Este artigo mostra, de forma direta e prática, como substituir VPNs tradicionais por um modelo Zero Trust usando Cloudflare Tunnel e WARP, garantindo acesso seguro, granular e com um único IP confiável de saída sem abrir portas, sem depender de IP fixo e com gestão centralizada de identidade e políticas.
Introdução
Muitas empresas ainda usam VPNs tradicionais para acesso remoto.
O problema: com VPN, quem se conecta ganha acesso amplo à rede, se credenciais vazam, o risco é grande.
Zero Trust muda esse paradigma: ninguém é confiável por padrão. Independente de onde vem, cada acesso deve ser verificado.
Ou seja, usuário, dispositivo e contexto são avaliados a cada conexão.
Vantagens essenciais do Zero Trust
- Controle granular de acesso: cada usuário só acessa o que precisa.
- Redução da superfície de ataque: sem “rede confiável”, invasores não se movem lateralmente.
- Flexibilidade: ideal para nuvem, trabalho remoto, dispositivos variados.
Conceito e Funcionamento
A solução utiliza cloudflared, um agente leve executado na sua máquina ou servidor, para estabelecer uma conexão de saída (outbound-only) para a rede global da Cloudflare. Ou seja, o túnel parte da sua infraestrutura e se conecta à Cloudflare.
A partir da Cloudflare, você configura um hostname público (por exemplo,
app.empresa.com) ou uma rota DNS que aponta para esse túnel.Quando um usuário externo acessa esse hostname, o tráfego chega à Cloudflare, que aplica as regras de segurança/controle definidas (autenticação, políticas de acesso, MFA etc.) via componente de Zero Trust.
Se a requisição for autorizada, a Cloudflare encaminha o tráfego pelo túnel seguro até o servidor de origem (onde o cloudflared roda), que entrega o serviço (web, SSH, API etc.). Durante todo o processo, nenhuma porta pública precisa estar aberta — evitando a exposição direta do IP real.
Problema: acesso restrito por IP em infra tradicional
Problema: acesso restrito por IP em infra tradicional
Muitas empresas exigem que seus serviços internos aceitem conexões apenas a partir de um IP ou faixa de IPs específica, um endereço confiável previamente autorizado (whitelist). Nesse cenário, o uso de VPN tradicional ou máquinas expostas implica:
- Necessidade de IP público fixo ou configurações NAT/NAT-sobre-CGNAT;
- Manutenção de firewall, roteadores e portas abertas;
- Gestão de usuários, credenciais, ACLs e logs de acesso;
- Maior risco de exposição ou acesso indevido caso credenciais vazem.
Em ambientes com múltiplos usuários/dispositivos ou quando não existe IP público fixo, garantir que todo tráfego autorizado saia sempre por um mesmo IP confiável torna-se caro, complexo e frágil.
Solução aplicada: Tunnel + Zero Trust + WARP — mantendo um “IP confiável” de saída
Para resolver esse desafio, foi adotado um modelo usando Cloudflare Tunnel (via cloudflared), Cloudflare Zero Trust e o cliente Cloudflare WARP. A lógica funciona assim:
Uma VPS Linux executa o cloudflared, que cria uma conexão de saída permanente (outbound-only) para a rede global da Cloudflare. Assim, o servidor não expõe IP público nem portas abertas.
No painel da Cloudflare, é configurado um túnel que mapeia os serviços internos para um hostname público ou rota que recebe o tráfego externo. Esse hostname funciona como o “IP confiável” para quem consome o serviço.
Basta liberar esse hostname ou o IP associado à Cloudflare na whitelist, sem necessidade de conhecer o IP real da VPS.
Usuários finais instalam o cliente WARP e se autenticam via Zero Trust. Todo o tráfego então segue: dispositivo → WARP → rede Cloudflare → túnel → VPS. Isso garante que todo acesso autorizado saia por um único ponto de saída confiável, atendendo à exigência de IP fixo/confiável.
O modelo elimina a necessidade de VPN tradicional, IP público fixo, portas abertas, servidores dedicados ou gestão complexa de rede, mantendo segurança, controle de acesso e conformidade para serviços que exigem whitelist por IP.
Exemplo prático fictício
No meu ambiente, configurei uma VPS Linux com cloudflared, criando um túnel seguro para a Cloudflare. Os serviços externos que minha empresa acessa aceitam conexões apenas a partir de um IP fixo confiável, então liberei na whitelist apenas o hostname/IP fornecido pela Cloudflare.
Os usuários se conectam via WARP + autenticação Zero Trust, e todo o tráfego autorizado sai sempre pelo mesmo ponto, o túnel, garantindo que esses serviços externos enxerguem um único IP confiável de origem, mesmo que os usuários estejam em redes diferentes, NAT, CGNAT ou IP dinâmico.
Resultado: consigo acessar serviços externos que exigem origem por IP fixo com segurança e simplicidade, sem abrir portas, sem depender de IP público fixo local e sem VPN. Todo o tráfego autorizado sai pelo mesmo ponto, o túnel, garantindo que esses serviços recebam sempre a mesma origem confiável por IP.
Benefícios desse modelo
- Redução significativa da superfície de ataque (nenhuma porta exposta).
