打造咖啡店网络

实现安全远程访问，同时简化网络

在过去的近十年里，企业 IT 领导者一直在应对两种截然不同的现实。我们为办公室建设了“要塞”——通过防火墙、严格的虚拟局域网 (VLAN) 和昂贵的 MPLS 电路进行保护。同时，我们为远程员工构建了“隧道”，这些“隧道”由 VPN 以及最近的 Zero Trust 网络访问 (ZTNA) 解决方案提供安全保障。

虽然这些并行举措创造了价值，但它们也导致了各自为政的局面。远程用户的网络体验与在办公室工作人员的网络体验有着根本的不同。这给我们的团队造成运营负担，并导致组织的安全态势不一致。

现在是时候将这两者合而为一了。是时候停止像管理数据中心一样管理我们的分支机构，而开始像管理咖啡店一样管理它们了。

Gartner 创造了“咖啡店网络”一词来描述这种转变。其前提简单得令人难以置信：为您的全体员工提供简单、快速的互联网连接，并确保他们能够安全访问所需的所有应用——无论他们是在家中、分支机构还是在附近的咖啡馆办公。

这种方法摒弃了可信局域网这一过时的概念；相反，我们可以使用公共互联网作为主要的企业广域网，在显著降低基础设施成本的同时，还能有效提升安全性。

尽管咖啡店网络看似简单，但实施时仍需进行一定的规划。遵循战略路线图可帮助管理层简化网络架构，并提供一致的“互联网优先”员工体验。

“可信”办公室的悖论

传统上，分支机构的安全性依赖于一系列本地设备：用于身份验证的网络访问控制 (NAC) 解决方案、用于分段的 VLAN，以及用于实施授权的网络防火墙。这种“使用各种硬件设备”的管理模式在规模化时是不可持续的。这需要本地专业知识，并且需要频繁的现场服务来进行更新。这还会造成一种脆弱的环境，即用户的位置决定了其安全策略。

咖啡店模式提出了一个根本性问题：如何在不依赖网络本身安全性的前提下，为所有用户提供安全连接？

安全访问服务边缘（SASE）应运而生，它是一种基于云的架构，将软件定义网络和安全服务进行了统一整合。ZTNA 是 SASE 平台的核心元素之一。它默认将每个用户、设备和位置视为不受信任。如果 ZTNA 为远程用户提供了卓越、细粒度、基于身份的控制，为什么我们一进入办公室就禁用它呢？通过让 ZTNA 始终保持“全程启用”，办公室网络就会退化为一个“哑管道”——其仅作为传输层，与星巴克或机场贵宾厅的网络并无本质区别。

通过 SASE 与 ZTNA 对网络访问进行现代化改造——并结合其他网络即服务（NaaS）能力以及网状网络——可以立即实现以下重要优势：

• 简单性：员工无需再切换 VPN，无论身在何处，都能获得一致的体验。

• 敏捷性：新的分支站点可以直接使用基础宽带接入，而无需等待数月才能开通专线线路。

• 节省成本：组织可以减少笨重的分支硬件带来的资本支出，以及 MPLS 带来的运营支出。

“无感的”安全体验

从历史上看，“更高的安全性”往往意味着终端用户需要承受更多摩擦。咖啡店模式颠覆了这一固有模式。通过将办公网络视为不受信任的传输层，我们反而能够为员工打造更顺畅、更一致的工作流。

在传统架构下，用户的使用体验会剧烈波动。在办公室，他们处于受信任的 LAN 中，拥有直接访问权限；而在家中，他们却要应对 VPN 的反复切换以及流量回传造成的延迟。在咖啡店模式中，zero trust 代理创建统一的连接层。代理始终处于开启状态，在后台以无感方式处理身份验证和路由。

这在体验方面带来了立竿见影的好处：

• 性能均等：无论用户是在公司总部还是在酒店，其流量都会经由全球骨干网以最直接的路径到达应用，无需回传至中央数据中心。

• 主动支持：由于安全与网络栈在设备上实现了统一，IT 团队能够清晰掌握用户实际的数字体验情况。这些团队能够区分设备运行缓慢、本地 WiFi 连接质量差还是应用中断，因而往往能在用户提交工单之前就解决问题。

