Hace unos meses, anunciamos nuestro deseo de que todo el mundo pudiera acceder a la seguridad Zero Trust, independientemente del tamaño, la escala o los recursos disponibles. Argo Tunnel, nuestro método seguro de conectar recursos directamente a Cloudflare, es la siguiente pieza del rompecabezas.
Argo Tunnel crea una conexión segura, únicamente saliente, entre tus servicios y Cloudflare con el uso de un conector ligero en tu entorno. Con este modelo, tu equipo no tendrá la necesidad de identificar puntos débiles en tu firewall o validar que el tráfico procede de las direcciones IP de Cloudflare.
Anteriormente, el precio de Argo Tunnel variaba en función del consumo de ancho de banda como parte de Argo Smart Routing, la función de aceleración de tráfico de Cloudflare. Desde hoy, nos complace anunciar que cualquier organización puede utilizar la función de conexión segura y saliente del producto sin coste. Si lo deseas, puedes añadir la función de pago Argo Smart Routing para acelerar el tráfico.
Como parte de este cambio (y para eliminar posibles confusiones), también vamos a cambiar el nombre del producto a Cloudflare Tunnel. Para empezar, regístrate hoy mismo.
Si te interesa saber cómo y por qué lo hacemos, sigue leyendo.
Una conexión privada a la red pública de Internet
En 2018, Cloudflare incorporó Argo Tunnel, una conexión privada y segura entre tu servidor de origen y Cloudflare. Tradicionalmente, desde el momento en que se implementa una propiedad en Internet, los desarrolladores dedican mucho tiempo y energía a bloquearla mediante listas de control de acceso, direcciones IP rotatorias o soluciones engorrosas como los túneles GRE.
Hemos desarrollado Tunnel para aliviar ese volumen de trabajo.
Con Tunnel, los usuarios pueden crear una conexión privada desde su servidor de origen directamente a Cloudflare sin una dirección IP enrutable públicamente. En su lugar, esta conexión privada se establece ejecutando un daemon ligero, cloudflared, en tu servidor de origen, que crea una conexión segura y únicamente saliente. Esto significa que solo el tráfico que pasa por Cloudflare puede llegar a tu servidor de origen.
Cómo desarrollamos Tunnel
En un principio, desarrollamos Tunnel para resolver un problema sencillo. Era innecesariamente difícil conectar un servidor a Internet. En lugar de implementar otros modelos heredados, queríamos crear una forma eficaz de establecer una conexión privada directamente con Cloudflare. Este objetivo nos interesaba especialmente porque también queríamos resolver lo que era un problema fundamental para muchos de nuestros clientes.
Desde 2010, Cloudflare ha dado de alta nuevos usuarios solicitándoles que completen un proceso de dos pasos: 1) añadir su propiedad de Internet y 2) cambiar sus servidores de nombres. El segundo paso es importante porque una vez que cambias tus servidores de nombres, las solicitudes realizadas a tus recursos llegan primero a la red de Cloudflare. Cloudflare puede utilizar esta proceso como una oportunidad para bloquear el tráfico no deseado o malicioso en lugar de que los posibles atacantes lleguen directamente a tus direcciones IP de origen. Este modelo se conoce comúnmente como proxy inverso.
Pero, ¿qué ocurre si un atacante descubre esa dirección IP de origen? ¿Podría sortear Cloudflare por completo? Ahí es donde entra en juego Tunnel. Tunnel protege tu servidor de origen estableciendo conexiones únicamente salientes con Cloudflare. Este enfoque elimina los requisitos del modelo heredado de implementar reglas de entrada en tu equipo, dejando a menudo tu infraestructura expuesta a los ataques. Y lo que es más importante, en realidad puedes mejorar los controles de seguridad de tu servidor de origen aplicando reglas Zero Trust a través de Cloudflare, que validan cada solicitud a tu recurso.
Con esto, supongamos que estás trabajando en un entorno de desarrollo local para una nueva aplicación web y quieres compartir actualizaciones de forma segura con un amigo o colaborador. Primero instalarías cloudflared para conectar tu servidor de origen a Cloudflare. Después, crearías tu instancia de Tunnel y generarías un nombre de host en el panel de Cloudflare utilizando tu identificador único universal (UUID) de Tunnel para que los usuarios puedan llegar a tu recurso y ejecutar tu instancia de Tunnel. También puedes añadir una política Zero Trust con Cloudflare Access a tu registro DNS para que solo tus amigos y colaboradores puedan ver tu recurso.
Mejoramos Tunnel
En los últimos meses, también hemos estado trabajando para optimizar la estabilidad y la persistencia. Para mejorar la estabilidad, hemos eliminado las dependencias internas que hacían que Tunnel necesitara que nuestros planos de control y de datos estuvieran en línea y disponibles para las reconexiones del servicio Tunnel.
Con la eliminación de estas dependencias internas, las instancias de Tunnel pueden reiniciar las conexiones con facilidad sin necesidad de que ambos servicios estén disponibles simultáneamente. También hemos migrado a Unimog, el equilibrador de carga de perímetro de Cloudflare, que ha aumentado la duración media de una instancia de Tunnel determinada de minutos a días. Cuando estas conexiones admiten tiempos activos más prolongados y dependen menos de dependencias internas, favorecen una mayor estabilidad en todo el mundo.
También queríamos trabajar en la persistencia. Antes, si cloudflared necesitaba reiniciarse por cualquier motivo, tratábamos cada reinicio como un nuevo Tunnel. Este abordaje suponía crear un nuevo registro DNS, así como establecer una conexión con Cloudflare.
En nuestra última versión, hemos implementado el concepto de Named Tunnels. Con Named Tunnels, los usuarios pueden asignar a una instancia de Tunnel un nombre permanente que luego crea una relación directa con tu UUID de Tunnel. Este modelo permite que estos dos identificadores se conviertan en registros persistentes que pueden permitir la reconexión autónoma. Ahora, en el caso de que tu Named Tunnel necesite reiniciarse, tu instancia de cloudflared puede hacer referencia a esta dirección UUID para volver a conectar en lugar de empezar cada reinicio desde cero.
¿Qué puedes hacer ya con tu instancia de Tunnel?
En Cloudflare, nuestra misión es ayudar a mejorar Internet, y estamos encantados de dar un paso más hacia esa misión de facilitar Tunnel a todo el mundo. Estamos impacientes por ver cómo aprovecharás la mejora de la estabilidad, la persistencia y la seguridad Zero Trust que ofrece Tunnel.
Con Tunnel, hemos visto que las posibilidades son tan creativas como tú. Así que, en lugar de decirte cómo utilizar Tunnel, aquí tienes dos formas sencillas de empezar:
- Conecta una aplicación o servidor: conecta un servidor de origen a Cloudflare a través de un nombre de host público.
- Crea una red privada: activa el acceso remoto a las aplicaciones de la red privada.