在混合辦公與雲端應用普及的今日,傳統以「城堡與護城河」為概念的邊界安全模型已顯得捉襟見肘。企業的資料與應用程式分散於各地,包含多個saas應用程式,員工與合作夥伴也需要從任何地點、使用任何裝置進行存取。傳統 VPN 不僅速度緩慢、管理複雜,影響團隊生產力,更無法有效防範來自內部或已滲透網路的橫向移動攻擊。
為此,一種全新的資安理念——「零信任」(Zero Trust)應運而生。其核心原則非常明確:「永不信任,始終驗證 (Never Trust, Always Verify)」。此架構假設網路中不存在任何可信的內部區域,每一次的存取請求,無論其來源於何處,都必須經過嚴格的身分驗證、設備狀態檢查與權限授權。
Cloudflare Zero Trust 正是實踐此理念的領導性平台。它將網路即服務 (NaaS) 與安全即服務 (SaaS) 融合為單一的 SASE (安全存取服務邊緣) 架構,也就是cloudflare one平台,讓任何規模的組織都能捨棄傳統硬體,以更現代、高效且安全的方式保護使用者與應用。本文將深入淺出,整合多方實戰經驗,為您詳細拆解 Cloudflare Zero Trust 的核心元件、設定流程,並提供具體的應用整合教學。
零信任架構的核心原則
要掌握 Cloudflare Zero Trust,首先必須理解其背後的安全哲學。這不僅僅是單一產品,而是一整套策略的體現,主要包含以下幾個關鍵原則:
- 持續監控與驗證:預設不信任任何使用者或裝置,即使它們位於公司內部網路。每次存取請求都需獨立驗證身分與權限,且連線會在一段時間後逾時,強制重新驗證。
- 最低權限原則 (Least Privilege):僅授予使用者完成其工作所必需的最小存取權限。這大幅縮小了潛在的攻擊面,一旦某個帳號被盜,其破壞範圍也能被限制在最小程度。
- 裝置存取控制:不僅驗證使用者,也嚴格驗證其使用的裝置。系統會檢查裝置的健康狀態(例如是否更新、是否安裝防毒軟體),確保只有受信任且安全的裝置才能連上內部資源。
- 微分段 (Micro-segmentation):將大型的網路環境切分成許多微小的、獨立的安全區域。即使攻擊者突破了其中一個區域,也無法輕易地橫向移動到網路的其他部分,有效遏制威脅擴散。
- 多重要素驗證 (MFA):作為身分驗證的核心,MFA 要求使用者提供兩種或以上的證明來驗證身分,例如密碼加上手機驗證碼或硬體安全金鑰,極大提高了帳號安全性。
Cloudflare Zero Trust 核心元件解析
Cloudflare 將零信任的複雜概念,轉化為數個可互相搭配的核心服務元件,讓部署與管理變得直觀。
Cloudflare Access (ZTNA)
- 功用:作為 Zero Trust 網路存取 (ZTNA) 的守門員,它取代了傳統 VPN 的角色。當使用者嘗試存取您受保護的應用程式或網站時,Access 會攔截該請求,並將使用者導向登入頁面進行身分驗證。
- 特點:您可以整合多種身分提供者(identity providers),如 Google、GitHub、Okta,或使用一次性密碼 (OTP) 透過 Email 作為驗證方式。它可以精細到保護單一網頁路徑,並根據使用者身分、地理位置、裝置狀態等多維度條件來為員工及第三方合作夥伴制定存取控制權策略。
Cloudflare Tunnel (cloudflared)
- 功用:這是一個極其強大的工具,用於將您的私有網路服務(如 Synology NAS、內部網站、資料庫)安全地暴露給 Cloudflare 網路,而無需在您的防火牆上開啟任何對外的通訊埠。
- 特點:它透過在您的伺服器上執行一個輕量級的常駐程式 cloudflared,建立一條指向 Cloudflare 資料中心的加密連線。所有流量都是「由內向外」發起,徹底杜絕了外部掃描和直接攻擊的風險。
Cloudflare Gateway (SWG)
- 功用:作為安全 Web 閘道 (Secure Web Gateway),Gateway 的主要職責是保護與監控「使用者發起」的對外網路流量。
- 特點:它的安全服務可以過濾 DNS 查詢,並利用 Cloudflare 全球網路的威脅情報阻擋惡意軟體、釣魚網站;也可以作為代理伺服器,檢查 HTTP/S 流量,防止資料外洩。若要解密並檢查 HTTPS 流量,則需要在使用者裝置上安裝 Cloudflare 憑證,此憑證可在後台的 downloads 區塊找到。
Cloudflare WARP Client
- 功用:這是在使用者裝置端(電腦、手機)安裝的應用程式,它是一個智慧型的 VPN 客戶端。
- 特點:開啟 WARP 後,裝置的所有或部分網路流量都會被導向 Cloudflare 的全球網路,從而受到 Gateway 的保護。當它與您的 Zero Trust 團隊整合後,APP 介面會從 “WARP” 變為 “Zero Trust”,並成為驗證使用者與裝置身分的關鍵一環,實現無縫的內部服務存取。
實戰教學:整合手機 APP 與內部服務 (以 Synology NAS 為例)
這是一個常見的使用案例:許多使用者在導入 Cloudflare Access 後會遇到一個痛點,會發現手機的APP被擋在Zero Trust後面,突然無法連線了(如 Synology Photos、DS File、RocketChat)。這是因為這些 APP 不像瀏覽器,無法處理跳轉到登入頁面的驗證流程。以下我們將整合多篇教學的精華,提供一套完整的解決方案。
第一階段:建立 Tunnel 並保護 HTTP 服務
