Cloudflare выпустила инструмент для защиты API при VPN-соединении

Cloudflare рассказали об инструменте для защиты API при подключении через VPN. Cloudflare Access позволяет приложению контролировать каждого пользователя при прохождении авторизации. Он закрывает доступ к конфиденциальной информации (частным ключам и журналу событий) пользователям, при этом владелец API может настраивать доступ участников команды к данным.

Защита API

Cloudflare Access проверяет токен (JSON Web Token) при выполнении запроса через браузер или командную строку. Инструмент подписывает токен в момент успешной авторизации поставщика идентификатора. Токен содержит идентификационные данные и данные о сессии. Проверяя его, сеть Cloudflare разрешает или ограничивает доступ к приложению.

Авторизация

Вход через браузер перенаправляет пользователя к поставщику идентификатора, а данные токена хранятся в cookie-файлах. В то же время инструмент Cloudflare CLI помогает авторизоваться с помощью командной строки. cloudflared открывает окно браузера для авторизации через поставщик идентификатора, после чего Access создаёт токен. Второй вариант доступен в бета-режиме, а правила использования описаны на странице.

Вместо его размещения в cookie-файлах, он передаётся на устройство, поэтому повторная авторизация не требуется. Время действия токена пользователь задаёт в настройках Cloudflare Access. Во время запроса Access ищет HTTP-заголовок cf-jwt-access-assertion вместо cookie-файлов. При использовании c URL cloudflared использует подкоманду для вставки токена в заголовок.

Использование cloudflared обусловлено двумя причинами:

• Настраиваемый доступ для определённых пользователей. Владелец настраивает доступ к конечным точкам для ограниченной группы пользователей. Остальная информации будет доступна для всей команды.
• Загрузка конфиденциальной информации. Вместо траты времени на поиск данных через интерфейс, владелец может скачать конфиденциальную информацию при помощи командной строки. Достаточно знать адрес её размещения.

Работа с Cloudflare Access

Начало использования инструмента пошагово описано в документации. Перед этим необходимо добавить в Cloudflare имя хоста, на котором развёрнут API. Пользователь лично создаёт сконфигурированную политику для различных путей HTTP API. Cloudflare Access отслеживает каждый запрос и принимает или отклоняет его согласно заданным правилам.

В конце сентября 2018 года Cloudflare добавила в свою сеть доставки контента поддержку TLS-расширения ESNI. Оно передает имя хоста при HTTPS-соединении пользователя в зашифрованном виде и таким образом затрудняет отслеживание трафика.