Kiến thức bảo mật, Networking

Cloudflare App Launcher – giải pháp Bastion Host không cần VPN

Posted on by Thiên Phong

Giới thiệu

Trong kỷ nguyên làm việc từ xa (Remote Work), việc truy cập vào hệ thống mạng nội bộ (Internal Network) luôn là bài toán đau đầu về bảo mật. Các giải pháp truyền thống như VPN thường cồng kềnh, khó quản lý và đôi khi làm chậm tốc độ mạng. Việc mở port (cổng) công khai cho SSH hay RDP thì chẳng khác nào “mời trộm vào nhà”.

Vậy làm sao để truy cập server, database, hay các web app nội bộ một cách an toàn mà không cần cài đặt VPN client phức tạp? Câu trả lời nằm ở Cloudflare Zero Trust với tính năng App Launcher. (Giải pháp mới của Cloudflare One)

Hôm nay, hãy cùng tìm hiểu cách biến trình duyệt web của bạn thành một “Bastion Host” mạnh mẽ.

Cloudflare Tunnel và App Launcher

Hãy tưởng tượng Cloudflare App Launcher giống như một “cổng thông tin” (Portal) dành riêng cho nhân viên của bạn. Thay vì phải nhớ hàng tá địa chỉ IP hay domain nội bộ, người dùng chỉ cần đăng nhập vào một đường dẫn duy nhất (ví dụ: team.cloudflareaccess.com).

Tại đây, tất cả các ứng dụng họ được cấp quyền truy cập sẽ hiển thị dưới dạng các biểu tượng (icon). Điều đặc biệt là bạn có thể tích hợp SSH, RDP, VNC và các ứng dụng web nội bộ ngay trên giao diện này.

Trước tiên, bạn cần biết về Cloudflare Tunnel.

Tham khảo bài viết trước đó về Cloudflare Tunnel

Browser Bastion: Khái niệm thay đổi cuộc chơi

Với Cloudflare Zero Trust, khái niệm “Browser Bastion” (Clientless Access) cho phép bạn thực hiện kết nối SSH hoặc RDP ngay trên trình duyệt web.

Cơ chế hoạt động: Cloudflare Tunnel (cloudflared) chạy trong mạng nội bộ của bạn sẽ tạo một kết nối mã hóa ra Cloudflare Edge. Khi bạn truy cập qua App Launcher, Cloudflare sẽ render (hiển thị) giao diện dòng lệnh (Terminal) hoặc màn hình remote (RDP) ngay trên Chrome/Edge/Firefox dưới dạng HTML5 canvas.

Browser RDP là tính năng mới của Cloudflare Zero Trust vào tháng 11/2025.

Các trường hợp sử dụng (Use Cases):

Đối tượngỨng dụngLợi ích
SysAdminRDP vào Windows ServerQuản lý server Windows từ máy Mac/Linux mà không cần Remote Desktop Client.
DeveloperSSH vào Linux ServerCode hoặc deploy ứng dụng ngay trên trình duyệt, log lại mọi lệnh sudo.
Nội bộWeb Admin (Grafana, Kibana)Truy cập dashboard nội bộ an toàn mà không cần Public IP.

Hướng dẫn thiết lập

Bước 1: Cài đặt Cloudflare Tunnel

Taij Networks/Connectors, cài đặt agent cloudflared lên một máy chủ trong mạng nội bộ của bạn (Linux, Windows, hoặc Docker).

Bước 2: Cấu hình Private Network và Public Hostname

Trong giao diện Connectors, tạo Published application routes

Trỏ domain (ví dụ: ssh.domain.com) tương ứng với mỗi dịch vụ SSH/RDP cục bộ (ví dụ: localhost:22).

Có thể thêm nhiều dịch vụ nếu muốn. Phần này mục đích để tạo domain cho App Launcher truy cập.

Sang thẻ CIDR, tạo Virtual Network là dải mạng nội bộ mà bạn muốn chia sẻ vào mạng Cloudflared. (Ở đây có thể chỉ định riêng một IP cũng được, hoặc nếu đã chia sẻ dải mạng thì không cần lặp lại nữa)

Lưu ý: dải mạng Agent phải kết nối đến được, các kết nối này sẽ được đi vòng qua Cloudflare Tunnel.

Bước 3: Thêm tài nguyên mạng nội bộ

Đây cũng là một menu mới của Cloudflare One. Các bạn vào Access Control/Targets để thêm tài nguyên mạng nội bộ cần chia sẻ.

Phần IP Address điền IP của máy chủ cần kết nối (có thể khác connector) nhưng phải thuộc dải mạng CIDR được chia sẻ trong Cloudflare Tunnel vừa tạo.

Bước 4: Thiết lập Access Application

Trong Access Control, vào Application và tạo một Self-hosted hoặc Infrastructure App.

Điền tên App và thêm Public hostname tương ứng của Connectors

Mở rộng Browser Rendering, đây là phần quan trọng nhất của bài viết này

  • Type: chọn loại kết nối qua trình duyệt (SSH/RDP/VNC)
  • Value: chọn Target host cần remote
  • Port: thay đổi port nếu khác

Sang phần PolicyLogin methods, thêm phương thức xác thực cho Bastion (Tham khảo setup Cloudflare Tunnel)

Sau khi hoàn thành sẽ hiển thị như sau:

Bước 5: Sử dụng App Launcher

Ở phiên bản mới của Cloudflare One, client truy cập App Launcher mặc định bị disable.

Vào Access Control/Access Settings, chọn Manage để quản lý App Launcher.

Ở đây cần thêm riêng Policy để truy cập App Launcher (trang giao diện chính chứa các Application). Phương thức xác thực có thể khác với các ứng dụng nội bộ.

Truy cập Bastion ngay trên trình duyệt

Khi này, người dùng truy cập vào đường dẫn App Launcher của tổ chức sẽ có giao diện xác minh vào Cloudflare Access như sau:

https://<org-name>.cloudflareaccess.com/

Sau khi truy cập, bạn có thể thấy các icon của application/server đã tạo.

Bấm vào ứng dụng đã bật Browser Rendering, một cửa sổ đăng nhập web sẽ hiện ra. Đăng nhập user/pass của server và bắt đầu làm việc!

Hoặc bạn có thể bookmark (lưu đường dẫn) đến Host cụ thể theo format sau:

https://<org-name>.cloudflareaccess.com/rdp/<vnet-id>/<ip>/<port>

Ví dụ Browser RDP thành công:

Ví dụ Browser SSH thành công:

Kết luận

Việc sử dụng Cloudflare App Launcher kết hợp với Cloudflare Tunnel không chỉ giúp bạn loại bỏ sự phiền toái của VPN truyền thống mà còn nâng cấp hệ thống bảo mật lên chuẩn Zero Trust. Nó biến trình duyệt web đơn giản thành một “pháo đài” quản trị mạnh mẽ, linh hoạt và an toàn.

Thiên Phong
Thiên Phong

Người mà bạn trông đợi, chỉ có mình bản thân bạn mà thôi!

Leave a Reply

This site uses cookies to offer you a better browsing experience. By browsing this website, you agree to our use of cookies.
More info Accept