Cloudflare выпустила инструмент для защиты API при VPN-соединении
Cloudflare Access защищает приложение владельца при использовании VPN-соединения и позволяет контролировать пользователей при прохождении авторизации.

Cloudflare рассказали об инструменте для защиты API при подключении через VPN. Cloudflare Access позволяет приложению контролировать каждого пользователя при прохождении авторизации. Он закрывает доступ к конфиденциальной информации (частным ключам и журналу событий) пользователям, при этом владелец API может настраивать доступ участников команды к данным.
Защита API
Cloudflare Access проверяет токен (JSON Web Token) при выполнении запроса через браузер или командную строку. Инструмент подписывает токен в момент успешной авторизации поставщика идентификатора. Токен содержит идентификационные данные и данные о сессии. Проверяя его, сеть Cloudflare разрешает или ограничивает доступ к приложению.
Авторизация
Вход через браузер перенаправляет пользователя к поставщику идентификатора, а данные токена хранятся в cookie-файлах. В то же время инструмент Cloudflare CLI помогает авторизоваться с помощью командной строки. cloudflared
открывает окно браузера для авторизации через поставщик идентификатора, после чего Access создаёт токен. Второй вариант доступен в бета-режиме, а правила использования описаны на странице.
Вместо его размещения в cookie-файлах, он передаётся на устройство, поэтому повторная авторизация не требуется. Время действия токена пользователь задаёт в настройках Cloudflare Access. Во время запроса Access ищет HTTP-заголовок cf-jwt-access-assertion
вместо cookie-файлов. При использовании c URL cloudflared
использует подкоманду для вставки токена в заголовок.
Использование cloudflared
обусловлено двумя причинами:
- Настраиваемый доступ для определённых пользователей. Владелец настраивает доступ к конечным точкам для ограниченной группы пользователей. Остальная информации будет доступна для всей команды.
- Загрузка конфиденциальной информации. Вместо траты времени на поиск данных через интерфейс, владелец может скачать конфиденциальную информацию при помощи командной строки. Достаточно знать адрес её размещения.
Работа с Cloudflare Access
Начало использования инструмента пошагово описано в документации. Перед этим необходимо добавить в Cloudflare имя хоста, на котором развёрнут API. Пользователь лично создаёт сконфигурированную политику для различных путей HTTP API. Cloudflare Access отслеживает каждый запрос и принимает или отклоняет его согласно заданным правилам.
В конце сентября 2018 года Cloudflare добавила в свою сеть доставки контента поддержку TLS-расширения ESNI. Оно передает имя хоста при HTTPS-соединении пользователя в зашифрованном виде и таким образом затрудняет отслеживание трафика.