通过Cloudflare宣布SSH访问-IDC帮帮忙

我们上周举办了一年一度的Cloudflare Retreat。来自近十几个办事处的750多名团队成员花了三天的时间学习,并且他们中的一些人用棒球棒在舞台上粉碎了一个VPNpiñata。是的,你没有看错。

Cloudflare Access中添加的最新功能让我们以更快,更安全的方式来代替我们的内部应用程序,以庆祝更换我们笨重的VPN。您现在可以将需要SSH连接的应用程序(如源控件存储库)放在Cloudflare Access后面。我们很高兴发布相同的功能,以便您的团队也可以破坏您自己的VPN(不包括piñata)。
我们如何粉碎我们的VPN
我们建立了Access以取代我们的企业VPN。我们从基于浏览器的应用程序开始,转移到CLI 操作,然后开始添加越来越多的单点登录集成。我们的团队成员通过将Access与我们的无服务器产品Workers相结合,为Cloudflare仪表板添加了单点登录支持。每当我们将另一个应用程序移到Access后面时,我们改进了每个团队成员的日常工作流 但是,SSH连接阻止了我们。每当我们需要推送代码或审查拉取请求时,我们都不得不回到我们繁琐的VPN上。

虽然VPN给大多数用户带来了不便,但我们的安全团队已将其视为潜在风险。一旦进入专用网络,攻击者就可以暴露漏洞并访问敏感数据。我们的公民社会组织设定了公司范围内的目标,即退出过去十年的网络安全模式 - 同时不影响安全性。Access团队与我们的安全组会面,我们将撤退周设置为将此类应用程序迁移到Access的最后期限,作为增加企业身份和访问管理的整体努力的一部分。我们同意紧迫感,并开始解决SSH挑战。

我们首先建立在其他Cloudflare产品的一些最强大的功能之上。我们依靠Argo Tunnel来保护SSH连接。我们通过利用Argo智能路由加速了这些连接的性能。我们使用Cloudflare的命令行工具cloudflared来建立您的设备与您需要访问的服务器之间的连接。我们能够将应用程序移到Access后面并通过最好的Cloudflare从SSH到达它们。

我们的安全团队考虑了这个原因,以庆祝并设定一个新目标:找到一个真实VPN设备形状的自定义piñata。他们能够有一个及时撤退,我们邀请团队成员在舞台上摆脱。直到我看到我的同事粉碎表示,我才意识到他们对VPN的沮丧程度。

今天,我们正在与您的团队分享这一功能。您不必实际粉碎VPN,但我们认为您的同事和安全团队将像我们一样兴奋。

保护您的服务器
要保护您需要通过SSH访问的服务器,首先将该计算机通过Argo Tunnel公开到Cloudflare网络。Argo Tunnel将您的服务器连接到Cloudflare,无需配置防火墙端口或ACL。创建隧道可确保Cloudflare评估对您计算机的所有请求,以提供安全功能,例如我们的Web应用程序防火墙和未计量的DDoS缓解。

当你配置阿尔戈隧道,你会分配一个主机名,可以在通过CloudFlare的网络互联网到达该服务器。然后,Cloudflare Access可以控制允许谁访问您的服务器。准备好主机名并应用策略后,您可以开始使用cloudflared身份提供程序通过SSH进行连接。

通过SSH连接到您的服务器
当您尝试访问Access后面的Web应用程序时,我们会将您重定向到您的身份提供商。登录后,我们会生成一个JSON Web令牌,并将该令牌存储为浏览器中的cookie。SSH连接需要为最终用户提供略微不同的流程,但同样方便。

首先,您需要安装cloudflared。cloudflared是Cloudflare发布的一个轻量级命令行工具,它将通过SSH将设备的流量代理到服务器。您可以通过向SSH配置文件添加两行来消除对任何唯一命令的需要,这些行始终用于cloudflared代理特定主机名的流量。

设置完成后,您可以尝试从命令行或代码编辑器通过SSH访问资源。cloudflared将启动浏览器窗口并要求您使用您的身份提供商登录。如果您已在浏览器中与该提供程序建立了活动会话,则只会显示“成功”屏幕。无论哪种方式,当您进行身份验证时,Access都会生成令牌并将其传输到cloudflared将其存储在您的设备上并将其包含在所有后续请求中。

下一步是什么?
当我们在Access后面放置一个工具时,我们会帮助我们团队的每个成员更快地完成最好的工作。我们更快地审查拉取请求,并从任何设备提供更多迭代反馈。我们会更频繁地向产品文档添加新的详细信息。我们可以完成这些任务而不会减慢我们的工作时间,而不是等待需要VPN的批处理工作。

最重要的是,Access还使团队的工作更加安全。我们很高兴与我们自己的安全团队合作,构建一个更好地保护我们在Cloudflare上建立的解决方案的解决方案。

您可以在此处使用本指南开始保护需要SSH连接的应用程序。如果您举办自己的VPN粉碎派对,请给我们发送邀请 - 我们将尽我们所能参加(我们将带上披萨)