Cloudflare Access on hyvin nerokas tapa suojata eri palveluiden kriittisiä osia, kuten ylläpidon kirjautumissivut. Cloudflare access on palvelu, joka useassa tapauksessa voi korvata yritysten sisäisten VPN palveluiden käytön. Jos Cloudflare on sinulle vielä tuntematon, niin suosittelen lukemaan aikaisemman artikkelimme Cloudflaren käyttöönotosta.
Jos sinua ei tekniikka kiinnosta, mutta haluat nostaa esimerkiksi WordPress -sivustosi tietoturvan uudelle tasolle niin skippaa tämä kohta.
Cloudflare Access on tunnistautumisjärjestelmä, joka istuu sinun ja palvelimesi välissä. Sen tehtävä on estää tuntemattomien tahojen pääsy verkkopalvelusi kriittisiin osiin. Käyttäjän tulee siis tunnistautua ensin - ennen kuin hän pääsee edes navigoimaan selaimella sivuston kirjautumisruutuun. Cloudflare matkii Googlen BeyondCorp järjestelmää ja tuo BeyondCorpin hyvät puolet kaikkien saataville.
Tunnistautuminen tapahtuu esimerkiksi Google -tilin, Azure Active Directoryn tai Okta:n avulla. Cloudflare Access tukee siis suurimpia ja yleisimpiä tunnistautumismenettelyjä. Voit myös halutessasi käyttää sähköpostia tunnistautumiseen.
Cloudflare Accessin avulla voi suojata lähes kaikki verkossa olevat sivut, joiden pääsyä tulee rajoittaa. WordPressin kirjautumissivu ei ole kovin turvallinen vakiona. /wp-admin/ -sivu joutuu lähes poikkeuksetta verkossa automaattisten skannereiden hyökkäysten kohteeksi päivittäin. Tämä sivu tulisi siis suojata mahdollisimman hyvin. Todella hyvä salasana ja salasanamanageri parantavat jo merkittävästi turvallisuutta, mutta raskaiden skannereiden jatkuvat tunkeutumisyritykset saattavat hidastaa koko sivuston toimivuutta. Cloudflare Accessin avulla suojaat sivuston näiltä hyökkäyksiltä, sillä skannerit tai muut tunkeutujat eivät pääse edes yhdistämään sivustosi /wp-admin/ -sivulle. Hyökkääjän vieraillessa hallintapaneelin kirjautumissivulla, löytävät he itsensä ensin Cloudflaren tunnistautumissivulta. Mikäli hyökkääjä yrittää murtaa tätä sivua, tekevät he hyökkäyksen Cloudflarea vastaan, eivätkä sinun sivuasi vastaan.
HUOM! Tämä ohje olettaa, että olet aktivoinut Cloudflaren jo sivustollesi käyttöön. Mikäli et ole tehnyt tätä niin voit seurata meidän Cloudflare käyttöönotto blogikirjoitusta.
Avaa Cloudflare hallintapaneeli ja navigoi kohtaan "Access". Klikkaa "Manage access" ja valitse monta käyttäjää tarvitsee pääsyn WordPress hallintapaneeliin. Paina lopuksi "Continue". Cloudflare Access on maksuton ensimmäiselle viidelle käyttäjälle. Viiden käyttäjän jälkeen hinta on 3$/käyttäjä/kuukausi.
Selaa seuraavaan kohtaan "Login method". Paina kohdasta: "Add", lisätäksesi uuden tunnistautumistavan. Käytämme esimerkkinä sähköpostia ja Google -tiliä. Sähköpostin avulla tunnistautuminen tapahtuu "One-Time pin" -tunnistautumisella. One-Time pin ei vaadi sen kummempaa määritystä tässä vaiheessa. Google -tunnistautuminen vaatii toimia Google Cloud consolessa. Jos et halua käyttää Google -tunnistautumista niin voit siirtyä seuraavaan kohtaan.
Jos haluat tunnistautua Cloudflare Accessiin Google-tilin avulla niin seuraa näitä ohjeita.
Selaa kohtaan "Access Policies" ja paina kohdasta "Create Access Policy". Aloitamme WordPress /wp-admin/ -sivun suojaamisen. Estämme kirjautumissivulle pääsyn, mikäli käyttäjä ei onnistu tunnistautumaan aikaisemmin määritetyillä tavoilla.
Kun olet saanut säännöt tallennettua, voit mennä kokeilemaan WordPress hallintapaneeliin pääsyä. Kun yrität /wp-admin/ -sivulle, niin selaimesi ohjautuu Cloudflare access tunnistautumissivulle. Tunnistaudu ja pääset jatkamaan normaalisti WordPress kirjautumiseen.
Cloudflare Access on todella tehokas tapa suojata yrityksen kriittiset sivut ilman, että teidän tarvitsee rakentaa monimutkaista VPN-verkkoa. Saman ohjeen kanssa voit suojata myös muita sivustoja. Korvaat vain osoitteen sen sivun osoitteella, jonka haluat suojata.