Vor ein paar Monaten haben wir angekündigt, dass wir Zero Trust-Sicherheit allgemein zugänglich machen wollen – unabhängig von Größe, Umfang oder Ressourcen. Argo Tunnel, unsere sichere Methode, Ressourcen direkt mit Cloudflare zu verbinden, ist dabei das nächste Puzzleteil.
Mithilfe eines schlanken Konnektors, der in Ihrer Umgebung implementiert wird, stellt Argo Tunnel eine sichere, ausschließlich ausgehende Verbindung zwischen Ihren Diensten und Cloudflare her. So muss Ihr Team nicht erst mühsam dafür sorgen, dass Ihre Firewall entsprechende Verbindungen zulässt, oder überprüfen, ob der Datenverkehr von Cloudflare-IP-Adressen stammt.
Bisher wurden die Preise für Argo Tunnel aus der Bandbreitennutzung im Rahmen von Argo Smart Routing, der Funktion zur Beschleunigung des Datenverkehrs von Cloudflare, abgeleitet. Doch ab heute können alle Unternehmen diese sichere Lösung, die ausschließlich ausgehende Verbindungen erlaubt, kostenlos nutzen. Und natürlich können Sie immer noch die kostenpflichtige Argo Smart Routing-Funktion in Anspruch nehmen, um den Datenverkehr zu beschleunigen.
Als Teil dieser Änderung (und um Missverständnissen vorzubeugen) benennen wir das Produkt in Cloudflare Tunnel um. Um loszulegen, melden Sie sich einfach an.
Weiter unten erfahren Sie, wie und warum wir dies tun.
Eine nicht öffentliche Verbindung zum öffentlichen Internet
Im Jahr 2018 hat Cloudflare Argo Tunnel eingeführt. Die Lösung bietet nicht öffentliche, sichere Verbindungen zwischen Ihrem Ursprungsserver und Cloudflare. Von dem Moment an, in dem eine Website oder Internetanwendung bereitgestellt wird, verwenden Entwickler traditionell viel Zeit und Energie darauf, diese durch Zugangskontrolllisten, wechselnde IP-Adressen oder schwerfällige Lösungen wie GRE-Tunnel abzusichern.
Um ihnen die Arbeit zu erleichtern, haben wir Tunnel entwickelt.
Damit können Nutzer eine nicht öffentliche Verbindung von ihrem Ursprungsserver direkt zu Cloudflare herstellen, ohne dafür eine routingfähige IP-Adresse zu benötigen. Stattdessen wird ein schlanker Daemon, cloudflared, auf Ihrem Ursprungsserver ausgeführt, der eine sichere, ausschließlich ausgehende Verbindung herstellt. Somit kann nur Datenverkehr, der durch Cloudflare geleitet wird, Ihren Ursprungsserver erreichen.
Entstehungsgeschichte von Tunnel
Ursprünglich haben wir Tunnel entwickelt, um ein einfaches Problem zu lösen: Zuvor war es unnötig kompliziert, einen Server mit dem Internet zu verbinden. Anstatt andere ältere Modelle zu implementieren, wollten wir eine reibungslose Möglichkeit schaffen, eine nicht öffentliche Direktverbindung zu Cloudflare herzustellen. Das war für uns von besonderem Interesse, weil wir damit auch eines der Hauptprobleme vieler unserer eigenen Kunden lösen wollten.
Seit 2010 erfolgt bei Cloudflare die Aufnahme neuer Nutzer in zwei Schritten: 1) Hinzufügen ihrer Internetpräsenz und 2) Ändern ihrer Nameserver. Der zweite Schritt ist wichtig, denn sobald Sie Ihre Nameserver ändern, werden Anfragen an Ihre Ressourcen zuerst an das Netzwerk von Cloudflare weitergeleitet. Cloudflare ist dann in der Lage, unerwünschten oder schädlichen Datenverkehr zu blockieren, sodass Angreifer die IP-Adressen Ihres Ursprungsservers nicht direkt treffen können. Dies wird gemeinhin als Reverse-Proxy-Modell bezeichnet.
Doch was passiert, wenn ein Angreifer die IP-Adresse des Ursprungsservers herausfindet? Könnte er Cloudflare dann nicht einfach umgehen? An dieser Stelle kommt Tunnel ins Spiel. Tunnel schützt Ihren Ursprungsserver, weil damit ausschließlich ausgehende Verbindungen zu Cloudflare hergestellt werden können. So entfallen die Anforderungen des alten Modells, bei dem Regeln für eingehenden Traffic in das System integriert werden müssen, was die Infrastruktur anfällig für Angriffe macht. Noch wichtiger ist, dass Sie die Sicherheitskontrollen Ihres Ursprungsservers verbessern können, indem Sie mithilfe von Cloudflare die Durchsetzung von Zero Trust-Regeln erzwingen, anhand derer jede Anfrage an Ihre Ressource validiert werden muss.
