Đừng public NodeWarden: Bảo mật qua Cloudflare

No momento em que o seu NodeWarden é exposto publicamente na internet, ele começa a atrair milhares de bots automatizados em busca de vulnerabilidades 24 horas por dia, 7 dias por semana. Para proteger seus dados confidenciais, você precisa colocar sua instância do NodeWarden sob o nível máximo de bloqueio possível.

Para proteger sua instância do NodeWarden, você pode usar um dos dois recursos da Cloudflare:

• Cloudflare IP Access Rules (Regras de Acesso por IP): Permite bloquear, desafiar (challenge) ou permitir o tráfego com base em endereços IP ou países específicos.
• Cloudflare Zero Trust (Recomendado): Atua como um gateway seguro que torna sua instância do NodeWarden completamente invisível para o público, permitindo a passagem apenas de usuários autorizados.

Por que recomendamos o Cloudflare Zero Trust

Aconselhamos fortemente o uso do Cloudflare Zero Trust, pois as regras de acesso por IP estão vinculadas a endereços IP ou países, o que significa que você precisa atualizar manualmente suas regras toda vez que viajar ou se tiver um IP dinâmico. Por outro lado, o Cloudflare Zero Trust se baseia na sua identidade, e não na sua localização — proporcionando um acesso contínuo e seguro ao NodeWarden.

Guia de Configuração

Siga estas etapas para configurar o Cloudflare Zero Trust para o NodeWarden.

Fase 1: Primeiros passos

1. No seu painel da Cloudflare, clique em 'Zero Trust' no menu à esquerda.
2. Clique em 'Access controls' e depois em 'Applications'.
3. Pode ser solicitado que você escolha um plano ('Choose a plan').
4. Clique no botão 'Choose a plan' e escolha o plano 'Zero Trust Free'.

Fase 2: Proteja sua interface Web

Primeiro, vamos criar uma aplicação para proteger o painel web do NodeWarden.

1. Clique em 'Create new application' para criar a primeira aplicação.
2. Escolha 'Self-hosted and private'.
3. Insira o nome de domínio do NodeWarden.
4. Clique em 'Create new policy' para criar uma política.
5. Selecione 'Emails' e insira um e-mail na seção 'Policy rules'.
6. Insira um nome e selecione 'Allow' na seção 'Policy details'.
7. Clique em 'Save Policy' para criar a política.
8. Insira um nome e selecione '1 month' na seção 'Details'.
9. Clique em 'Create' para criar a aplicação.
10. Teste: Abra o domínio no navegador da web; você verá o 'Cloudflare Access' solicitando o e-mail.

Fase 3: Permitir a Sincronização dos Clientes BitWarden (Bypass de API)

Os aplicativos de desktop e mobile do BitWarden não conseguem processar a tela de login por e-mail da Cloudflare, por isso precisamos criar uma segunda aplicação que permita que o tráfego ignore (bypass) a tela de login especificamente para a sincronização da API.

1. Volte para Applications e clique em Create new application, escolhendo Self-hosted and private novamente.
2. Insira 'api/', 'identity/', 'notifications/' e 'icons/' na seção Destinations.
3. Clique em 'Create new policy' para criar a política.
4. Selecione 'Everyone' em 'Policy rules'.
5. Insira un nome e selecione 'Bypass' em 'Policy details'.
6. Clique em 'Save Policy' para salvar.
7. Insira um nome e selecione '1 month' para 'Session Duration'.
8. Você deverá ter 2 aplicações criadas no final.

Considerações finais

Lembre-se apenas de que a Cloudflare é o seu escudo de proteção externo. Para manter um cofre (vault) verdadeiramente seguro, certifique-se de continuar usando uma senha mestra forte, de utilizar a Autenticação de Dois Fatores (2FA) e de manter a sua conta da Cloudflare segura.