Päivitetty artikkeli Cloudflare Zero Trust -alustan mukaan. Ohjeet ovat taas ajan tasalla.
5.1.2023
Cloudflare Access on hyvin nerokas tapa suojata eri palveluiden kriittisiä osia, kuten ylläpidon kirjautumissivut. Cloudflare access on palvelu, joka useassa tapauksessa voi korvata yritysten sisäisten VPN palveluiden käytön. Jos Cloudflare on sinulle vielä tuntematon, niin suosittelen lukemaan aikaisemman artikkelimme Cloudflaren käyttöönotosta.
Jos sinua ei tekniikka kiinnosta, mutta haluat nostaa esimerkiksi WordPress -sivustosi tietoturvan uudelle tasolle niin skippaa tämä kohta.
Cloudflare Access on tunnistautumisjärjestelmä, joka istuu sinun ja palvelimesi välissä. Sen tehtävä on estää tuntemattomien tahojen pääsy verkkopalvelusi kriittisiin osiin. Käyttäjän tulee siis tunnistautua ensin - ennen kuin hän pääsee edes navigoimaan selaimella sivuston kirjautumisruutuun. Cloudflare matkii Googlen BeyondCorp järjestelmää ja tuo BeyondCorpin hyvät puolet kaikkien saataville.
Tunnistautuminen tapahtuu esimerkiksi Google -tilin, Azure Active Directoryn tai Okta:n avulla. Cloudflare Access tukee siis suurimpia ja yleisimpiä tunnistautumismenettelyjä. Voit myös halutessasi käyttää sähköpostia tunnistautumiseen.
Cloudflare Accessin avulla voi suojata lähes kaikki verkossa olevat sivut, joiden pääsyä tulee rajoittaa. WordPressin kirjautumissivu ei ole kovin turvallinen vakiona. /wp-admin/ -sivu joutuu lähes poikkeuksetta verkossa automaattisten skannereiden hyökkäysten kohteeksi päivittäin. Tämä sivu tulisi siis suojata mahdollisimman hyvin. Todella hyvä salasana ja salasanamanageri parantavat jo merkittävästi turvallisuutta, mutta raskaiden skannereiden jatkuvat tunkeutumisyritykset saattavat hidastaa koko sivuston toimivuutta. Cloudflare Accessin avulla suojaat sivuston näiltä hyökkäyksiltä, sillä skannerit tai muut tunkeutujat eivät pääse edes yhdistämään sivustosi /wp-admin/ -sivulle. Hyökkääjän vieraillessa hallintapaneelin kirjautumissivulla, löytävät he itsensä ensin Cloudflaren tunnistautumissivulta. Mikäli hyökkääjä yrittää murtaa tätä sivua, tekevät he hyökkäyksen Cloudflarea vastaan, eivätkä sinun sivuasi vastaan.
HUOM! Tämä ohje olettaa, että olet aktivoinut Cloudflaren jo sivustollesi käyttöön. Mikäli et ole tehnyt tätä niin voit seurata meidän Cloudflare käyttöönotto blogikirjoitusta.
Avaa Cloudflare hallintapaneeli ja navigoi kohtaan "Zero Trust". (Löytyy myös osoitteesta: https://one.dash.cloudflare.com/)
Selaa seuraavaan kohtaan "Settings". Kohdasta: "Login Methods", paina: "Add", lisätäksesi uuden tunnistautumistavan. Käytämme esimerkkinä sähköpostia ja Google -tiliä. Sähköpostin avulla tunnistautuminen tapahtuu "One-Time pin" -tunnistautumisella. One-Time pin ei vaadi sen kummempaa määritystä tässä vaiheessa. Google -tunnistautuminen vaatii toimia Google Cloud consolessa. Jos et halua käyttää Google -tunnistautumista niin voit siirtyä seuraavaan kohtaan.
Jos haluat tunnistautua Cloudflare Accessiin Google-tilin avulla niin seuraa näitä ohjeita.
Klikkaa "Access" ja valitse "Applications". Cloudflare Access on ilmainen pienille ryhmille, mutta muuttuu maksulliseksi jos käyttäjiä on paljon. Seuraa Cloudflaren ohjeita, mikäli tarvitsette laajemman käyttäjäkunnan toimialueellenne.
Tässä näkymässä näkyy kaikki sovellukset, jossa käytätte Cloudflaren kirjautumis rajapintaa eli Accessia. Klikatkaa "Add an application".
Valitkaa tässä kohtaa "Self-hosted" WordPress asennusta varten. Tämä Zero Trust -työkalu taipuu moneen ja moni SaaS -palvelu on esimerkiksi integroitavissa tähän työkaluun. Voisitte siis halutessanne suojata teidän yrityksen Slack Workspacen samalla autentikaatiolla. Myös kokonaisia verkkoja saa suojattua samalla menettelyllä, mutta se vaatii jo laajemmin teknistä osaamista.
Aloitamme WordPress /wp-admin/ -sivun suojaamisen. Estämme kirjautumissivulle pääsyn, mikäli käyttäjä ei onnistu tunnistautumaan aikaisemmin määritetyillä tavoilla.
Kun olet saanut säännöt tallennettua, voit mennä kokeilemaan WordPress hallintapaneeliin pääsyä. Kun yrität /wp-admin/ -sivulle, niin selaimesi ohjautuu Cloudflare access tunnistautumissivulle. Tunnistaudu ja pääset jatkamaan normaalisti WordPress kirjautumiseen.
Cloudflare Access on todella tehokas tapa suojata yrityksen kriittiset sivut ilman, että teidän tarvitsee rakentaa monimutkaista VPN-verkkoa. Saman ohjeen kanssa voit suojata myös muita sivustoja. Korvaat vain osoitteen sen sivun osoitteella, jonka haluat suojata.