Cloudflare 제로 트러스트 소개
클라우드 플레어 문서의 내용입니다.
https://developers.cloudflare.com/cloudflare-one/
Cloudflare Zero Trust는 레거시 보안 경계를 글로벌 네트워크로 대체하여 전 세계 팀을 위해 인터넷을 더 빠르고 안전하게 만듭니다.기업 고객은 이 제품을 비계약 서비스 로 미리 볼 수 있습니다 . 이 서비스는 측정된 사용 요금, 한도 및 기타 특정 제한 사항 없이 전체 액세스 권한을 제공합니다.
모든 애플리케이션에 대한 제로 트러스트 액세스.
- 글로벌 네트워크에서 사용자 인증
- 타사 사용자를 원활하게 온보딩
- 모든 이벤트 및 요청을 기록합니다.
간단히 도메인 연결한 웹이나 사이트에 아래와 같이 보안연결 방법을 추가한다고 생각하시면 되겠습니다.
Cloudflare zero trust 시작
Cloudflare 계정 에 가입하세요
https://dash.cloudflare.com/sign-up
그리고 먼저 사이트 추가가 되어야 합니다. 상단에 사이트 추가 하고 진행하시면 cloudflare 안내서가 자세히 알려줍니다.
알려주는대로 네임서버를 변경하시면 24시간 후에 사용이 가능합니다.
zero trust 가입
Cloudflare 대시보드 의 계정 홈에서외부 링크 열기에서 제로 트러스트 아이콘을 선택합니다 .
온보딩 화면에서 팀 이름을 선택합니다 . 팀 이름은 제로 트러스트 조직의 고유 식별자입니다. 팀이름은 꼭 기억해주세요!
무료 선택해주고 select plan 클릭합니다.
신용카드 등록해주고 0$ 결제를 진행합니다. 요금이 결제되진 않습니다.
인증방법 추가
인증 방법으로 여러가지가 있는데 많이 쓸것같은 방법으로는
- 이메일 코드 인증
- 구글 로그인 인증
- github 인증
가장 쉬운건 이메일 인증 외에 github 인증 같습니다. 하지만 구글 인증 방식으로 알려 드리겠습니다. github는 알려줄것도 없으니깐요
구글 인증방식 추가
settings – authentication 을 클릭합니다.
로그인 방식 – add new를 클릭하고 google을 선택합니다.
구글 번역으로 보시면 아주 자세하게 방법을 알려줍니다. 천천히 따라만 하시면 됩니다.
귀찮으시면 이메일 코드 인증 로그인 방식만으로도 가능합니다. 전 구글 로그인 방식을 좋아해서 무조건 추가했습니다.
구글 클라우드 플랫폼에 로그인하고 새로운 프로젝트를 생성합니다.
프로젝트 생성 후 OAuth 동의 화면 클릭 후 외부 선택 하고 만들기를 클릭합니다.
범위추가 또는 삭제에서 원하는 항목 선택 전 위에 두개만 체크했습니다.
사용자 인증정보 – + 사용자 인증 정보 만들기 – OAuth 클라이언트 ID 클릭
웹 애플리케이션 선택
워하는 이름 작성 후
승인된 자바스크립트 원복 + URI 추가 위에 기억하라고 했던 https://”팀네임.cloudflareaccess.com” 추가
승인된 리디렉션 URI 추가후 “https://팀네임.cloudflareaccess.com/cdn-cgi/access/callback” 입력 후 만들기 클릭
완료 후 App ID에는 클라이언트 ID 입력 아래에는 시크릿코드 입력 후 저장
그리고 테스트를 누르고 진행되는지 확인!
웹어플리케이션 적용
이제 로그인 방식으로 보안을 추가해보겠습니다.
zero trust – Access – Applications – Add an Application Self – Hosted를 클릭합니다.
아래와 같이 서브도메인으로 등록 또는 패스로 등록합니다.
도메인은 cloudflare 사이트 등록한 항목에서 선택할 수 있습니다.
아래와 체크한 부분 입력, 그리고 인증 방식 선택하고 NEXT 를 클릭합니다.
