Для сетевого инженера уикенд переключения — часто самые напряженные 48 часов в карьере. Представьте себе организацию с 30 000 пользователей, пытающуюся за один промежуток времени перевести 1000+ устаревших приложений с разрозненных VPN на новую архитектуру. Ставки огромны: одно неверно настроенное правило брандмауэра или зависшая сессия могут остановить критически важные сервисы и привести к операционному коллапсу.
Этот риск миграции по принципу "большого взрыва" — самое большое препятствие для внедрения Zero Trust. Организации часто чувствуют себя в ловушке между устаревшей, уязвимой инфраструктурой и процессом миграции, который кажется слишком рискованным для попытки.
Cloudflare и технологический партнёр-поставщик решений CDW меняют этот нарратив. Мы считаем, что успешный переход к SASE (Secure Access Service Edge) не должен ощущаться как прыжок в неизвестность. Объединяя глобальную платформу Zero Trust от Cloudflare с опытом CDW в преодолении самых сложных сбоев развертывания в отрасли, мы предоставляем стратегическую дорожную карту для снижения рисков на этом пути. Мы не просто переносим вашу "сеть" — мы гарантируем, что ваше унаследованное "техническое бремя" преобразуется в современную, гибкую модель безопасности без простоев.
Использование экспертизы партнера для избежания ловушек миграции
Традиционные миграции часто проваливаются, потому что относятся к сети как к простой "водопроводной системе", а не как к сложной экосистеме приложений. Без детальной стратегии многие организации попадают в ловушку "lift-and-shift" — пытаются перенести сотни приложений одновременно, не понимая их внутренних зависимостей.
Чтобы избежать этого, CDW использует учитывающую риски, поэтапную методологию. Этот подход классифицирует каждое приложение в вашей среде по технической сложности. Мы сначала переносим простые, современные приложения, чтобы создать позитивную динамику, оставляя сложные, унаследованные системы для более контролируемого этапа на потом.
Недавний крупномасштабный проект в государственном секторе служит назидательным примером того, что может произойти без такой структуры. В этом случае команда попыталась мигрировать 500 приложений одновременно. Из-за отсутствия поэтапной методологии для приоритизации их 4000+ приложений, переход привел к системным сбоям в обслуживании.
Роль CDW — выступать в качестве архитектора, который предотвращает такие сбои. Стратеги CDW, многие из которых являются бывшими практиками в области безопасности, анализируют эти общеотраслевые точки отказа, чтобы выявить повторяющиеся антипаттерны, которые срывают переход на Zero Trust, и создают более устойчивый план миграции. Относясь к миграции как к проекту модернизации приложений, а не к простой замене подключения, CDW гарантирует, что требования безопасности закладываются в основу перехода, а не добавляются постфактум.
Модернизация legacy-приложений с помощью Cloudflare Access
Чтобы уйти от рисков "всё или ничего" прошлого, мы начинаем с основы решения: Cloudflare Access. Прежде чем рассматривать, как мигрировать сложные унаследованные приложения, важно понять ценность самой платформы. Cloudflare Access заменяет широкий, уязвимый периметр традиционного VPN на модель Zero Trust. Вместо предоставления пользователю доступа ко всему сегменту сети, Access оценивает каждый отдельный запрос на основе идентификации, состояния устройства и других контекстуальных сигналов. Это значительно сокращает поверхность атаки и предотвращает латеральное перемещение, которое приводит к тем системным простоям, о которых мы говорили ранее.
Как только этот уровень безопасности установлен, мы можем начать "оборачивать" унаследованные приложения в Cloudflare Access. Это позволяет нам модернизировать модель безопасности старого приложения, фактически не переписывая его код.
Мы делаем это "оборачивание" в Cloudflare Access, используя определенную логику:
-
Проблема: Унаследованное приложение без встроенной многофакторной аутентификации (MFA) доступно через стандартный VPN, создавая высокорисковую точку входа для злоумышленников.
-
Снижение риска: Используя Cloudflare Tunnel, мы создаем исходящее соединение со встроенными единым входом (SSO) и MFA. Это эффективно скрывает приложение от публичного интернета, так как у него больше нет публичного IP-адреса для сканирования или атаки.
-
Политика: Затем мы применяем политику Cloudflare Access на границе сети. Это требует проверки с помощью аппаратной MFA на конечном устройстве и сканирования состояния устройства еще до того, как один пакет данных достигнет вашего сервера.
Используя эту технику "оборачивания", CDW и Cloudflare делают возможной миграцию организаций в их собственном темпе. Вы получаете немедленные преимущества в безопасности современной облачной среды, в то время как ваши унаследованные приложения продолжают безопасно работать в фоновом режиме.
Аудит перед миграцией
Прежде чем запускать пилотный проект, ИТ-руководители должны провести аудит среды на предмет готовности архитектуры, убедившись, что устаревшие системы технически совместимы с современными протоколами безопасности. «Для крупных развертываний мы фокусируемся на модернизации приложений», — говорит Эрик Марчевиц, руководитель решений в области безопасности в CDW. «Многие унаследованные приложения могут сломаться, если доступ по принципу наименьших привилегий будет применен без должной подготовки».
