![连续6年不跑路的安全速度最适合国人VPN](http://blogs.letsvpn.world/cdn/shop/files/8.png?v=1732520244)
在Cloudflare,随着越来越多的员工远程工作,我们有必要回顾一下我们用于完成工作的系统以及如何保护这些系统。多年来,我们从传统的“把它放在VPN后面!”的公司模式,逐渐迁移到现代的零信任架构。虽然Cloudflare尚未完成这一转型,但我们已经非常接近了。
保护内部应用的策略
我们的整体策略是尽可能用Access(我们的零信任访问代理)来保护每一个内部应用,同时通过Spectrum(一个允许代理任意TCP和UDP流量的产品,能够抵御DDoS攻击)来增强我们的VPN安全性。
从VPN到Access的迁移
在引入Access之前,我们的许多服务都依赖于VPN(Cisco ASA与AnyConnect)来执行严格的身份验证和授权。然而,VPN的使用总是显得笨重:设置困难,维护(安全性)复杂,并且在服务器端扩展性差。每位新员工入职时都需要学习如何配置他们的客户端。
迁移需要时间,并涉及多个团队。虽然我们是一个一个地迁移服务,但我们优先处理高优先级的服务,逐步向下推进。直到最后一个服务迁移到Access之前,我们仍然维持VPN并通过Spectrum保护它。
解决SSH的问题
某些服务不支持HTTP或其他Access支持的协议,仍需要使用VPN:源代码控制(git+ssh)就是一个特别棘手的问题。任何开发者在提交代码时都必须启用VPN。为了实现我们的目标,我们引入了通过Access支持SSH的功能,这使得我们能够用Access替代VPN来保护我们的源代码控制系统。
逐步迁移的成果
经过多年的努力,我们逐步减少了依赖VPN的服务,目前仅剩少数小众工具仍在VPN后面。至今年,我们不再要求新员工在入职时设置VPN!我们可以在Access日志中看到,越来越多的用户每月登录更多应用。
VPN服务的重要性
在从VPN到Access的过渡期间,我们不得不保持VPN服务的正常运行。作为远程工作的重要工具,确保VPN服务的高可用性和性能至关重要。
引入Spectrum:提升安全性与性能
引入Spectrum后,我们的DDoS保护和性能产品为任何基于TCP和UDP的协议提供了支持。我们在VPN前端早期部署了Spectrum,立即看到了安全态势和可用性的改善,而最终用户体验没有任何变化。
通过Spectrum,我们现在利用整个Cloudflare边缘网络来保护我们的VPN端点,抵御DDoS攻击,并改善VPN最终用户的性能。
简单的设置过程
设置过程相对简单,只需最小的配置。Cisco AnyConnect使用HTTPS(TCP)进行身份验证,之后实际数据通过DTLS加密的UDP协议进行隧道传输。
然而,尽管配置和设置相对容易,但实际运行却并非如此。我们的早期用户很快注意到,尽管身份验证工作正常,但他们无法看到任何数据通过VPN流动。我们很快意识到,最大传输单元(MTU)是罪魁祸首。为了避免IPv6与IPv4之间的隧道问题,我们历史上一直将IPv6的MTU设置得很小。我们最终将MTU设置为1420,这一设置至今仍然有效,使我们能够完全通过Spectrum保护VPN。
展望未来
在过去的几年里,我们的VPN基础设施始终安全,员工可以继续远程工作,无论发生什么。总体而言,这是一段非常有趣的旅程,我们逐步减少服务,越来越接近可以正式退休VPN的那一天。对我们而言,Access代表着未来,Spectrum与VPN的结合则是我们在服务迁移期间的过渡方案。
截至2020年初,新员工不再默认获得VPN账户!Cloudflare的连接云保护整个企业网络,帮助客户高效构建互联网规模的应用,加速任何网站或互联网应用,抵御DDoS攻击,防止黑客入侵,并帮助您迈向零信任之旅。
立即体验更安全更快速的互联网
访问1.1.1.1,从任何设备开始使用我们的免费应用,让您的互联网更快、更安全。想了解我们帮助构建更好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的开放职位。