事前準備
- 一個已轉移到 Cloudflare 管理 DNS 的個人網域。
- 一台 Synology NAS,並確認其在內網的固定 IP 位址 (例如 192.168.1.100)。
- 登入 Cloudflare Zero Trust 儀錶板,免費方案需要綁定信用卡,但不會產生費用,未來也可以隨時升級到付費方案。
建立 Application
- 在 Zero Trust 儀錶板左側,選擇 Access > Applications,點擊 Add an application。
- 選擇 Self-hosted。
- Application configuration:
- Application name: 自訂一個易於識別的名稱 (例如 Synology DSM)。
- Session Duration: 設定登入狀態的有效時間。
- Application domain: 輸入您要用來存取 NAS 的網址,例如 nas.yourdomain.com。
- Policy configuration:
- Policy Name: 自訂規則名稱。
- Action: 選擇 Allow。
- Configure rules: 設定允許存取的條件。例如,Selector 選擇 Emails,Value 填入您自己的電子郵件地址。
- 儲存設定,完成 Application 的建立。
建立與設定 Tunnel
- 在儀錶板左側,選擇 Networks > Tunnels,點擊 Create a tunnel。
- 選擇 Cloudflared 作為連接器,點擊下一步。
- Tunnel name: 自訂一個名稱,點擊 Save tunnel。
- 接下來的頁面會顯示不同作業系統的安裝指令,請複製並妥善保存 Token (那一長串隨機字元)。
- 在 DSM 的套件中心 > 設定 > 套件來源,新增 https://packages.synocommunity.com/。
- 在社羣分類中,找到並安裝 Cloudflare Tunnel。安裝完成後,依照提示貼上您剛剛保存的 Token。
- 回到 Cloudflare 儀錶板,在 Tunnel 的 Public Hostnames 頁籤下,設定路由:
- Domain: nas.yourdomain.com (與 Application 設定一致)。
- Service: Type 選擇 HTTPS,URL 填入 192.168.1.100:5001 (假設您的 DSM HTTPS 服務在 5001 埠)。
- 展開 Additional application settings > TLS,開啟 No TLS Verify,以允許 Cloudflare 接受 NAS 的自簽憑證。
- 儲存後,您應該可以透過 https://nas.yourdomain.com 看到 Access 的登入頁面,並在驗證後成功存取 DSM。
第二階段:設定 WARP,讓手機 APP 無縫連線
啟用 Gateway Proxy
- 在儀錶板左側,選擇 Settings > Network。
- 啟用 Proxy,並可選擇性啟用 UDP。
- TLS decryption 保持關閉,這樣使用者端就無需安裝憑證,簡化部署流程(代價是無法監控加密的 HTTP 流量內容)。
設定 Split Tunnels (關鍵步驟)
- 要讓手機 APP 能正常運作,我們需要讓手機透過 WARP 直接連入內網,而不是走外部的 Public Hostname。
- 在 Settings > WARP Client > Device settings 中,點選 Default Profile 右側的 Configure。
- 找到 Split Tunnels,點擊 Manage。
- 預設模式為 Exclude IPs and domains,請將您的內網網段從中移除,或直接切換為 Include IPs and domains 模式。
- 點擊 Add a new split tunnel,將您 NAS 的內網 IP (192.168.1.100/32) 或整個內網網段 (192.168.1.0/24) 新增進去。強烈建議使用 IP 而非網域名稱,因為在 iOS 系統上,基於網域的分割通道可能無效。
修改 Access Policy 允許 Gateway 流量
- 這一步是打通任督二脈的關鍵。
- 回到 Access > Applications,編輯您先前建立的 Synology DSM 應用。
- 在 Policy 頁面,Add a policy。
- Policy Name: Allow WARP Users。
- Action: 選擇 Service Auth (服務驗證,而非一般登入)。
- Configure rules: Selector 選擇 Gateway。
- 最後,將這條 Allow WARP Users 規則拖曳到最頂端,使其優先級最高。
使用者端設定
- 在手機上安裝 Cloudflare WARP 應用程式。
- 進入 APP 的 設定 > 帳戶 > 登入 Cloudflare Zero Trust。
- 輸入您的 團隊名稱 (Team Name),並完成身分驗證。
- 開啟 WARP 連線。
- 現在,您可以直接在 Synology Photos 或其他 APP 中,使用 NAS 的內網 IP (192.168.1.100) 進行登入,APP 將會暢行無阻!