1. Архитектурная оценка и оценка идентификации
-
Определите поставщиков идентификации: Подтвердите, какие приложения зависят от федеративного поставщика идентификации (например, Okta), а какие используют устаревшие локальные каталоги.
-
Сопоставьте зависимости: Задокументируйте зависимости от внутренних баз данных и API для каждого приложения, чтобы предотвратить перерывы в обслуживании. Эти данные выявляют скрытые вызовы API, которые обычно обрываются во время переключения, если подключение Tunnel на основе токенов служб не поддерживается на стороне сервера.
2. Установите "противопожарный барьер"
Разделите проект на Стратегическую группу (сосредоточенную на стандартах безопасности) и Группу внедрения (сосредоточенную на эффективности). Это гарантирует, что высокоуровневые требования безопасности, такие как необходимые для предотвращения латерального перемещения, не будут обойдены ради скорости развертывания.
3. Стресс-тест на устойчивость сессий
Выявите приложения, использующие устаревшие архитектуры для поддержания устойчивости сессий и избежания разрывов соединения при переключении сотовых вышек. Архитектура Cloudflare, поддерживаемая технологией Dynamic Path MTU Discovery (PMTUD), поддерживает устойчивую сессию на границе сети, даже если IP-адрес клиента меняется. Выявление таких пользователей во время аудита позволяет нам заменить дорогое, негибкое устаревшее оборудование на современную однопроходную архитектуру.
4. Категоризация и установка сроков
По завершении, оставшийся стек приложений распределяется по уровням, чтобы установить реалистичные сроки внедрения:
|
Уровень приложения |
Описание |
Ориентировочные трудозатраты на миграцию |
|
Уровень 0 (Современные SaaS-приложения) |
Нативная поддержка SAML/OIDC, поэтому Cloudflare выступает в качестве бесклиентского прокси поставщика идентификации во время аутентификации |
1–3 часа на приложение |
|
Уровень 1 (Внутренние веб-приложения) |
Стандартные заголовки идентификации и поддержка современных веб-протоколов позволяют развернуть бесклиентский обратный прокси с Cloudflare Tunnel |
3–6 часов на приложение |
|
Уровень 2 (Невеб-приложения типа клиент-сервер) |
Требуется поддержка специфичных портов/протоколов или конфигураций "толстого" клиента, поэтому используются как развертывания Cloudflare One Client, так и Cloudflare Tunnel |
4–8 часов на приложение |
|
Уровень 3 (Унаследованные корпоративные приложения) |
Сложные серверные подключения (например, P2P, двунаправленные) или требования к внутренним зависимостям, поэтому развертывания Cloudflare Mesh или WAN могут дополнять Cloudflare Tunnel. |
1–3 дня на приложение; может потребоваться доработка кода |
Дорожная карта к "скорости отрыва"
Чтобы достичь "скорости отрыва" от унаследованного оборудования, CDW следует поэтапному развертыванию, которое отдает приоритет сосуществованию, а не замене.
-
Этап 1: Стратегия и инфраструктура: Формирование стратегических команд и команд внедрения. Этот этап включает определение стратегов CDW — бывших CISO и архитекторов — для выступления в качестве экспертов для обсуждения.
-
Этап 2: Пилотное развертывание: Развертывание Cloudflare One Client для пилотной группы сотрудников. На этом этапе мы решаем общие проблемы, такие как "налог на задержку", обеспечивая, чтобы производительность не шла в ущерб безопасности.
-
Этап 3: Масштабирование в продакшн: Полное масштабирование по всей организации. Мы поддерживаем период с двумя клиентами, когда пользователи параллельно используют и устаревший VPN, и Cloudflare Access, обеспечивая безопасный путь отката и более легкий переход конечных пользователей к новому подходу Zero Trust.
Производительность как функция безопасности
Однопроходная архитектура Cloudflare выполняет все проверки безопасности одновременно.
«Когда мы говорим с клиентами о гибридной облачной платформе, наиболее значимое изменение — это не просто современная стратегия безопасности. Это операционная скорость», — отмечает Анника Гарберс, руководитель отдела вывода на рынок Cloudflare One. «Переход на единую панель управления позволяет команде безопасности перестать быть узким местом».
Благодаря построению на основе постквантового зашифрованного фундамента мы гарантируем, что этот мост защищён от будущих поколений угроз.
Постройте свой мост с помощью гибкого SASE от Cloudflare One
Модернизация — это строительство моста, а не «большой взрыв». Эта методология отточена в нашем Консультационном техническом совете партнёров, где обратная связь напрямую влияет на нашу продуктовую дорожную карту. Сосредоточившись на модернизации приложений и поэтапном внедрении, организации могут вернуть архитектурный контроль и раз и навсегда устранить штраф за фрагментацию.
Сочетание SASE-платформы Cloudflare и экспертизы CDW в миграции обеспечивает страховочную сеть на этом пути. Вы получаете немедленные преимущества безопасности в виде доступа на основе идентификации и устойчивой к фишингу MFA, без операционного тупика, вызванного масштабным и непродуманным переходом.
Цель заключается не только в том, чтобы перенести ваши приложения в облако. А в том, чтобы, оказавшись там, ваша среда стала более устойчивой, более прозрачной и значительно более сложной для взлома.