使用 Cloudflare Zero Trust 进行内网穿透

根據資安院說明，零信任網路 (Zero Trust Network, 簡稱 ZTN) 主要目的是解決現今網路環境複雜，造成信任邊界不明之資安窘境，期望透過對任何資料存取皆永不信任且必須驗證的原則，達成不論在何時何地存取資料皆保證一致安全性之相關技術。

目前數位發展部也正在力推政府單位導入零信任，數位部導入的零信任就是Cloudflare Zero Trust。零信任架構包含身份鑑別、設備鑑別、信任推斷，來加強驗證與資安。

Cloudflare Zero Trust 是一種網路安全模型，強調只信任已驗證的使用者和設備。傳統的網路安全模型假定所有內部使用者都是可信的，而外部使用者是不可信的。這種假設在現代網路環境下已經不再適用，因為許多公司不僅僅是在自己的網路上工作，還有遠程工作和雲端應用。

Cloudflare Zero Trust 提供了一個簡單的解決方案，將所有設備和使用者的身份驗證和訪問控制集中管理。它使用適應性風險評估來驗證設備和使用者的身份，並將訪問控制部署在分佈式邊緣網路上。這樣可以確保訪問者只能訪問他們應該訪問的資源，並且在發生任何風險事件時可以及時應對。

介面

在 Cloudflare 後台點選「Zero Trust」，初次建立會需要建立組織，就會進入儀表板。Zero Trust 計價方式是以驗證後的帳號數量計價，免費方案提供 50 人的額度。

功能

Cloudflare Zero Trust 下有很多小功能組合而成，後續文章會進一步說明：

• Access：將一個安全的登錄入口點新增到網路應用程序之前，並要求使用者驗證身份，根據該身份來限制對該應用程序的訪問權限。使用者可以使用任何支援 SAML 或 OAuth 2.0 的身份驗證提供者，如 G Suite、Microsoft Azure AD、Okta 等，進行身份驗證。
• Tunnel：一種安全的連線方式，可以讓您安全地將本地應用程式和服務部署在 Cloudflare 全球節點上，使其可以公開訪問。可以避免將應用程式和服務直接公開到公共網際網路上，這樣可以更好地保護您的資源免於被攻擊和滲透。
• Gateway：可以保護企業的網路免受網路攻擊、威脅和惡意軟件的傷害。可以防止惡意軟體和病毒，還可以控制和監控員工在工作時的網路活動。
• WARP：是一款虛擬私人網路 (VPN) 應用程式，可讓用戶安全地使用公共 Wi-Fi 或在不受信任的網絡上瀏覽網頁，並提供更快的網際網路連接。也可用於讓 Gateway 監控管理使用者存取網路的行為。

以上幾種防護是可以分開使用的，並不一定 Access、Gateway、Tunnel 都要用到，可以依使用情形使用。架構與關係大概如下：

結語

Cloudflare Zero Trust 是個極有彈性的架構，可以快速的將現有專案納入零信任架構。