Hoi iedereen, ik heb Cloudflare Zero Access opgezet in het bedrijf waar ik werk, maar ik begrijp nog steeds niet hoe dat een VPN vervangt wanneer het niet voor cloudgebaseerde bronnen is.
Ik heb werknemers die vragen om een VPN om hun verkeer te beveiligen omdat ze mogelijk vanuit some landen werken waar toegang twijfelachtig is. De browser-gebaseerde ZTNA dekt die gevallen zelfs als ze geen toegang hebben tot bedrijfsbronnen?
Hoe zou dat alle andere applicaties die zij gebruiken helpen? Slack, Zoom, enz.
Ik neig ernaar WARP te gebruiken voor die werknemers, maar ik worstel met het begrijpen hoe dit werkt wanneer het niet voor bedrijfswebapplicaties gehost op cloud/on-premise is.
Zou iemand zo vriendelijk willen zijn om wat licht erop te werpen zodat ik het iets beter kan begrijpen?
Aangezien de oorspronkelijke opmerking verwijderd is, ga ik ervan uit dat we vanaf een schone lei beginnen.
VPN, in zijn meest klassieke zin, verbindt een eindpunt of een netwerk met een ander eindpunt of netwerk, bijvoorbeeld zodat je toegang krijgt tot een applicatie, omdat die niet rechtstreeks extern bereikbaar is via het WWW.
Een andere variant van een VPN is om landenblokkeringen of onderdrukkende regeringen te omzeilen, dus je verbindt met een VPN, je bent in (gewoon een voorbeeld, ik bedoel niet dat deze regering onderdrukkend is) Egypte, en je VPN laat je verkeer verlaten in de VS. In dat geval ziet de server of app waarmee je verbindt de VS als eindpunt en laat verkeer door, zelfs als het voor Egypte geblokkeerd is.
Cloudflare en haar ZTNA-infrastructuur zijn niet gebouwd met die tweede variant in gedachten. Ze zijn er om on-premises en cloud zelf-beheerde installaties te beveiligen, zodat je geen port forwarding nodig hebt en ook DDoS- en botbescherming hebt, samen met sterke authenticatie.
De clientloze oplossingen, voor webapps en SSH/VNC, bestaan zodat je de WARP-client niet op je lokale machine hoeft te installeren, zoals je in de andere commentaarlijn al zei. Echter, zoals je uit de vorige zin kunt lezen, heeft het beperkingen met betrekking tot welke apps het kan beschermen. Als een app niet in de browser draait (of een browserapp heeft maar normaal gesproken geïnstalleerd moet worden), dan heb je WARP nodig omdat het op geen andere technische manier gedaan kan worden.
Dus om je verder te helpen met een uitleg, moet ik weten waar je werknemers naar op zoek zijn.
We hebben beide scenario’s in ons bedrijf, ingenieurs zullen waarschijnlijk toegang nodig hebben tot applicaties op onze cloudgebaseerde infrastructuur, zodat ze dat via ZTNA kunnen doen, maar niet-ingenieurs vragen ook VPN-toegang om hun niet-webgebaseerde apps te beveiligen als ze op afstand werken, dus daar komt WARP in beeld.
Heel erg bedankt dat je de tijd hebt genomen om het bovenstaande uit te leggen.
Mag ik je nu iets vragen, als we een server hebben gehost in een publieke cloud en we willen dat de applicatie alleen toegankelijk is via ZTNA, waar zou de authenticatie dan op de zijde van de publieke cloud plaatsvinden? Ik begrijp het als het via DNS met Cloudflare was, maar dat doen we niet.
Misschien mis ik documentatie of kennis hierover, mijn excuses daarvoor, maar dat is het andere puzzelstuk dat ontbreekt.
Voordat ik je vraag kan beantwoorden, moet je eerst het concept van IdP (Identity Provider) en SdP (Service Provider) begrijpen.
De IdP, in het geval van Cloudflare Azure AD, Okta, Google Workspace of vele anderen, beheert de gebruikersinformatie en hun inloggegevens. De SdP, Cloudflare ZTNA, heeft de launcher waarmee je je apps opent. En de SdP heeft een authenticatietoken van de IdP nodig om te weten of een gebruiker door mag.
En de app die je wilt beschermen, kan ofwel de authenticatie van ZTNA krijgen, of het heeft een andere authenticatie, maar misschien geen 2FA, dus je wilt dat ZTNA dat gedeelte afhandelt.
En ja, voor ZTNA om volledig te werken, moet je de DNS-zone met Cloudflare hebben, aangezien ZTNA ook een Cloudflare-service is.
Ontstaat er iets dat je ervan weerhoudt om de zone naar Cloudflare te migreren als je al ZTNA gebruikt?
We gebruiken G Workspace als IdP en dat werkt uitstekend, maar we zitten vooral op AWS met R53, dus het gebruik van Cloudflare als DNS-provider is momenteel niet echt een optie. Ik kan geen documentatie vinden over hoe je credentials doorstuurt met ZTNA, of hoe die implementatie zou werken.
Ik weet niet, niet iedereen is enthousiast om software op hun laptops te installeren. En het is beter voor mij om een goede technische reden ervoor te hebben :). Ik dacht dat het zo was, maar ik wilde het gewoon aan meer ervaren mensen vragen.
