网络即服务让鞋类零售商迈向零信任

位于马里兰州的鞋类零售商 DTLR 的信息技术总监 Nigel Williams-Lucas 面临着大多数 IT 高管都会认识到的挑战：企业正在大力推进数字化转型，而 IT 基础设施却难以跟上步伐。

商店经理正在从库存和销售等后端系统中寻求更好的数据分析和商业智能。该企业希望 IT 系统能够支持客户在线订购并在两小时内到实体店取货。

网络需要安全地支持实时、带宽密集型 IP 安全摄像头。Williams-Lucas 希望推出信标技术，网络通过蓝牙或Wi-Fi收集有关顾客店内活动的信息，并可以根据顾客在店内的位置和他们购买的商品向他们的手机发送折扣信息。似乎有兴趣。

DTLR 特有的另一个问题给 IT 带来了挑战。这家专门从事运动鞋、服装和配饰的公司通过马里兰州自己的广播电台制作原创节目。车站也在路上。例如，可在移动应用程序上使用的 DTLR Radio 从格莱美现场直播。Williams-Lucas 需要确保他可以安全地将内容推送到 DTLR 的 250 家商店。

为了解决他的挑战清单中的安全方面，Williams-Lucas 选择了Cloudflare 提供的网络即服务 (NaaS)产品，这使他走上了零信任之路，而无需支付资本支出或更换任何硬件。他说 NaaS 是一个有点模糊的术语，对不同的组织可能有不同的含义，但对于 DTLR 来说，“NaaS 是我们实现零信任的分阶段方法。”

从 IPSec VPN 转向云

DTLR 的 IT 风格是谨慎行事，小步前进。Williams-Lucas 说，“我需要非常严格地了解如何推出产品。我可以关闭公司，但没有人愿意这样做。

“我们没有大量的资源；我们没有庞大的工程团队。我想让业务增长，但我需要以一种可控且智能的方式来实现。我们需要为我们的团队提供一个单一的视图，以便能够执行在我们的零售店中生效的更改，而不必逐一查看每个零售店。我们希望能够审核事物以确保它们是正确的。对于网络安全，我需要能够看到进出的流量。”

DTLR（前身为 Downtown Locker Room）以其复古运动鞋而闻名，例如 Air Jordan。不幸的是，该公司的 IT 基础设施也相当落后，旧硬件需要大量维护并且缺乏公司所需的特性和功能。“我们仍然保留着一切都在本地的旧基础设施的痕迹，”Williams-Lucas 说。

DTLR 正在转向云端，但采取了一种有条不紊的方法，将一些资源从其基于 VMware 的数据中心服务器迁移到主机托管提供商，并将其他资源直接迁移到 Microsoft Azure。

直到最近，该公司还完全依赖现成的软件——它将 Aptos 用于核心零售系统，如仓储和销售点。但 DTLR 最近聘请了自己的开发人员，并希望过渡到云优先的开发环境。不过，目前该公司的 Kubernetes 开发环境是在本地运行。 

Williams-Lucas 还在处理 90 年代的城堡和护城河安全框架，其中包括将商店连接到集中位置的IPSec VPN 。这造成了单点故障，并且没有为他的团队提供必要的可见性和对网络流量的控制。“从 IT 的角度来看，完全缺乏控制，”他说。

与 Cloudflare 不断发展的关系

DTLR 与 Cloudflare 的关系可以追溯到 2017 年，当时 Williams-Lucas 注册了该公司的安全DNS服务。通过 Cloudflare 汇集所有 DNS 请求，DTLR 能够在一定程度上确保员工没有连接到已知的不良站点，它获得了针对 DDoS 攻击的保护，并且它还获得了对员工在网络上所做的事情的一些可见性。

Williams-Lucas 认为他与 Cloudflare 的关系是共生的，DTLR 的需求和要求与 Cloudflare 快速扩展的产品组合相吻合。他告诉 Cloudflare，DTLR 希望提高网络边缘的安全性，但也没有资本支出资源来更换其边缘设备。

答案是部署 Cloudflare Tunnel，这是一种网络服务，可提供到 Cloudflare 的安全加密链接，无需公开可路由的 IP 地址。Cloudflare 隧道是一种通过确保所有资源请求都通过 Cloudflare 的安全过滤器来在零信任模型中部署应用程序的方法。Williams-Lucas 不必更换他的防火墙；他只是安装了一个软件代理，该代理创建到 Cloudflare 控制平面的仅出站连接。

首要好处之一是能够了解端点流量。他指出，在 Cloudflare 服务之前，这家拥有 35 年历史的公司的端点从未经过适当的审计。他发现了不再使用的遗留端点，并能够将其关闭。

下一步是部署零信任访问控制。它的工作方式是 Cloudflare 服务利用在 Azure 云中运行的 DTLR Active Directory，并根据基于 Active Directory 身份的规则实施零信任策略。

例如，零售店和公司总部需要区别对待。可以对商店实施严格的访问控制策略，但是，“我们不想削弱公司办公室的人员，”Williams-Lucas 说。

在部署 Cloudflare NaaS 的过程中，他的开发团队完成了一个改变游戏规则的内部应用程序，该应用程序已被证明“对我们的业务至关重要”。

该应用程序收集并关联内部指标，并将该数据呈现给商店经理。以前，商店经理必须进入多个门户才能访问与客户、销售、库存等相关的数据。现在，商店经理可以在一个视图中查看这些数据。

“商店经理看到对他们来说很重要的数字，他们现在可以实时看到它，”Williams Lucas 说。新应用程序有助于该公司推出两小时取件服务。

拥有 Cloudflare NaaS 的优势在于，所有员工，无论他们使用何种类型的设备或位于何处，都可以通过安全隧道访问新应用程序。“他们都遵守我们的身份验证规则，这一切都在毫秒内发生；您只需单击一下，它就会运行。”