Magic WAN Connector maakt eenvoudige koppeling met internationale netwerk van Cloudflare mogelijk
Cloudflare heeft onlangs zijn Magic WAN Connector uitgebracht. Dit is een cruciaal onderdeel van Cloudflare One, het SASE-platform van Cloudflare. De Magic WAN Connector fungeert namelijk als de verbindende schakel tussen de bestaande netwerkhardware van een datacenter of IT-afdeling en het netwerk van Cloudflare. Het biedt een vereenvoudigde software-oplossing die geïnstalleerd is op hardware, maar eventueel ook kan worden geïnstalleerd op een appliance of in een Linux Virtual Machine en wordt beheerd via het Cloudflare One-dashboard. Hierdoor kunnen organisaties binnen enkele minuten hun netwerkverkeer automatisch laten routeren naar de dichtstbijzijnde Cloudflare-locatie.
“De Magic WAN Connector zorgt voor een sterk vereenvoudigde integratie tussen het bestaande netwerk van een datacenter of IT-afdeling en dat van Cloudflare”, vertelt John Engates, Field Chief Technology Officer bij Cloudflare. “Functionaliteit als de Magic One Connector zijn de reden waarom wij Cloudflare steeds vaker positioneren als de ‘connectivity cloud’ - een netwerk dat meerdere cloud-omgevingen met elkaar verbindt en beveiligt.”
Connectivity cloud
Met dit concept van de connectivity cloud biedt Cloudflare een interessante aanpak voor bedrijven die dreigen vast te lopen in een multicloud-omgeving en die steeds meer problemen ervaren met het uitwisselen van data of functionaliteit tussen al die applicaties in de cloud. Vrijwel iedere grotere organisaties heeft al te maken met een IT-omgeving waarin meerdere clouds een rol spelen. Daarbij was de aandacht tot nu toe vooral gericht op de vraag hoe gebruikers toegang kunnen krijgen tot een cloud-omgeving.
De opkomst van multicloud-omgevingen heeft voor nieuwe connectiviteitsuitdagingen gezorgd, legt Engates uit. “Vroeger lag de focus op het eenvoudig toegang geven van gebruikers tot één enkele cloud. Maar nu willen organisaties data en functies delen tussen verschillende clouds – en daar zijn oudere netwerken niet voor ontworpen.” Hij merkt op dat hoewel het mogelijk maken van gebruikerstoegang voorheen de prioriteit was, intercloud-connectiviteit van cruciaal belang is geworden. "Vooral in dit tijdperk van AI moeten we nadenken over hoe we gegevens naadloos en kosteneffectief van de ene cloud naar de andere kunnen verplaatsen in een multicloud-architectuur.”
Daar begint nu verandering in te komen. Dit is ook vanuit oogpunt van kosten van groot belang. Veel IT-afdelingen geven namelijk 20-30% van hun budget uit aan telecom. Een veelal zelf samengesteld MPLS-netwerk is in belangrijke mate verantwoordelijk voor deze uitgaven. Volledig uitbesteden is vaak een veel betere keuze, ware het niet dat teleco’s - veelal de klassieke telecom-partners van enterprise IT-afdelingen - lang niet altijd in staat zijn om de meest optimale financiële en technische prestaties te leveren. Dat kan te maken hebben met samenwerkingen die men al of niet met andere telco’s heeft, terwijl soms ook financiële argumenten een rol spelen bij de routering van data die men voorstelt.
WAF plus Zero Trust
Cloudflare heeft dit gat opgevuld door als het ware een netwerk tussen cloud-omgevingen te creëren. Het bedrijf heeft een wereldwijd netwerk uitgebouwd dat cloud-omgevingen met elkaar verbindt. Begonnen als een content delivery-netwerk met geïntegreerde webapplicatie-firewalls (WAF), exploiteert Cloudflare nu meer dan 300 datacenters wereldwijd. Deze gedistribueerde edge-locaties zorgen ervoor dat gebruikers niet meer dan 50 ms verwijderd zijn van een Cloudflare point of presence. Het hebben van datacenters in grote stedelijke gebieden maakt deze brede geografische dekking mogelijk. Het netwerk is ontworpen met beveiliging als kernprincipe, waarbij vanaf het begin WAF werd ingebouwd en later Zero Trust-mogelijkheden werden toegevoegd. In plaats van een bijzaak te zijn, is beveiliging diep geworteld in de infrastructuur van Cloudflare. Deze veilige backbone met lage latentie maakt naadloze connectiviteit tussen clouds en gebruikerseindpunten mogelijk.
