Cloudflare zero trust 제로트러스트 사용

클라우드 플레어 문서의 내용입니다.

https://developers.cloudflare.com/cloudflare-one/

Cloudflare Zero Trust는 레거시 보안 경계를 글로벌 네트워크로 대체하여 전 세계 팀을 위해 인터넷을 더 빠르고 안전하게 만듭니다.기업 고객은 이 제품을 비계약 서비스 로 미리 볼 수 있습니다 . 이 서비스는 측정된 사용 요금, 한도 및 기타 특정 제한 사항 없이 전체 액세스 권한을 제공합니다.

모든 애플리케이션에 대한 제로 트러스트 액세스.

• 글로벌 네트워크에서 사용자 인증
• 타사 사용자를 원활하게 온보딩
• 모든 이벤트 및 요청을 기록합니다.

간단히 도메인 연결한 웹이나 사이트에 아래와 같이 보안연결 방법을 추가한다고 생각하시면 되겠습니다.

Cloudflare 계정 에 가입하세요

https://dash.cloudflare.com/sign-up

그리고 먼저 사이트 추가가 되어야 합니다. 상단에 사이트 추가 하고 진행하시면 cloudflare 안내서가 자세히 알려줍니다.

알려주는대로 네임서버를 변경하시면 24시간 후에 사용이 가능합니다.

Cloudflare 대시보드 의 계정 홈에서외부 링크 열기에서 제로 트러스트 아이콘을 선택합니다 .

온보딩 화면에서 팀 이름을 선택합니다 . 팀 이름은 제로 트러스트 조직의 고유 식별자입니다.  팀이름은 꼭 기억해주세요!

무료 선택해주고 select plan 클릭합니다.

신용카드 등록해주고 0$ 결제를 진행합니다. 요금이 결제되진 않습니다.

인증 방법으로 여러가지가 있는데 많이 쓸것같은 방법으로는

• 이메일 코드 인증
• 구글 로그인 인증
• github 인증

가장 쉬운건 이메일 인증 외에 github 인증 같습니다. 하지만 구글 인증 방식으로 알려 드리겠습니다. github는 알려줄것도 없으니깐요

settings – authentication 을 클릭합니다.

로그인 방식 – add new를 클릭하고 google을 선택합니다.

구글 번역으로 보시면 아주 자세하게 방법을 알려줍니다. 천천히 따라만 하시면 됩니다.

귀찮으시면 이메일 코드 인증 로그인 방식만으로도 가능합니다. 전 구글 로그인 방식을 좋아해서 무조건 추가했습니다.

구글 클라우드 플랫폼에 로그인하고 새로운 프로젝트를 생성합니다.

프로젝트 생성 후 OAuth 동의 화면 클릭 후 외부 선택 하고 만들기를 클릭합니다.

범위추가 또는 삭제에서 원하는 항목 선택 전 위에 두개만 체크했습니다.

사용자 인증정보 – + 사용자 인증 정보 만들기 – OAuth 클라이언트 ID 클릭

웹 애플리케이션 선택

워하는 이름 작성 후

승인된 자바스크립트 원복 + URI 추가 위에 기억하라고 했던 https://”팀네임.cloudflareaccess.com” 추가

승인된 리디렉션 URI 추가후 “https://팀네임.cloudflareaccess.com/cdn-cgi/access/callback” 입력 후 만들기 클릭

완료 후 App ID에는 클라이언트 ID 입력 아래에는 시크릿코드 입력 후 저장

그리고 테스트를 누르고 진행되는지 확인!

이제 로그인 방식으로 보안을 추가해보겠습니다.

zero trust – Access – Applications – Add an Application Self – Hosted를 클릭합니다.

아래와 같이 서브도메인으로 등록 또는 패스로 등록합니다.

도메인은 cloudflare 사이트 등록한 항목에서 선택할 수 있습니다.

아래와 체크한 부분 입력, 그리고 인증 방식 선택하고 NEXT 를 클릭합니다.

정책 항목입니다.

정책명 정해주시고 액션은 허용으로 세션시간은 원하는 시간대 선택합니다.

규칙은 이메일 선택해주시면 되는데요 위에 구글 인증한 로그인을 적어주시거나 로그인 코드를 받을 이메일 주소를 적어주시면 됩니다.

전 github 등록한 이메일주소, 구글 로그인 인증한 지메일 주소 2개를 등록했고

아래는 선택사항인데 SSH 연결이라 한국연결만 접속 가능하게 했습니다.

마지막 CORS 세팅은 체크해야할것같아 모두 체크하고 세팅을 맞춥니다.

이제 설정했던 주소로 접속하시면 아래와 같은 화면을 보실 수가 있습니다.

github 등록했던 이메일 인증 가능

구글 로그인 – 위에 지메일 등록한 메일 가능

그리고 밑에 이메일은 위에 두개의 이메일중 하나로 코드를 받을 수가 있게됩니다. 입맛에 맞게 인증방식 집어넣으시면 됩니다. ^^

인증되면 접속하려는 사이트로 접속이 되고 집어넣지 않은 이메일로 구글 로그인이나 github인증을 하게 되면 위에 집어넣었던 문구와 함께 차단합니다. ㅋㅋㅋㅋㅋ

참고로 터널 연결 후

브라우져 렌더링 옵셥으로 ssh 접속도 가능합니다.

ssh 접속을 설정해주면 아래와 같이 사용자 입력하고 비번을 입력하면

브라우저로 SSH접속이 가능합니다.

아래와 같이 브라우저로 SSH 접속이 가능합니다.

전에 cockpit설치해서 급할때 사용했는데 그럴 필요가 없어졌네요!