Cloudflare Zero Trust 是什么
一句话总结
Cloudflare Zero Trust 是一套”不信任任何网络、每次访问都要验证身份和设备”的安全服务,用 CF 边缘网络做全球访问入口。
🤔 为什么会有它 / 解决了什么问题
传统 VPN 的问题是:一次认证通过后,用户能在内网里自由横向移动——一个弱密码就能让攻击者访问所有服务。Zero Trust 假设网络已经被攻破,每次请求都要验证身份和设备,不因为你在内网就放行。
🔍 具体原理 / 运作逻辑
用户访问受保护的应用 → CF 边缘拦截 → 弹出身份验证(SSO/邮件一次性码/硬件 key)→ 验证通过 → CF 才把请求转发到真实服务器,同时也检查设备健康状态。
更硬核的技术细节(点击展开)
Zero Trust 的核心是 Cloudflare Tunnel(cloudflared)——不需要在服务器上开任何入站端口。服务器主动出站建立加密隧道到 CF 边缘,外界只能通过 CF Zero Trust 认证后才能经由该隧道访问应用。
🧭 什么情况下会用到 / 什么场景会遇到它
- notes.getgrowth.app:通过 Cloudflare Zero Trust 加邮件白名单,只有指定邮箱的人能访问
- 新架构中 DePIN 节点使用 Cloudflare Tunnel 接入,不需要公网 IP 和入站端口
🛠️ 怎么上手 / 在哪操作
在 CF Zero Trust Dashboard 创建一个 Application → 选择应用域名 → 设置 Access Policy(如”仅允许 xxx@gmail.com”)→ 服务器装 cloudflared 打通隧道。
⚖️ 副作用 / 代价 / 取舍
- 认证过程增加了几百毫秒到几秒的延迟——对内部工具可以接受,对用户面向的 SaaS 产品需要权衡(通常只保护管理后台)
- 如果 Cloudflare 宕机,所有受 Zero Trust 保护的应用都不可达——哪怕你的服务器还在运行
🕰️ 来历
- 谁提出/创造的:Zero Trust 安全模型由 John Kindervag(Forrester Research)在 2010 年提出;Google 在 2014 年内部实现 BeyondCorp 验证了可行性;Cloudflare 在 2020 年发布 Cloudflare Zero Trust(原称 Cloudflare for Teams)
- 什么时候出现的:概念 2010 年,CF 产品 2020 年 10 月 GA
🔗 关联 / 经常一起出现的概念
- Cloudflare Tunnel(cloudflared):Zero Trust 的基础设施组件——服务器到 CF 的出站加密隧道
- Access Policy:定义”谁能访问什么”的规则引擎
⚠️ 注意事项 / 常见误区
Zero Trust 不等于”更安全”的 VPN——它是完全不同的安全模型。VPN 给你一个内网 IP 让你随意访问,Zero Trust 只让你访问被明确授权的特定应用。两者可以共存,但定位完全不同。最常见的配置错误是 Access Policy 规则顺序导致误拦截。
📎 记忆锚点
“Zero Trust = 每个办公室门口都有保安查工牌,不是进了大门就畅通无阻。”
📝 更新日志
| 日期 | 改动 | 原因 |
|---|---|---|
| 2026-07-13 | 首次创建 | - |