透過這套流程,我們實現了:外部訪客透過瀏覽器存取時,會被 Access 攔截並要求登入;而已安裝並驗證 WARP 的內部員工或您自己,則可以透過 Gateway 的 Service Auth 規則,讓手機 APP 直接存取內網服務,兼顧了安全與便利。
Cloudflare Zero Trust 方案比較
Cloudflare 提供了彈性的方案,從個人玩家到大型企業都能找到適合的選擇。
| 功能 (Feature) | 免費方案 (Free Plan) | 隨用隨付方案 (Pay-as-you-go) | 合約方案 (Enterprise) |
|---|---|---|---|
| 使用者數量 | 最多 50 位使用者 | 無使用者限制 | 無使用者限制 |
| Zero Trust Network Access (ZTNA) | ✔️ | ✔️ | ✔️ |
| 安全 Web 閘道 (SWG) | ✔️ | ✔️ | ✔️ |
| 應用程式連接器 | ✔️ | ✔️ | ✔️ |
| 裝置用戶端 (WARP) | ✔️ | ✔️ | ✔️ |
| 標準記錄保留 | 最多 24 小時 | 最多 30 天 | 最多 6 個月 |
| 支援服務 | 社羣論壇與 Discord | 聊天與工單支援 | 電話、聊天、工單及專業服務 |
| CASB (雲端存取安全代理) | 最多 2 個唯讀 API 整合 | 最多 2 個唯讀 API 整合 | 無限制 (附加服務) |
| DLP (資料遺失防護) | 有限的預先定義設定檔 | 有限的預先定義設定檔 | 功能齊全 (附加服務) |
| RBI (遠端瀏覽器隔離) | 附加服務 | 附加服務 | ✔️ (通常包含) |
| 電子郵件安全 | 附加服務 | 附加服務 | ✔️ (通常包含) |
| SASE 的網路服務 (Magic WAN) | 附加服務 | 附加服務 | ✔️ (通常包含) |
註:Cloudflare CASB (雲端存取安全代理) 可掃描 saas應用程式,發現設定錯誤、未授權活動與影子 IT 等問題。
常見問題 (FAQ)
Q1: 導入 Zero Trust 是否意味著要完全汰換掉 VPN?
答:不一定。許多組織採用分階段導入的方式。您可以從將幾個關鍵的 Web 應用程式遷移到 Cloudflare Access 開始,讓部分使用者體驗 ZTNA 的便利性,同時保留現有的 VPN 供其他用途,逐步完成過渡。
Q2: 個人使用者或小型團隊是否適合使用 Cloudflare Zero Trust?
答:非常適合。Cloudflare 的免費方案提供了最多 50 個使用者的額度,其核心功能(ZTNA, SWG, Tunnel)完全足夠個人玩家或小型團隊保護內部服務、實施安全遠端存取,且無需任何費用。
Q3: 為何我的手機 APP 整合後仍然無法連線?
答:請檢查以下幾個常見問題點:
- Split Tunnel 設定:確認您在 Split Tunnels 中使用的是內網 IP (192.168.1.100/32) 而不是網域,特別是在 iOS 裝置上。
- Access Policy 優先級:確保 Action 為 Service Auth 的那條規則在 Access Policy 列表中處於最頂端。
- WARP 狀態:確認手機上的 WARP 已登入您的 Zero Trust 團隊,並且處於連線狀態。
- APP 登入位址:在手機 APP 中,請務必使用內網 IP 位址進行登入,而不是公開的網域名稱。
Q4: 設定 Gateway 是否一定要在設備上安裝 Cloudflare 憑證?
答:不是強制性的。如果您不安裝憑證,Gateway 依然可以提供 DNS 層級的過濾與監控(例如阻擋惡意網域)。但如果您希望 Gateway 能夠檢查加密的 HTTPS 流量內容(例如防止使用者上傳敏感檔案到特定網站),則必須在設備上安裝 Cloudflare 的根憑證並啟用 TLS Decryption 功能。
總結
Cloudflare Zero Trust 不僅僅是一套工具,它代表著一種安全思維的範式轉移。它將安全性的核心從固定的網路邊界,轉移到了動態的使用者身分與裝置狀態上。透過其高度整合的平台,我們可以:
- 提升安全性:利用 Cloudflare Tunnel 隱藏內部服務,杜絕直接攻擊;透過 Access 實現最小權限存取。
- 改善使用者體驗與團隊生產力:擺脫緩慢且不穩定的傳統 VPN,WARP 用戶可以無縫、快速地存取所有授權資源。
- 簡化管理:在單一的儀錶板上,統一管理所有應用程式的存取策略、監控網路流量,大幅降低 IT 管理的複雜度。
無論您是希望從外網安全存取家庭 NAS 的技術愛好者,還是尋求現代化資安解決方案的企業,Cloudflare Zero Trust 都提供了一個功能強大、擴展性高且極具成本效益的起點,是邁向未來網路安全架構的明智之選。
資料來源
- 手機APP整合Cloudflare Zero Trust – 周詳程式筆記
- 透過Cloudflare Zero Trust 與WARP Client 從外網連回 …
- Access | Zero Trust 網路存取(ZTNA) 解決方案
