflare, qua kết nối mạng của Cloudflare và đến nhà cung cấp thương mại điện tử. Vì Cloudflare xử lý các gói từ đầu đến cuối nên Cloudflare có thể đảm bảo chúng được mã hóa, định tuyến tối ưu và phân phối hiệu quả. Khi ngày càng nhiều Internet sử dụng Cloudflare, trải nghiệm lướt Internet dành cho khách hàng của Cloudflare One sẽ trở nên đặc biệt hơn nữa.
Cloudflare One thay thế cái gì?
Thay vì các liên kết MPLS đắt tiền hoặc triển khai SD-WAN phức tạp, Cloudflare One cung cấp hai đường nối trên các ứng dụng của bạn và toàn bộ Internet: WARP và Magic Transit. WARP kết nối người dùng từ mọi thiết bị và mọi vị trí với mạng của Cloudflare. Magic Transit cho phép triển khai rộng rãi trên toàn bộ văn phòng hoặc trung tâm dữ liệu.
Truy cập Cloudflare thay thế mạng riêng dưới dạng bảo mật bằng các điều khiển Zero Trust. Bạn có thể mở rộng Quyền truy cập vào bất kỳ ứng dụng nào, kể cả ứng dụng SaaS. Cuối cùng, Cloudflare One loại bỏ tường lửa mạng và web gateway truyền thống. Cloudflare Gateway kiểm tra lưu lượng rời khỏi bất kỳ thiết bị nào trong tổ chức của bạn để chặn các mối đe dọa trên Internet và ngăn dữ liệu rời đi. Magic Firewall sẽ cung cấp cho mạng của bạn khả năng bảo mật tương tự, lọc lưu lượng truy cập ở transport layer để ngăn chặn việc đánh cắp dữ liệu hoặc tấn công từ các giao thức mạng không an toàn.
Chi tiết xin liên hệ:
Product Manager: Mr Đạt – 0919.590.036
Công ty cổ phần giải pháp công nghệ Sonic
Tầng 16, Tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, TP. Hà Nội
Tel: 02466.564.587
Email: sales@sonic.com.vn