Cloudflare Access soll Unternehmens-VPNs ersetzen
Mit seinem Proxy-Dienst Access will Cloudflare Firmen den komplizierten VPN-Betrieb ersparen. Unternehmen sollen ihre Anwendungen öffnen und per Identity-Management dennoch sicheren Zugriff gestatten.
Der Internet-Konzern Cloudflare hat mit Access ein Angebot vorgestellt, das Unternehmens-VPNs überflüssig machen soll. Der Hersteller bezeichnet den Dienst als Unified Reverse Proxy: Statt eine VPN-Verbindung zum Firmennetz aufzubauen und dort eine Anwendung im Intranet zu benutzen, authentifiziert sich ein Mitarbeiter zunächst über Access bei einem Identity-Provider. Anschließend greift er auf die übers Internet zugängliche Anwendung zu. Cloudflare Access vermittelt den Zugriff und regelt ihn über Richtlinien, die die Netzwerk-Administratoren des Kunden pflegen.
Mehrere Dienste kombiniert
Die Idee dahinter ist, nicht mehr zwischen einem unsicheren Internet und einem vertrauenswürdigen Intranet zu unterscheiden und für das per Firewall gesicherte Perimeter Ausnahmen zu definieren. Stattdessen verzichtet man auf eine VPN-Struktur, gestaltet Unternehmensanwendungen grundsätzlich offen zugänglich und gewährt jedem Benutzer – egal, woher er zugreift – über eine sichere Verbindung samt gültiger Authtentifizierung Einlass.
Für die Authentifizierung nutzt Cloudflare Access gängige Identity-Provider wie Google, Azure Active Directory und Okta. Wahlweise lässt sich zusätzliche ein Client-Zertifikat einsetzen, mit dem die Verbindung auf ein bestimmtes Gerät beschränkt wird. Für die Autorisierung (den Zugriff auf eine Anwendung) erstellt man Richtlinien mit Benutzern und Gruppen und weist ihnen bestimmte Zugriffsrechten zu. Cloudflare prüft die Zertifikate und Authentifizierungen und verschlüsselt den Traffic per HTTPS.
Zugriff pro Anwendung von ĂĽberall statt VPN
Das Verfahren von Access ist nicht grundsätzlich neu. Statt den nicht-trivialen und mitunter störungsanfälligen Gateway- oder VPN-Betrieb selbst zu erledigen oder kostenpflichtige Appliances mit proprietären VPN-Clients zu nutzen, können Netzwerk-Administratoren auf Proxy-Dienste wie Googles BeyondCorp zugreifen. Allerdings sind solche Angebote (selbst wenn sie mehrere Identity-Provider einbinden) auf Anwendungen in der jeweiligen Anbieter-Cloud beschränkt. Mit Cloudflare Access können Anwendungen im Firmennetz auf den hauseigenen Servern verbleiben und dennoch ohne VPN von außen zugänglich sein – sofern zumindest theoretisch ein sicherer Betrieb gewährleistet ist, was allerdings bei mancher Legacy-Software nicht der Fall sein dürfte.
Zusätzlich lässt sich Access mit Cloudflares Routing-Dienst Argo für schnellere Verbindungen kombinieren. Ebenso kann die Verbindung vom Client zur Anwendung mit Cloudflare Warp getunnelt werden, etwa wenn eine betagte Unternehmensanwendung aus Sicherheitsgründen nicht offen im Internet verfügbar sein soll. Access ist für einen Benutzer kostenlos und kostet laut Herstellerangaben für jeden weiteren Benutzer 3 US-Dollar pro Monat.
tipps+tricks zum Thema:
(tiw)