在現代企業與開發團隊中,內部系統、測試環境與後台管理工具,往往需要被嚴格保護。傳統做法可能是 VPN 或 IP 白名單,但這些方式維護成本高,使用體驗也不佳。
Cloudflare Access 就是 Cloudflare Zero Trust 平台中的核心產品之一,它提供了 「零信任存取控制」 的能力,讓你可以像 Google BeyondCorp 一樣,不用 VPN,就能安全管控內部應用的存取權限。
零信任模型 (Zero Trust)
細粒度控制
取代 VPN
整合身份驗證
審計與紀錄
假設我們有一個內部管理網站:
https://admin.example.com
我們希望:
進入 Cloudflare Zero Trust Dashboard → Access
→ Applications
→ Add an application
選擇:
Admin Portal
admin.example.com
建立一個 policy,例如:
Allow Example Staff
Allow
@example.com
再加一個規則:
Default Deny
Deny
可以選擇:
例如選擇 Google Workspace,這樣員工只要用 Google 帳號登入即可。
https://admin.example.com
後端應用程式可以驗證 Cloudflare Access JWT,以下是 Node.js 範例:
import jwt from "jsonwebtoken";
import jwksClient from "jwks-rsa";
import express from "express";
const app = express();
// Cloudflare Access 發行的 JWKS URL
const client = jwksClient({
jwksUri: "https://yourteam.cloudflareaccess.com/cdn-cgi/access/certs",
});
function getKey(header, callback) {
client.getSigningKey(header.kid, (err, key) => {
const signingKey = key.getPublicKey();
callback(null, signingKey);
});
}
app.get("/secure", (req, res) => {
const token = req.headers["cf-access-jwt-assertion"];
if (!token) return res.status(401).send("No token provided");
jwt.verify(token, getKey, {}, (err, decoded) => {
if (err) return res.status(403).send("Invalid token");
res.send(`Hello ${decoded.email}, welcome to the admin portal!`);
});
});
app.listen(3000, () => console.log("Server running on port 3000"));
這樣就能確保只有通過 Cloudflare Access 驗證的人能訪問 /secure
API。
Cloudflare Access 提供了一個「無需 VPN 的零信任存取方案」,重點特性包含:
應用場景:
它既能簡化維運,又能提升安全性,是傳統 VPN 的替代方案。
這家在三重三和夜市是排隊名店,有一次特別跑去吃小楊脆腸,結果才發現湳雅夜市就有,調味很鮮,脆腸超好吃,配菜都很讚