- Eliminação de infraestrutura complexa como VPN, NAT, roteamento e firewall inbound.
- Gestão simplificada: identidade, políticas e logs ficam centralizados na Cloudflare.
- Flexibilidade para operar mesmo com NAT/CGNAT ou IP dinâmico, o túnel precisa apenas de saída.
- Atende ao requisito de whitelist por IP sem complicações técnicas ou operacionais.
Passo a Passo: Acesso Zero Trust via Cloudflare Tunnel + WARP
1. Criar conta e ativar Zero Trust
- Cadastre-se no Cloudflare e ative o módulo Zero Trust.
- O plano gratuito já é suficiente para começar (permite até 50 aplicações).
2. Criar o Tunnel (conector de saída)
- No painel da Cloudflare, vá até: Networks → Connectors / Tunnels e clique em Create Tunnel.
- Instale o agente cloudflared na máquina que será o "host de saída" (por exemplo uma VPS Linux).
- Esse túnel será outbound-only ou seja: a máquina sai para a Cloudflare, sem expor IP público ou portas abertas.
3. Definir faixa(s) de IP (CIDR) que usarão o túnel, se for uma rede privada
- Se quiser que dispositivos conectados via WARP acessem recursos internos (rede privada), vá em Networks → Connectors → selecione o túnel → aba de CIDR / Rotas. Lá defina os ranges de IP ou sub-rede que serão roteados via túnel.
- Com isso, todo tráfego para esses IPs internos será enviado pelo túnel seguro.
4. Configurar permissão de dispositivos (Device Enrollment) no Zero Trust
- No painel Zero Trust: vá em Devices Team & Resources → Device → Management → enrollment permissions → Manage. Crie uma política de autorização (por exemplo login por e-mail, Google, etc.).
- Configure regras de login (Google, e-mail etc.)
5. Instalar o cliente WARP no dispositivo
- Usuário baixa e instala o cliente - Cloudflare WARP
- Durante a instalação, ele informa o nome da "organização/Time" configurada no Zero Trust - necessário para autenticar no ambiente.
6. Autenticar e conectar via WARP
- Ao abrir WARP, o usuário deverá fazer login conforme método configurado (ex: e-mail + código de verificação, Google, etc.).
- Depois de autenticado, o dispositivo passa a estar ligado à sua estrutura Zero Trust e o WARP cria um túnel seguro entre o dispositivo e a rede da Cloudflare
7. Acessar serviços internos via túnel seguro
Com WARP conectado e túnel ativo, todo tráfego do dispositivo para os ranges/IP ou hostname configurados será roteado pelo túnel - como se o dispositivo estivesse "na rede privada".
O serviço só verá o endpoint da Cloudflare,satisfazendo requisitos de acesso restrito por IP ou whitelist, sem expor sua VPS ou rede real diretamente.
Conclusão
O uso de Cloudflare Tunnel + Cloudflare Zero Trust (com Cloudflare WARP) representa uma mudança importante no paradigma de acesso remoto. Em vez de confiar cegamente no perímetro da rede. como numa VPN tradicional, você passa a adotar uma abordagem onde cada acesso é verificado e autorizado, e a infraestrutura interna fica protegida sem expor portas ou IP públicos.
No seu caso prático, a configuração com VPS + túnel + WARP garante que a empresa consumidora veja sempre um único "endereço confiável", o endpoint da Cloudflare, facilitando o controle de whitelist e satisfaz requisitos de segurança, sem comprometer usabilidade ou escalabilidade.
Esse modelo reduz significativamente a superfície de ataque, elimina a necessidade de gerenciar VPNs, NAT ou firewall complexo, e simplifica o processo de autenticação e autorização de usuários/dispositivos.
Bônus: Controle refinado (acesso por rota, IP ou domínio)
Uma das "mágicas" mais poderosas desse modelo é a capacidade de implementar acesso granular por rota, IP ou domínio, permitindo definir exatamente quem pode acessar o quê, e limitar que determinados usuários vejam apenas partes específicas da rede. Isso funciona da seguinte maneira:
Com Zero Trust e WARP, você pode definir políticas como "somente este dispositivo / usuário pode acessar esses IPs ou sub-redes internas", por exemplo os 10.0.0.0/24 da rede privada, e bloquear todo o resto.
Também é possível restringir por hostname/domínio público (o hostname configurado no túnel) em vez de depender de IP fixo, facilitando o uso mesmo se os IPs mudarem ou você tiver múltiplos serviços.
Para cada usuário ou grupo, você define exatamente quais recursos (IPs, domínios, aplicações) ele pode acessar, implementando o princípio do menor privilégio. Isso ajuda a evitar acessos indevidos ou horizontais na rede.
Se necessário, pode criar listas (whitelists) internas, regras de firewall ou filtros adicionais que só aceitam tráfego vindo da rede da Cloudflare / túnel, bloqueando qualquer tentativa de acesso direto ao servidor.
Em resumo: você estrutura a rede como uma malha segura e controlada, onde cada usuário/dispositivo recebe somente as permissões estritamente necessárias - e nada além. Isso torna o acesso remoto muito mais seguro, controlado e adequado a ambientes com exigências rígidas de whitelist ou compliance.
Top comments (0)