Het vervangen van een eigen MPLS-netwerk is voor veel IT-afdelingen echter een grote stap. Daarom kiezen organisaties vaak voor een stapsgewijze aanpak. Ze kunnen delen van hun oude netwerken uitwisselen in combinatie met het adopteren van nieuwe cloud-gebaseerde apps. Op deze manier kunnen organisaties stapsgewijs ervaring opdoen met Cloudflare als backbone-netwerk tussen cloud-omgevingen en cloud-based applicaties, zonder alles in één keer te moeten vervangen. De risico's die vaak worden geassocieerd met dergelijke grote veranderingen kunnen hierdoor worden geminimaliseerd.
“De Magic WAN Connector vereenvoudigt een migratie naar cloudgebaseerde netwerken aanzienlijk door alle complexe configuraties te automatiseren”, licht Engates toe. Na het aansluiten van de hardware, wordt het netwerkverkeer namelijk automatisch gerouteerd naar de dichtstbijzijnde Cloudflare-locatie. Voorheen was hier een Cloudflare Network Interconnect (CNI) voor nodig, die eerst geconfigureerd moest worden. De komst van de nieuwe connector betekent dat deze configuratie nu volledig is geautomatiseerd. Het betekent ook dat het verkeer dat via een Magic WAN Connector loopt dus ook door Cloudflare’s Web Application Firewalls (WAF) en Zero Trust-beveiligingscontroles gaat, voordat het wordt doorgestuurd naar zijn bestemming. Hierbij maakt het niet uit of dit een andere locatie is op het private netwerk is, een extern gehoste SaaS-applicatie of een toepassing op het open internet.
SASE versus SD-WAN
Eenmaal geïnstalleerd op een netwerklocatie, biedt de Magic WAN Connector dus automatische toegang tot het handhaven van Zero Trust-beveiligingsbeleid voor zowel openbaar als privé-verkeer. Het zorgt ook voor het automatisch configureren van tunnels en routeringsbeleid, waardoor netwerkverkeer naar Cloudflare wordt gestuurd. Daarnaast zorgt de connector voor het optimaliseren van datastromen via de meest gunstige routes en voorziet het in fail-overs voor het geval een bepaald netwerksegment om wat voor reden dan ook tijdelijk niet beschikbaar is of te lage prestaties levert.
“SASE-oplossingen als Cloudflare One pakken veel van de uitdagingen aan waar IT-afdelingen tegenaan liepen toen zij SD-WAN implementeerden om netwerkactiviteiten te vereenvoudigen”, vertelt Engates. SD-WAN biedt orkestratiemogelijkheden om apparaten en configuraties op één plek te beheren, evenals beheer van de last mile zodat verkeer op slimmere manieren kan worden gerouteerd dan met traditionele routiers mogelijk is. Daar staat tegenover dat SD-WAN-apparaten over het algemeen niet beschikken over ingebouwde beveiligingscontroles, waardoor network en security teams vaak een lappendeken van hardware en gevirtualiseerde en cloud-gebaseerde tools moeten zien samen te voegen om hun netwerken veilig te houden. SD-WAN-apparaten kunnen beslissingen nemen over de beste manier om verkeer vanuit een locatie te versturen, maar ze hebben veelal geen manier om het verkeer tussen de last mile en de uiteindelijke bestemming van het verkeer te bepalen. Hoewel sommige SD-WAN-providers gevirtualiseerde versies van hun apparaten op de markt hebben gebracht die in cloud-omgevingen kunnen worden ingezet, ondersteunen ze dan weer vaak geen native cloud-connectiviteit. Daarmee compliceren ze de overgang naar de cloud dus eerder dan dat zij deze stap vergemakkelijken.
Een SASE-oplossing als Cloudflare One vormt dus in feite de volgende fase voor bedrijfsnetwerken. Het biedt een fundamenteel andere architectuur dan traditionele netwerken of SD-WAN. Het is gebaseerd op een principe van ‘light branch, heavy cloud’. Anders gezegd: implementeer de minimaal vereiste hardware binnen fysieke locaties (of virtuele hardware binnen virtuele netwerken, bijvoorbeeld cloud-VPC’s) en gebruik goedkope internet-connectiviteit om de dichtstbijzijnde service edge-locatie te bereiken. Op die locaties kan het verkeer door de daar aanwezige beveiligingscontroles stromen en kan de route naar de bestemming worden geoptimaliseerd - of dat nu een andere locatie binnen het private netwerk van de organisatie is of een applicatie op het openbare internet. Deze architectuur maakt ook externe gebruikerstoegang tot verbonden netwerken mogelijk, wat cruciaal is voor het op een veilige manier ondersteunen van hybride workers of thuiswerkende medewerkers.