提供咖啡店網路

在簡化網路的同時，實現安全的遠端存取

過去近十年，企業 IT 領導者一直管理著兩種截然不同的現實。我們為辦公室打造了「堡壘」，採用防火牆、嚴格的虛擬區域網路 (VLAN) 與昂貴的 MPLS 線路來防護；與此同時，我們也為遠端工作人力架設了「通路」——最初透過 VPN，近期則轉向 Zero Trust 網路存取 (ZTNA) 解決方案來保護。

雖然這些並行措施帶來了價值，但也造成了網路環境的碎片化。遠端使用者的網路體驗與辦公室員工的體驗截然不同。這不僅給團隊帶來了營運上的負擔，也造成了組織安全態勢的不一致。

現在正是整合這兩種模式的時候。我們必須停止把分支辦公室當作資料中心來管理，而要開始用「咖啡店」的方式來看待它們。

Gartner 提出「咖啡店網路」一詞來描述這項轉變。其概念看似簡單，卻極具啟發性：讓全體員工都能享有簡單、快速的網際網路連線，並安全地存取所需的所有應用程式——無論他們身處家中、分支辦公室，或是鄰近的咖啡店中。

這種做法捨棄了過時的「可信 LAN」概念；相反地，我們可以將公用網際網路作為主要企業 WAN，在大幅降低基礎架構成本的同時，實際提升安全性。

儘管表面簡單，實作咖啡店網路仍需要妥善規劃。遵循策略藍圖，有助於高階主管簡化網路架構，並提供一致且「網際網路優先」的員工體驗。

「可信」辦公室的矛盾

在過去，分支機構的安全性仰賴一系列本地設備：用於驗證的網路存取控制 (NAC) 解決方案、用於網段分隔的 VLAN，以及用於執行授權的網路防火牆。這種「逐台設備」的管理模式，在規模化時難以持續。它需要本地專業人才，還得頻繁派遣工程師到場更新。此外，它也造就了一個脆弱的環境，使用者所在的位置就決定了其安全政策。

咖啡店模式提出了一個根本問題：如何在不需要依賴網路本身安全性的前提下，為所有使用者提供安全的連線？

於是，安全存取服務邊緣 (SASE) 應運而生。這是一種基於雲端的架構，將軟體定義網路與安全服務整合於一身。SASE 平台的核心元件之一是 ZTNA，它預設所有使用者、裝置與位置皆不可信任。如果 ZTNA 能為遠端使用者提供更佳、更細緻且基於身分的管控，那為何他們一走進辦公室，這層防護就被關閉？只要讓 ZTNA「永遠啟用」，辦公室網路就成了一條「笨管道」——在傳輸層面上與星巴克或機場貴賓室毫無區別。

透過結合 ZTNA 的 SASE，以及其他網路即服務 (NaaS) 功能與 Mesh 網路來現代化網路存取，能立即帶來幾項重要效益，包括：

• 簡便性：員工不再需要手動切換 VPN，使用體驗在任何地方都始終一致。

• 敏捷性：新的分支據點只需基本寬頻即可啟用，不必苦等數月架設私人線路。

• 節省成本：企業可省下厚重分支硬體的資本支出，以及 MPLS 的營運開銷。

「隱形」的安全體驗

在過去，「更多安全」往往意味著終端使用者要承受更多摩擦。咖啡店模式則顛覆了這種關係。當我們將辦公室網路視為不可信任的傳輸層時，反而能為員工創造更流暢、更一致的工作流程。

在傳統架構中，使用者的體驗落差很大：在辦公室裡，他們位於可信 LAN 上，可直接存取資源；在家工作時，卻得應付 VPN 切換與回程流量的延遲。而在咖啡店模式中，Zero Trust 代理會建立一層統一的連線層。該代理始終在背景執行，自動處理驗證與路由，使用者幾乎無感知。

這樣能立即帶來兩項體驗優勢：

• 效能平等：無論使用者在總部或飯店，其流量都會透過全球骨幹走最直接的路徑抵達應用程式，而不必繞經中央資料中心形成「髮夾彎」路由。

• 主動支援：由於安全與網路堆疊在裝置上已整合，IT 團隊能深入瞭解使用者真正的數位體驗狀況。他們可以分辨出是裝置緩慢、本地 Wi-Fi 品質差，還是應用程式服務中斷——往往在員工提交工單前就已先行修復問題。