정책 항목입니다.
정책명 정해주시고 액션은 허용으로 세션시간은 원하는 시간대 선택합니다.
규칙은 이메일 선택해주시면 되는데요 위에 구글 인증한 로그인을 적어주시거나 로그인 코드를 받을 이메일 주소를 적어주시면 됩니다.
전 github 등록한 이메일주소, 구글 로그인 인증한 지메일 주소 2개를 등록했고
아래는 선택사항인데 SSH 연결이라 한국연결만 접속 가능하게 했습니다.
마지막 CORS 세팅은 체크해야할것같아 모두 체크하고 세팅을 맞춥니다.
이제 설정했던 주소로 접속하시면 아래와 같은 화면을 보실 수가 있습니다.
github 등록했던 이메일 인증 가능
구글 로그인 – 위에 지메일 등록한 메일 가능
그리고 밑에 이메일은 위에 두개의 이메일중 하나로 코드를 받을 수가 있게됩니다. 입맛에 맞게 인증방식 집어넣으시면 됩니다. ^^
인증되면 접속하려는 사이트로 접속이 되고 집어넣지 않은 이메일로 구글 로그인이나 github인증을 하게 되면 위에 집어넣었던 문구와 함께 차단합니다. ㅋㅋㅋㅋㅋ
SSH, VNC 연결 가능
참고로 터널 연결 후
브라우져 렌더링 옵셥으로 ssh 접속도 가능합니다.
ssh 접속을 설정해주면 아래와 같이 사용자 입력하고 비번을 입력하면
브라우저로 SSH접속이 가능합니다.
아래와 같이 브라우저로 SSH 접속이 가능합니다.
전에 cockpit설치해서 급할때 사용했는데 그럴 필요가 없어졌네요!
관련글
cloudflare tunnel 연결 방법 docker compose
클라우드 터널을 통해 자신의 도메인과 쉽게 연결이 가능하고 거기에 cloudflare 자체 인증서를 통해 https 연결이 가능합니다. #auto 전 오라클서버와 시놀로지에 적용해 사용중입니다. 아래는 홈페이지 설명입니다. Tunnel은 Cloudflare DDoS 방어 및 웹 애플리케이션 방화벽(WAF)와 함께 작동해 웹 자산을 공격으로부터 방어합니다. Tunnel…
calibre-web 설치 방법 docker comopose 시놀로지
Calibre-Web은 유효한 Calibre 데이터베이스 를 사용하여 eBook을 검색하고, 읽고, 다운로드할 수 있는 깔끔하고 직관적인 인터페이스를 제공하는 웹 앱입니다. #auto 기본적으로 epub 파일만 있다고 사용 가능하진 않습니다. calibre 앱을 통해 정보(저자, 책이미지,…
glances 모니터링 도구 설치 – 시놀로지
#auto Glances 는 오픈 소스 시스템 크로스 플랫폼 모니터링 도구입니다. CPU, 메모리, 디스크, 네트워크 사용량 등 시스템의 다양한 측면을 실시간으로 모니터링할 수 있습니다. 또한 실행 중인 프로세스, 로그인한 사용자, 온도, 전압, 팬…
FreshRSS 설치 방법 docker compose – 시놀로지
https://github.com/FreshRSS/FreshRSS #auto FreshRSS는 자체 호스팅 RSS 피드 수집기입니다. 가볍고, 작업하기 쉽고, 강력하며, 사용자 정의가 가능합니다. 익명 읽기 모드를 갖춘 다중 사용자 애플리케이션입니다. 사용자 정의 태그를 지원합니다. (모바일) 클라이언트를 위한 API와 명령줄 인터페이스가 있습니다 .…
시놀로지 gethomepage 설치와 설정
100개가 넘는 서비스와 여러 언어로의 번역을 통합한 현대적이고 완전히 정적이고 빠르고 안전하며 완전히 프록시 되어 고도로 사용자 정의 가능한 애플리케이션 대시보드입니다. YAML 파일이나 Docker 레이블 검색을 통해 쉽게 구성할 수 있습니다. organizr 같이 사용하고 있는…
