Da VPN tradicional ao Zero Trust com Cloudflare Tunnel: um guia prático

lkgiovani — Fri, 05 Dec 2025 19:45:06 +0000

Este artigo mostra, de forma direta e prática, como substituir VPNs tradicionais por um modelo Zero Trust usando Cloudflare Tunnel e WARP, garantindo acesso seguro, granular e com um único IP confiável de saída sem abrir portas, sem depender de IP fixo e com gestão centralizada de identidade e políticas.

Introdução

Muitas empresas ainda usam VPNs tradicionais para acesso remoto.
O problema: com VPN, quem se conecta ganha acesso amplo à rede, se credenciais vazam, o risco é grande.
Zero Trust muda esse paradigma: ninguém é confiável por padrão. Independente de onde vem, cada acesso deve ser verificado.
Ou seja, usuário, dispositivo e contexto são avaliados a cada conexão.

Vantagens essenciais do Zero Trust

Controle granular de acesso: cada usuário só acessa o que precisa.
Redução da superfície de ataque: sem “rede confiável”, invasores não se movem lateralmente.
Flexibilidade: ideal para nuvem, trabalho remoto, dispositivos variados.

Conceito e Funcionamento

A solução utiliza cloudflared, um agente leve executado na sua máquina ou servidor, para estabelecer uma conexão de saída (outbound-only) para a rede global da Cloudflare. Ou seja, o túnel parte da sua infraestrutura e se conecta à Cloudflare.
A partir da Cloudflare, você configura um hostname público (por exemplo, app.empresa.com) ou uma rota DNS que aponta para esse túnel.
Quando um usuário externo acessa esse hostname, o tráfego chega à Cloudflare, que aplica as regras de segurança/controle definidas (autenticação, políticas de acesso, MFA etc.) via componente de Zero Trust.
Se a requisição for autorizada, a Cloudflare encaminha o tráfego pelo túnel seguro até o servidor de origem (onde o cloudflared roda), que entrega o serviço (web, SSH, API etc.). Durante todo o processo, nenhuma porta pública precisa estar aberta — evitando a exposição direta do IP real.

Problema: acesso restrito por IP em infra tradicional

Muitas empresas exigem que seus serviços internos aceitem conexões apenas a partir de um IP ou faixa de IPs específica, um endereço confiável previamente autorizado (whitelist). Nesse cenário, o uso de VPN tradicional ou máquinas expostas implica:

Necessidade de IP público fixo ou configurações NAT/NAT-sobre-CGNAT;
Manutenção de firewall, roteadores e portas abertas;
Gestão de usuários, credenciais, ACLs e logs de acesso;
Maior risco de exposição ou acesso indevido caso credenciais vazem.

Em ambientes com múltiplos usuários/dispositivos ou quando não existe IP público fixo, garantir que todo tráfego autorizado saia sempre por um mesmo IP confiável torna-se caro, complexo e frágil.

Solução aplicada: Tunnel + Zero Trust + WARP — mantendo um “IP confiável” de saída

Para resolver esse desafio, foi adotado um modelo usando Cloudflare Tunnel (via cloudflared), Cloudflare Zero Trust e o cliente Cloudflare WARP. A lógica funciona assim:

Uma VPS Linux executa o cloudflared, que cria uma conexão de saída permanente (outbound-only) para a rede global da Cloudflare. Assim, o servidor não expõe IP público nem portas abertas.
No painel da Cloudflare, é configurado um túnel que mapeia os serviços internos para um hostname público ou rota que recebe o tráfego externo. Esse hostname funciona como o “IP confiável” para quem consome o serviço.
Basta liberar esse hostname ou o IP associado à Cloudflare na whitelist, sem necessidade de conhecer o IP real da VPS.
Usuários finais instalam o cliente WARP e se autenticam via Zero Trust. Todo o tráfego então segue: dispositivo → WARP → rede Cloudflare → túnel → VPS. Isso garante que todo acesso autorizado saia por um único ponto de saída confiável, atendendo à exigência de IP fixo/confiável.
O modelo elimina a necessidade de VPN tradicional, IP público fixo, portas abertas, servidores dedicados ou gestão complexa de rede, mantendo segurança, controle de acesso e conformidade para serviços que exigem whitelist por IP.

Exemplo prático fictício

No meu ambiente, configurei uma VPS Linux com cloudflared, criando um túnel seguro para a Cloudflare. Os serviços externos que minha empresa acessa aceitam conexões apenas a partir de um IP fixo confiável, então liberei na whitelist apenas o hostname/IP fornecido pela Cloudflare.

Os usuários se conectam via WARP + autenticação Zero Trust, e todo o tráfego autorizado sai sempre pelo mesmo ponto, o túnel, garantindo que esses serviços externos enxerguem um único IP confiável de origem, mesmo que os usuários estejam em redes diferentes, NAT, CGNAT ou IP dinâmico.

Resultado: consigo acessar serviços externos que exigem origem por IP fixo com segurança e simplicidade, sem abrir portas, sem depender de IP público fixo local e sem VPN. Todo o tráfego autorizado sai pelo mesmo ponto, o túnel, garantindo que esses serviços recebam sempre a mesma origem confiável por IP.

Benefícios desse modelo

Redução significativa da superfície de ataque (nenhuma porta exposta).
Eliminação de infraestrutura complexa como VPN, NAT, roteamento e firewall inbound.
Gestão simplificada: identidade, políticas e logs ficam centralizados na Cloudflare.
Flexibilidade para operar mesmo com NAT/CGNAT ou IP dinâmico, o túnel precisa apenas de saída.
Atende ao requisito de whitelist por IP sem complicações técnicas ou operacionais.