Nehmen wir an, Sie arbeiten in einer lokalen Entwicklungsumgebung an einer neuen Webanwendung und möchten Updates auf sichere Weise an Kollegen übermitteln. In diesem Fall würden Sie zunächst cloudflared installieren, um Ihren Ursprungsserver mit Cloudflare zu verbinden. Dann erstellen Sie Ihren Tunnel und generieren im Cloudflare-Dashboard einen Hostnamen mit Ihrer Tunnel-UUID, damit Nutzer Ihre Ressource erreichen und Ihren Tunnel einsetzen können. Es ist auch möglich, eine Zero Trust-Richtlinie mit Cloudflare Access zu Ihrem DNS-Eintrag hinzufügen, damit nur Kollegen Ihre Ressource sehen können.
Optimierung von Tunnel
In den letzten Monaten haben wir auch an der Verbesserung der Stabilität und Persistenz gearbeitet. Um die Stabilität zu erhöhen, haben wir interne Abhängigkeiten beseitigt, aufgrund derer sowohl die Kontroll- als auch die Datenebene von Tunnel online und für die Wiederherstellung von Tunneln verfügbar sein mussten.
Durch die Beseitigung dieser vorgelagerten Abhängigkeiten können die Tunnel nun Verbindungen zuverlässig neu initiieren, ohne dass beide Dienste gleichzeitig verfügbar sein müssen. Außerdem sind wir auf den Edge-Load-Balancer von Cloudflare, Unimog, migriert, was die durchschnittliche Lebensdauer eines bestimmten Tunnels von einigen Minuten auf mehrere Tage erhöht hat. Wenn diese Verbindungen längere Betriebszeiten unterstützen und weniger auf interne Abhängigkeiten zurückgreifen, sind sie gut aufgestellt, um mehr Stabilität rund um den Globus zu gewährleisten.
Darüber hinaus wollten wir unsere Anstrengungen auf die Persistenz konzentrieren. Wenn cloudflared aus irgendeinem Grund neu gestartet werden musste, haben wir bisher jeden Neustart wie einen neuen Tunnel behandelt. Es musste also ein neuer DNS-Eintrag erstellt und eine Verbindung zu Cloudflare aufgebaut werden.
In unserer neuesten Version haben wir das Konzept der Named Tunnels eingeführt. Mit Named Tunnels können Nutzer einem Tunnel einen dauerhaften Namen zuweisen, der dann eine direkte Beziehung zu Ihrer Tunnel-UUID herstellt. Dieses Modell erlaubt es den beiden Bezeichnern, zu dauerhaften Datensätzen zu werden, die eine autonome Wiederherstellung der Verbindung ermöglichen. Falls Ihr Named Tunnel neu gestartet werden muss, kann Ihre cloudflared-Instanz auf diese UUID-Adresse verweisen, um die Verbindung wiederherzustellen, anstatt jeden Neustart ganz von vorn zu beginnen.
Wofür kann Tunnel jetzt genutzt werden?
Bei Cloudflare haben wir uns vorgenommen, ein besseres Internet zu schaffen. Nun freuen wir uns, mit der Öffnung von Tunnel für die Allgemeinheit einen weiteren Schritt in diese Richtung zu tun. Wir können es kaum erwarten, zu sehen, wie Sie die Vorteile der verbesserten Stabilität, Persistenz und Zero Trust-Sicherheit von Tunnel nutzen werden.
Wir haben festgestellt, dass Ihrer Kreativität bei den Anwendungsmöglichkeiten von Tunnel keine Grenzen gesetzt sind. Deshalb wollen wir Ihnen nicht vorschreiben, wie Sie Tunnel benutzen sollten. Stattdessen bieten wir Ihnen hier ein paar einfache Einstiegsmöglichkeiten:
- Verbindung einer Anwendung oder eines Servers: Verbinden Sie einen Ursprungsserver mit Cloudflare über einen öffentlichen Hostnamen
- Aufbau eines nicht öffentlichen Netzwerks: Aktivieren Sie den Fernzugriff auf Anwendungen im nicht öffentlichen Netzwerk