Qual a diferenca entre Zero Trust e VPN tradicional?

VPN tradicional concede acesso amplo a rede interna apos autenticacao. Zero Trust verifica cada requisicao individualmente, aplicando politicas granulares por aplicacao, usuario e dispositivo. Com Zero Trust, usuarios acessam apenas os recursos autorizados, sem exposicao da rede interna.

O Cloudflare Zero Trust e gratuito?

Sim, o plano gratuito suporta ate 50 usuarios e inclui Cloudflare Access, Gateway e Tunnels. Para equipes maiores ou recursos avancados como isolamento de navegador e DLP, os planos pagos comecam em $7/usuario/mes.

Preciso alterar o DNS para usar Cloudflare Tunnels?

Sim, voce precisa que o dominio esteja gerenciado pelo Cloudflare DNS. O Tunnel cria um registro CNAME automaticamente apontando o subdominio para o tunnel. O trafego flui do usuario ate a rede Cloudflare e de la ate o seu servidor via o tunnel, sem expor portas publicas.

Posso usar Cloudflare Access com meu provedor de identidade existente?

Sim. Cloudflare Access suporta integracao com diversos provedores de identidade incluindo Azure AD, Okta, Google Workspace, GitHub e OneLogin. Voce pode configurar multiplos provedores simultaneamente e permitir que usuarios escolham como se autenticar.

Cloudflare Zero Trust: Acesso Seguro a Aplicacoes Internas

A abordagem Zero Trust substitui VPNs tradicionais por acesso granular baseado em identidade e contexto. O Cloudflare Zero Trust permite expor aplicacoes web internas de forma segura sem abrir portas no firewall, usando Cloudflare Tunnels para trafego criptografado e Cloudflare Access para autenticacao e autorizacao.

Instalando e Configurando Cloudflare Tunnels

O Cloudflare Tunnel cria uma conexao segura de saida do seu servidor ate a rede Cloudflare, eliminando a necessidade de expor portas publicas ou configurar regras complexas de firewall:

# Instalar cloudflared
curl -L https://pkg.cloudflare.com/cloudflared-stable-linux-amd64.deb \
  -o cloudflared.deb
sudo dpkg -i cloudflared.deb

# Autenticar com sua conta Cloudflare
cloudflared tunnel login

# Criar um novo tunnel
cloudflared tunnel create app-interna

# Listar tunnels existentes
cloudflared tunnel list

Apos criar o tunnel, configure o roteamento no arquivo de configuracao. Cada tunnel pode rotear trafego para multiplos servicos internos usando regras baseadas em hostname:

# ~/.cloudflared/config.yml
tunnel: <TUNNEL_ID>
credentials-file: /root/.cloudflared/<TUNNEL_ID>.json

ingress:
  - hostname: app.empresa.com.br
    service: http://localhost:8080
  - hostname: admin.empresa.com.br
    service: http://localhost:3000
  - hostname: grafana.empresa.com.br
    service: http://localhost:3001
  - service: http_status:404

Registre o DNS e inicie o tunnel como servico do sistema para garantir disponibilidade:

# Criar registro DNS automaticamente
cloudflared tunnel route dns app-interna app.empresa.com.br

# Instalar como servico systemd
sudo cloudflared service install
sudo systemctl enable cloudflared
sudo systemctl start cloudflared

Configurando Politicas de Acesso

O Cloudflare Access atua como um proxy reverso de autenticidade na frente das suas aplicacoes. Configure aplicacoes e politicas no painel Zero Trust para controlar quem pode acessar cada recurso:

As politicas de acesso suportam diversos criterios de decisao. Politicas Allow concedem acesso com base em email, grupo do provedor de identidade, pais de origem ou IP. Politicas Block negam acesso explicitamente. Politicas Bypass permitem acesso sem autenticacao para caminhos especificos como health checks.

Para cada aplicacao, defina pelo menos uma politica Allow que especifique quais usuarios ou grupos podem acessar. Combine multiplos criterios como “email termina em @empresa.com.br E pais igual Brasil” para acesso restritivo. Configure tambem uma duracao de sessao para forcar reautenticacao periodica.

Integracao com Provedores de Identidade

O Cloudflare Access suporta multiplos provedores de identidade simultaneamente. Configure o Azure AD para autenticacao corporativa e GitHub como alternativa para desenvolvedores externos:

Para Azure AD, registre uma aplicacao no portal Azure, configure o redirect URI como https://<equipe>.cloudflareaccess.com/cdn-cgi/access/callback e adicione o Client ID e Secret no painel do Cloudflare. Para Google Workspace, use as credenciais OAuth 2.0 do console Google Cloud.

Habilite autenticacao multifator (MFA) no provedor de identidade para adicionar uma camada extra de protecao. O Cloudflare Access respeita as politicas de MFA configuradas no provedor, exigindo o segundo fator antes de conceder acesso as aplicacoes protegidas.

Verificacao de Postura de Dispositivos

Alem da identidade do usuario, o Zero Trust verifica a postura do dispositivo para garantir que apenas equipamentos seguros acessem recursos corporativos. Instale o Cloudflare WARP nos dispositivos gerenciados e configure verificacoes:

# Instalar WARP client no Linux
curl -fsSL https://pkg.cloudflareclient.com/pubkey.gpg \
  | sudo gpg --dearmor -o /usr/share/keyrings/cloudflare-warp-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/cloudflare-warp-archive-keyring.gpg] https://pkg.cloudflareclient.com/ $(lsb_release -cs) main" \
  | sudo tee /etc/apt/sources.list.d/cloudflare-client.list
sudo apt update && sudo apt install cloudflare-warp -y

# Registrar o dispositivo na organizacao
warp-cli teams-enroll <organizacao>

Configure verificacoes de postura no painel Zero Trust para exigir disco criptografado, firewall ativo, versao minima do sistema operacional e presenca de software de seguranca. Dispositivos que nao atendam aos requisitos sao bloqueados automaticamente ate que estejam em conformidade.

Resumo

O Cloudflare Zero Trust substitui VPNs tradicionais com uma solucao mais segura e granular. Com Tunnels para conectividade sem portas expostas, Access para autenticacao baseada em identidade e verificacao de postura de dispositivos, voce protege aplicacoes internas enquanto melhora a experiencia dos usuarios.

Cloudflare Zero Trust: Acesso Seguro a Aplicações Internas

Cloudflare Zero Trust: Acesso Seguro a Aplicacoes Internas

Instalando e Configurando Cloudflare Tunnels

Configurando Politicas de Acesso

Integracao com Provedores de Identidade

Verificacao de Postura de Dispositivos

Resumo

Frequently Asked Questions

Cloudflare Zero Trust: Acesso Seguro a Aplicacoes Internas

Instalando e Configurando Cloudflare Tunnels

Configurando Politicas de Acesso

Integracao com Provedores de Identidade

Verificacao de Postura de Dispositivos

Resumo

Frequently Asked Questions

Artigos Relacionados

Cloudflare Tunnels: Exponha Serviços Locais Sem Port Forwarding

Regras WAF do Cloudflare para Proteger WordPress

Introdução ao Terraform: Infraestrutura como Código para Iniciantes