Passo a Passo: Acesso Zero Trust via Cloudflare Tunnel + WARP

1. Criar conta e ativar Zero Trust

Cadastre-se no Cloudflare e ative o módulo Zero Trust.
O plano gratuito já é suficiente para começar (permite até 50 aplicações).

2. Criar o Tunnel (conector de saída)

No painel da Cloudflare, vá até: Networks → Connectors / Tunnels e clique em Create Tunnel.

Instale o agente cloudflared na máquina que será o "host de saída" (por exemplo uma VPS Linux).
Esse túnel será outbound-only ou seja: a máquina sai para a Cloudflare, sem expor IP público ou portas abertas.

3. Definir faixa(s) de IP (CIDR) que usarão o túnel, se for uma rede privada

Se quiser que dispositivos conectados via WARP acessem recursos internos (rede privada), vá em Networks → Connectors → selecione o túnel → aba de CIDR / Rotas. Lá defina os ranges de IP ou sub-rede que serão roteados via túnel.

Com isso, todo tráfego para esses IPs internos será enviado pelo túnel seguro.

4. Configurar permissão de dispositivos (Device Enrollment) no Zero Trust

No painel Zero Trust: vá em Devices Team & Resources → Device → Management → enrollment permissions → Manage. Crie uma política de autorização (por exemplo login por e-mail, Google, etc.).

Configure regras de login (Google, e-mail etc.)

5. Instalar o cliente WARP no dispositivo

Usuário baixa e instala o cliente - Cloudflare WARP

Durante a instalação, ele informa o nome da "organização/Time" configurada no Zero Trust - necessário para autenticar no ambiente.

6. Autenticar e conectar via WARP

Ao abrir WARP, o usuário deverá fazer login conforme método configurado (ex: e-mail + código de verificação, Google, etc.).

Depois de autenticado, o dispositivo passa a estar ligado à sua estrutura Zero Trust e o WARP cria um túnel seguro entre o dispositivo e a rede da Cloudflare

7. Acessar serviços internos via túnel seguro

Com WARP conectado e túnel ativo, todo tráfego do dispositivo para os ranges/IP ou hostname configurados será roteado pelo túnel - como se o dispositivo estivesse "na rede privada".
O serviço só verá o endpoint da Cloudflare,satisfazendo requisitos de acesso restrito por IP ou whitelist, sem expor sua VPS ou rede real diretamente.

Conclusão

O uso de Cloudflare Tunnel + Cloudflare Zero Trust (com Cloudflare WARP) representa uma mudança importante no paradigma de acesso remoto. Em vez de confiar cegamente no perímetro da rede. como numa VPN tradicional, você passa a adotar uma abordagem onde cada acesso é verificado e autorizado, e a infraestrutura interna fica protegida sem expor portas ou IP públicos.

No seu caso prático, a configuração com VPS + túnel + WARP garante que a empresa consumidora veja sempre um único "endereço confiável", o endpoint da Cloudflare, facilitando o controle de whitelist e satisfaz requisitos de segurança, sem comprometer usabilidade ou escalabilidade.

Esse modelo reduz significativamente a superfície de ataque, elimina a necessidade de gerenciar VPNs, NAT ou firewall complexo, e simplifica o processo de autenticação e autorização de usuários/dispositivos.

Bônus: Controle refinado (acesso por rota, IP ou domínio)

Uma das "mágicas" mais poderosas desse modelo é a capacidade de implementar acesso granular por rota, IP ou domínio, permitindo definir exatamente quem pode acessar o quê, e limitar que determinados usuários vejam apenas partes específicas da rede. Isso funciona da seguinte maneira:

Com Zero Trust e WARP, você pode definir políticas como "somente este dispositivo / usuário pode acessar esses IPs ou sub-redes internas", por exemplo os 10.0.0.0/24 da rede privada, e bloquear todo o resto.
Também é possível restringir por hostname/domínio público (o hostname configurado no túnel) em vez de depender de IP fixo, facilitando o uso mesmo se os IPs mudarem ou você tiver múltiplos serviços.
Para cada usuário ou grupo, você define exatamente quais recursos (IPs, domínios, aplicações) ele pode acessar, implementando o princípio do menor privilégio. Isso ajuda a evitar acessos indevidos ou horizontais na rede.
Se necessário, pode criar listas (whitelists) internas, regras de firewall ou filtros adicionais que só aceitam tráfego vindo da rede da Cloudflare / túnel, bloqueando qualquer tentativa de acesso direto ao servidor.

Em resumo: você estrutura a rede como uma malha segura e controlada, onde cada usuário/dispositivo recebe somente as permissões estritamente necessárias - e nada além. Isso torna o acesso remoto muito mais seguro, controlado e adequado a ambientes com exigências rígidas de whitelist ou compliance.

Forem: lkgiovani

Da VPN tradicional ao Zero Trust com Cloudflare Tunnel: um guia prático

Introdução

Vantagens essenciais do Zero Trust

Conceito e Funcionamento

Problema: acesso restrito por IP em infra tradicional

Problema: acesso restrito por IP em infra tradicional

Solução aplicada: Tunnel + Zero Trust + WARP — mantendo um “IP confiável” de saída

Exemplo prático fictício

Benefícios desse modelo

Passo a Passo: Acesso Zero Trust via Cloudflare Tunnel + WARP

1. Criar conta e ativar Zero Trust

2. Criar o Tunnel (conector de saída)

3. Definir faixa(s) de IP (CIDR) que usarão o túnel, se for uma rede privada

4. Configurar permissão de dispositivos (Device Enrollment) no Zero Trust

5. Instalar o cliente WARP no dispositivo

6. Autenticar e conectar via WARP

7. Acessar serviços internos via túnel seguro

Conclusão

Bônus: Controle refinado (acesso por rota, IP ou domínio)

Referências