那么，您该如何开始呢？ 采用一种三阶段实施方法可简化部署流程。

第一阶段：将身份作为新的边界

这一转型的第一步是将安全通信从潜在的不可信公共网络中分离出来。我们必须使用云交付的基础设施——即 ZTNA——来代理用户对任意位置的私有应用和基础设施目标的安全访问。ZTNA 不是将端点（例如 VPN 或防火墙）部署在网络“上”，而是为您的员工提供执行工作所需的精确访问权限，不多不少。

对于不适合使用代理的非受管设备（例如第三方承包商或自带设备 (BYOD) 场景），我们可以使用无代理 ZTNA。通过使用反向代理和浏览器隔离，我们无需触及设备即可实施基于上下文（例如位置或时段）的控制。

第二阶段：将互联网用作企业骨干网

在通过代理保障用户安全之后，分支网络本身就可以得到彻底简化。目标是从笨重、以硬件为中心的 WAN 转变为“轻分支，重云端”模式，这代表了SD-WAN 连接的演进。

在这种互联网优先架构中，分支设备仅执行最少的任务：

1. 基本路径选择：通过双互联网链路(光纤、5G 或宽带)路由流量以提供韧性。

2. 隧道技术：通过 IPsec 将非用户流量（来自打印机、IoT 设备或服务器）封装并分送到最近的安全云节点。

这使我们能够将公共互联网作为所有连接的基础：通过将所有站点到站点的流量通过 SASE 平台而非 SD-WAN 设备或 MPLS 电路进行路由，我们可以使用本地互联网连接来扩展 WAN。由云端负责性能优化、路由和安全，本地硬件则退化为简单的通用设备。

第三阶段：处理无头设备

咖啡店模式的主要反对意见在于“无头”（非用户）设备的现实情况，例如打印机、WiFi 接入点以及其他无法运行 ZTNA 代理的 IoT/OT 设备。这正是轻量级边缘设备体现其价值之处。我们无需实施复杂的本地 VLAN，而是使用 WAN 边缘将这些设备隔离到一个非 ZTNA 网段中，并将其流量通过隧道传输到云进行过滤。

这使我们能够简化局域网设计。我们应最多划分两个网段：ZTNA 设备（可信用户）和非 ZTNA 设备（用于 IoT 设备和访客）。我们停止管理本地访问控制列表 (ACL)，并将所有南北流量过滤转移到云策略引擎。

简化咖啡店式网络架构

尽管咖啡店式网络架构的理念与厂商无关，但实现它需要一个将网络连接和 Zero Trust 安全集成到统一控制平面的 SASE 平台。这正是 Cloudflare 的独特之处。

Cloudflare One 提供了实现 咖啡店式网络架构 需要的所有组件。它提供 ZTNA、NaaS、安全 Web 网关 (SWG)、防火墙即服务 (FWaaS) 功能以及数字体验监控 (DEM) —— 全部来自单个统一的平台。它基于一个全球分布式、云原生的架构构建，所有服务均运行于每台服务器上，从而确保高韧性和策略应用的一致性。安全办公室与不安全远程办公的割裂模式，是基于边界防护的陈旧理念的遗留产物。采用咖啡店式网络架构，可使您的基础设施与混合办公的现实需求保持一致。无论用户在哪里办公，您都能为其提供一致且安全的体验，同时避免传统硬件的高昂成本。

企业网络的未来不是堡垒。它是一个由安全的互联网原生连接构成的全球网络。

Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章，本文为其一。

作者

Daniel Creed
现场 CISO，Cloudflare

关键要点

阅读本文后，您将能够了解：

• 为什么组织应避免为远程和办公室内用户使用不同的网络

• “咖啡店网络”如何统一体验并简化运营

• 分三个阶段简化咖啡厅网络部署

相关资源

• 咖啡厅网络蓝图

• 网络的未来

• 当今企业网络就是互联网