那麼，該如何著手實施？採取三階段方法可有效簡化實作流程。

階段 1：將身分作為新的邊界

轉型的第一步，是將安全通訊與可能不可信任的公用網路脫鉤。我們必須運用雲端交付的基礎架構 (ZTNA) 來保障使用者在任何位置都能安全存取私人應用程式和基礎架構目標。ZTNA 不把端點（如 VPN 或防火牆）置於網路上，而是精準授予員工完成工作所需的最低存取權限，不多也不少。

對於無法安裝代理的未受管理裝置（例如第三方承包商或自備裝置 (BYOD) 情境），我們可採用無代理 ZTNA。透過反向代理與瀏覽器隔離技術，我們在不碰觸裝置的情況下，依據情境（如位置或時間）施行控管。

階段 2：將網際網路用作企業骨幹

一旦使用者透過代理受到保護，分支網路本身即可大幅簡化。目標是從厚重的硬體中心 WAN，轉向代表 SD-WAN 連線演進方向的「輕分支、重雲端」模式。

在這種網際網路優先架構中，分支設備只執行最基本任務：

1. 基本路徑選擇：透過多條網際網路鏈路（光纖、5G 或寬頻）路由流量，以提升韌性。

2. 通道：透過 IPsec 封裝非使用者流量（來自印表機、IoT 裝置或伺服器），送往最近的安全雲端節點。

如此一來，我們可將公用網際網路作為所有連線的底層：透過 SASE 平台（而非 SD-WAN 設備或 MPLS 線路）路由所有網站對網站流量，利用本地網際網路連線延伸 WAN。雲端負責效能最佳化、路由與安全，本地硬體則退居為簡單的商品化設備。

階段 3：處理無人值守裝置

咖啡店模式的主要疑慮，來自無人值守裝置（非使用者）的存在——例如印表機、Wi-Fi 基地台，以及其他無法執行 ZTNA 代理的 IoT/OT 裝置。此時，輕量邊緣設備的價值得以彰顯。我們不必部署複雜的本地 VLAN，而可利用 WAN 邊緣將這些裝置隔離到非 ZTNA 區段，並將其流量送往雲端進行篩選。

這使我們能夠簡化區域網路設計。我們最多應該只保留兩個部分：ZTNA 裝置（可信任使用者）和非 ZTNA 裝置（用於 IoT 裝置和訪客）。我們將停止管理本地存取控制清單 (ACL)，並將所有南北向篩選轉移到雲端原則引擎。

簡化咖啡店網路

雖然咖啡店網路的概念本身不受特定廠商限制，但要落實它，需要一套將網路連線與 Zero Trust 安全整合於單一控制平面的 SASE 平台。而這正是 Cloudflare 的獨到之處。

Cloudflare One 提供了實作咖啡店網路所需的全部要素：ZTNA、NaaS、安全 Web 閘道 (SWG)、防火牆即服務 (FWaaS) 功能，以及數位體驗監控 (DEM)——全部整合在單一統一平台之上。它建立在全球分散的雲端原生架構之上，所有服務皆可在每台伺服器上執行，確保高韌性與一致的政策套用。安全的辦公室與不安全的遠距辦公並存的割裂模式，是過去基於邊界防禦之時代的遺物。採用咖啡店網路架構，可以讓您的基礎架構與混合辦公的實際情況相符。無論使用者在何處工作，您都可以為他們提供一致且安全的體驗，同時避免傳統硬體的成本。

企業網路的未來不是堡壘，而是由安全可靠的網際網路原生連線所構成的全球網路。

Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章，本文為其中之一。

作者

Daniel Creed
Cloudflare 現場資訊安全長

重點

閱讀本文後，您將能夠瞭解：

• 為何企業應避免為遠端與辦公室使用者分別建置獨立網路

• 「咖啡店網路」如何統一體驗並簡化營運

• 簡化咖啡店網路實作流程的三個階段

相關資源

• 咖啡店網路的藍圖

• 網路的未來

• 企業網路現在就是網際網路