Cloudflare ra mắt giải pháp định tuyến lưu lượng công cộng đến ứng dụng nội bộ
Cloudflare vừa giới thiệu tính năng Application Services for Private Origins, cho phép doanh nghiệp áp dụng các lớp bảo mật như WAF, bot management và caching cho ứng dụng nội bộ mà không cần lộ IP...
Trong nhiều năm qua, hạ tầng công cộng và riêng tư thường được vận hành tách biệt. Các ứng dụng công cộng nằm sau CDN và WAF, trong khi ứng dụng nội bộ lại ẩn mình sau VPN và tường lửa truyền thống. Cloudflare tin rằng sự phân tách này đang dần trở nên lỗi thời.
Hiện nay, nhiều tổ chức sở hữu các API nội bộ, backend cho AI agent hoặc các công cụ vận hành không được thiết kế để tiếp xúc với Internet công cộng, nhưng vẫn đòi hỏi các tiêu chuẩn bảo mật và hiệu năng hiện đại. Trước đây, việc áp dụng các dịch vụ như WAF, quản lý bot hay giới hạn tốc độ (rate limiting) cho các ứng dụng này thường yêu cầu cấu hình phức tạp như IP công cộng, ngoại lệ tường lửa hoặc phần mềm kết nối trung gian.
Application Services for Private Origins (hiện đang trong giai đoạn closed beta cho khách hàng Enterprise) giải quyết vấn đề này bằng cách cho phép định tuyến lưu lượng đến các origin riêng tư mà không cần phơi bày chúng ra Internet. Giờ đây, các quy tắc bảo mật của Cloudflare có thể được áp dụng trực tiếp lên các ứng dụng nằm trong mạng nội bộ.
Cơ chế hoạt động
Giải pháp này tận dụng hạ tầng kết nối sẵn có của Cloudflare như Cloudflare Tunnel, Cloudflare One, và Cloudflare Mesh. Thay vì yêu cầu phần mềm kết nối (connector) chạy trên origin, Cloudflare tích hợp trực tiếp lớp định tuyến mạng riêng vào ngăn xếp dịch vụ ứng dụng (application services stack). Điều này cho phép cơ sở hạ tầng proxy xử lý các IP riêng tư như những đích đến hợp lệ cho các hostname công cộng.
Khi người dùng kích hoạt tùy chọn Use private network routing trên bản ghi DNS (A hoặc AAAA), các dịch vụ như WAF, caching, và transform rules sẽ hoạt động bình thường. Điểm khác biệt duy nhất là chặng cuối: thay vì đi qua Internet công cộng, kết nối được định tuyến qua mạng riêng của khách hàng.
Mở rộng ra ngoài HTTP: Spectrum và Workers
Cloudflare cũng mở rộng khả năng này cho các giao thức khác thông qua Spectrum (proxy lớp 4). Giờ đây, các dịch vụ TCP/UDP chạy trên IP riêng tư có thể được bảo vệ bởi Cloudflare mà không cần IP công cộng hay bộ cân bằng tải trung gian. Ngoài ra, Workers VPC bindings cũng cho phép mã nguồn chạy trên Cloudflare kết nối trực tiếp đến các origin nội bộ thông qua cùng một lộ trình định tuyến này.
Với bước tiến này, Cloudflare đang hướng tới một mô hình thống nhất: bất kể người dùng hay ứng dụng nằm ở đâu, lưu lượng đều được hưởng cùng một tiêu chuẩn bảo mật, hiệu năng và khả năng lập trình. Dự kiến tính năng này sẽ được phát hành rộng rãi (GA) vào quý 4 năm 2026.
Nguồn tham khảo: Cloudflare Blog
No Comment! Be the first one.