Оглавление

Как пишет блог Cloudflare, компания представила революционное обновление для своей платформы SASE Cloudflare One. Теперь пользователи могут настраивать маршрутизацию трафика через Cloudflare Tunnel на основе доменных имен и хостов, а не IP-адресов.

Доступ к приложениям вместо сетей

Традиционная модель безопасности, основанная на IP-адресах, давно устарела в условиях современной облачной инфраструктуры. Как отмечается в специальной публикации NIST 800-207, организации должны переходить от модели «замок и ров» к архитектуре нулевого доверия (Zero Trust).

Новый подход позволяет создавать гранулярные политики доступа на основе стабильных доменных имен, например:

  • Только сотрудники группы SRE на управляемых устройствах могут получить доступ к admin.core-router3-sjc.acme.local
  • Только сотрудники финансового отдела в Канаде могут обращаться к canada-payroll-server.acme.local
  • Все сотрудники в Нью-Йорке имеют доступ к printer1.nyc.acme.local

Проблемы IP-ориентированного подхода

IP-адреса стали самым ненадежным идентификатором в современной облачной среде. Основные причины нестабильности:

  • Облачные инстансы: В AWS и других облачных платформах администраторы контролируют имя хоста, но не всегда IP-адрес
  • Балансировщики нагрузки: IP-адреса за AWS ELB могут динамически меняться в зависимости от трафика
  • Эфемерная инфраструктура: Контейнеры в Kubernetes и группы автомасштабирования постоянно создаются и уничтожаются

Это действительно серьезный шаг вперед в упрощении управления корпоративной инфраструктурой. Вместо поддержки сложных скриптов для синхронизации IP-листов администраторы теперь могут работать со стабильными доменными именами. Особенно ценно для распределенных команд, где IP-адреса могут меняться несколько раз в день.

Как работает маршрутизация по доменным именам

Процесс настройки состоит из трех ключевых шагов:

  1. Подключение частной сети: Установка легковесного агента cloudflared в локальной сети сервера для создания защищенного туннеля
  2. Маршрутизация hostname к туннелю: Настройка привязки доменного имени непосредственно к туннелю через панель управления Zero Trust
    Конфигурация маршрутизации по именам хостов в панели Zero Trust
    Источник: blog.cloudflare.com
  3. Создание политик Zero Trust: Настройка правил доступа через Cloudflare Access для HTTPS-приложений или Cloudflare Gateway с использованием SNI
    Конфигурация политики доступа Cloudflare для авторизации по доменному имени
    Источник: blog.cloudflare.com

Для корректной работы необходимо удалить подсети частной сети из списка исключений Split Tunnels и убрать .local из Local Domain Fallback.

Новая функциональность доступна бесплатно для всех пользователей Cloudflare One и представляет собой значительное упрощение процесса настройки корпоративной безопасности без необходимости постоянного отслеживания изменений IP-адресов.