VPN产品推荐：Cloudflare Access

Teh 更新时间 2024年12月17日

在Cloudflare，我们开发了Access来解决VPN带来的问题。我们的团队成员对VPN的慢速和不便感到厌倦，但这并不是我们需要解决的主要问题。VPN所带来的安全风险需要更好的解决方案。

VPN的安全隐患

VPN打破了网络边界，一旦进入，个人可以访问所有内容。这可能包括敏感信息，如私钥、加密盐和日志文件。作为一家安全公司，Cloudflare对此情况感到不可接受。我们需要一种更好的方法，能够精确控制每个应用程序的访问权限。

Access的解决方案

Access正好满足了这一需求。我们首先将基于浏览器的应用程序放在Access后面。团队成员可以更快地从任何地方连接到应用程序，同时我们提高了整个组织的安全性。然而，有些任务更适合通过命令行来完成，因此我们无法完全摆脱VPN。在命令行中访问服务器仍然需要依赖VPN。

今天，我们发布了一个命令行工具的测试版，以帮助您和我们的团队。在Cloudflare使用此功能之前，调用服务器时我需要停止工作，找到VPN客户端和凭据，登录，然后运行curl命令。借助Cloudflare的命令行工具cloudflared和Access，我可以运行命令 $ cloudflared access curl https://example.com/api，Cloudflare会对我请求服务器的操作进行身份验证。这样，我节省了时间，Cloudflare的安全团队可以控制谁可以访问该端点（并监控日志）。

使用Cloudflare Access保护您的API

为了使用Access保护API，您需要遵循与保护基于浏览器的应用程序相同的步骤。首先，将您的API部署的主机名添加到Cloudflare账户中。

与Access后面的Web应用程序一样，您可以为HTTP API的不同路径创建细粒度的策略。Cloudflare Access会根据您配置的设置评估对API的每个请求的权限。将API放在Access后面意味着来自任何操作（CLI或其他）的请求将继续受到Cloudflare的保护。如果需要，您可以继续使用API密钥作为第二层安全保护。

访问受保护的API

Cloudflare Access通过检查有效的JSON Web Token（JWT）来保护您的应用程序，无论请求是通过浏览器还是命令行发出。当您成功使用身份提供者登录时，我们会发放并签署该JWT。该令牌包含有关您的身份和会话的声明。Cloudflare网络会查看该令牌中的声明，以确定请求是否应该继续到目标应用程序。

当您使用带有Access的浏览器时，我们会将您重定向到身份提供者，您登录后，我们将该令牌存储在Cookie中。从命令行进行身份验证需要不同的流程，但依赖于相同的原则。当您需要从命令行访问Access后面的应用程序时，Cloudflare CLI工具cloudflared会启动一个浏览器窗口，以便您可以使用身份提供者登录。登录后，Access将为您的会话生成一个JWT，范围限定在您的用户身份。

Cloudflare不会将该JWT放入Cookie中，而是通过加密方式安全地传输该令牌到您的机器。客户端为您存储该令牌，因此您无需每次都重新验证。该令牌在Access中配置的会话持续时间内有效。

当您从命令行发出请求时，Access会查找HTTP头 cf-access-token，而不是Cookie。我们会在每个请求中评估该头中的令牌。如果您使用cURL，我们可以帮助您更快地进行操作。cloudflared包含一个子命令，用于包裹cURL并自动将JWT注入到头中。