Giải pháp RDP dựa trên trình duyệt của Cloudflare
Thành phần chính:
- Khách hàng IronRDP:
Cloudflare sử dụng IronRDP, một khách hàng RDP hiện đại được xây dựng bằng Rust, để chạy trực tiếp trong trình duyệt. Cách tiếp cận này cung cấp hiệu suất tốt hơn và tích hợp chặt chẽ hơn với hệ sinh thái của Cloudflare so với các lựa chọn dựa trên Java như Apache Guacamole.
- Đóng gói WebSocket:
Để xử lý lưu lượng RDP, khách hàng IronRDP đóng gói phiên RDP bên trong một kết nối WebSocket an toàn. Phương pháp này tận dụng các API trình duyệt gốc và đảm bảo tất cả giao tiếp được bọc trong HTTPS, cho phép Cloudflare Access thực thi chính sách nhận diện nghiêm ngặt.
- Bảo mật dựa trên JWT:
Mỗi phiên được tăng cường bằng một JSON Web Token (JWT) của Cloudflare Access được truyền qua cookies. Mỗi bước của phiên RDP đều được xác minh theo các chính sách ủy quyền động kết hợp xác thực đa yếu tố (MFA), xác thực một lần (SSO) và đánh giá tư thế thiết bị.
- Dịch vụ proxy động, có thể mở rộng:
Cloudflare sử dụng Cloudflare Workers để tự động mở rộng theo nhu cầu, đảm bảo định tuyến lưu lượng không gặp phải gánh nặng của cơ sở hạ tầng bổ sung. Sau khi xác thực ban đầu và ngắt lưu lượng, các thông điệp RDP được chuyển qua Apollo – một dịch vụ thiết kế để định tuyến lưu lượng giữa các vị trí biên toàn cầu của Cloudflare. Apollo hoạt động với Cloudflare Tunnel để thiết lập kết nối an toàn tới máy chủ Windows mục tiêu trong khi cân bằng tải trên mạng.
- Tối ưu hiệu suất:
Các phiên RDP truyền thống thường đàm phán các kết nối TLS giữa khách hàng và máy chủ, điều này thừa thãi khi trình duyệt đã giao tiếp qua WebSocket được bảo vệ bởi TLS. Cloudflare đã vượt qua điều này thông qua mở rộng giao thức RDCleanPath của IronRDP, giảm thiểu các bắt tay không cần thiết và cải thiện tốc độ phản hồi tổng thể.
Cách hoạt động
- Người dùng khởi tạo:
Người dùng chọn mục tiêu RDP mong muốn từ Trình khởi chạy ứng dụng của Cloudflare hoặc thông qua một URL trực tiếp liên quan đến một tên miền công khai.
- Ingress và xác thực:
Yêu cầu được gửi đến trung tâm dữ liệu Cloudflare gần nhất, nơi Cloudflare Access xác thực phiên thông qua việc kiểm tra JWT nhúng.
- Phân phối khách hàng:
Cloudflare Workers phục vụ khách hàng web IronRDP cho trình duyệt của người dùng, khởi động phiên một cách trơn tru mà không cần cài đặt ở phía khách hàng.
- Tunneling an toàn:
Trình duyệt thiết lập một đường hầm WebSocket an toàn, đảm bảo rằng tất cả lưu lượng RDP được đóng gói bên trong một kết nối TLS.
- Định tuyến lưu lượng:
Worker xử lý phiên ngắt kết nối WebSocket và kết nối đến Apollo, một cách thông minh định tuyến lưu lượng đến Cloudflare Tunnel thích hợp và cuối cùng là máy chủ Windows.
- Thi hành chính sách:
Cuối cùng, cổng an toàn của Cloudflare (Oxy-teams) áp dụng thi hành chính sách nghiêm ngặt ở mức Layer 4 và ghi lại tất cả hoạt động cho mục đích kiểm tra.
Cải tiến tương lai
- Giám sát phiên nâng cao: Để có cái nhìn rõ ràng hơn và kiểm soát trong các phiên RDP.
- Ngăn chặn mất dữ liệu: Các biện pháp như hạn chế chuyển file và sử dụng clipboard.
- Xác thực nâng cao: Di chuyển về phía đăng nhập không có mật khẩu sử dụng xác thực chứng chỉ bên khách hàng, khóa truy cập, và thẻ thông minh.
- Chứng nhận FedRAMP cao: Mở rộng vào các tính năng được chứng nhận FedRAMP cao, làm cho nó phù hợp với các tổ chức doanh nghiệp và chính phủ yêu cầu tiêu chuẩn bảo vệ dữ liệu cao nhất.
Kết luận
Giải pháp RDP dựa trên trình duyệt của Cloudflare là một bước tiến quan trọng trong việc truy cập máy chủ Windows từ xa. Bằng cách kết hợp công nghệ hiện đại không cần khách hàng với các biện pháp bảo mật tiên tiến, Cloudflare cung cấp cho các tổ chức một lựa chọn hấp dẫn thay thế cho các giải pháp RDP truyền thống – một lựa chọn đơn giản hóa hoạt động, tăng cường bảo mật và giảm thiểu quá tải hiệu suất.
