Ngừng để lộ kho bảo mật của bạn: Bảo mật NodeWarden bằng Cloudflare

Ngay khi NodeWarden của bạn được hiển thị công khai trên Internet, nó sẽ bắt đầu thu hút hàng ngàn bot tự động liên tục quét tìm các lỗ hổng bảo mật 24/7. Để bảo vệ dữ liệu nhạy cảm của mình, bạn cần thiết lập mức độ khóa bảo mật cao nhất có thể cho phiên bản (instance) NodeWarden của mình.

Để bảo mật NodeWarden, bạn có thể sử dụng một trong hai tính năng của Cloudflare:

• Cloudflare IP Access Rules (Quy tắc truy cập IP): Cho phép bạn chặn, yêu cầu xác thực (challenge) hoặc cho phép lưu lượng truy cập dựa trên các địa chỉ IP hoặc quốc gia cụ thể.
• Cloudflare Zero Trust (Khuyên dùng): Hoạt động như một cổng bảo mật giúp NodeWarden của bạn hoàn toàn tàng hình trước công chúng, chỉ cho phép những người dùng đã được ủy quyền đi qua.

Tại sao chúng tôi khuyên dùng Cloudflare Zero Trust

Chúng tôi đặc biệt khuyên bạn nên sử dụng Cloudflare Zero Trust vì IP Access Rules bị ràng buộc với địa chỉ IP hoặc quốc gia. Điều này có nghĩa là bạn phải cập nhật thủ công các quy tắc của mình mỗi khi đi du lịch hoặc nếu bạn đang dùng IP động. Ngược lại, Cloudflare Zero Trust dựa trên danh tính của bạn chứ không phải vị trí địa lý—mang lại cho bạn quyền truy cập liền mạch và an toàn vào NodeWarden.

Hướng dẫn cấu hình

Hãy làm theo các bước sau để cấu hình Cloudflare Zero Trust cho NodeWarden.

Giai đoạn 1: Bắt đầu

1. Trên bảng điều khiển (dashboard) Cloudflare của bạn, nhấp vào 'Zero Trust' từ menu bên trái.
2. Nhấp vào 'Access controls', sau đó nhấp vào 'Applications'.
3. Hệ thống có thể yêu cầu bạn chọn gói ('Choose a plan').
4. Nhấp vào nút 'Choose a plan' và chọn gói 'Zero Trust Free'.

Giai đoạn 2: Bảo mật giao diện Web của bạn

Đầu tiên, chúng ta sẽ tạo một ứng dụng để bảo vệ bảng điều khiển web của NodeWarden.

1. Nhấp vào 'Create new application' để tạo ứng dụng đầu tiên.
2. Chọn 'Self-hosted and private'.
3. Nhập tên miền (domain) của NodeWarden.
4. Nhấp vào 'Create new policy' để tạo một chính sách.
5. Chọn 'Emails' và nhập một email vào mục 'Policy rules'.
6. Nhập tên và chọn 'Allow' trong mục 'Policy details'.
7. Nhấp 'Save Policy' để lưu chính sách.
8. Nhập tên và chọn '1 month' trong phần 'Details'.
9. Nhấp vào 'Create' để tạo ứng dụng.
10. Kiểm tra: Mở tên miền trên trình duyệt web, bạn sẽ thấy 'Cloudflare Access' yêu cầu nhập email.

Giai đoạn 3: Cho phép đồng bộ hóa Client BitWarden (Bỏ qua API / API Bypass)

Các ứng dụng BitWarden trên máy tính và thiết bị di động không thể xử lý màn hình đăng nhập email của Cloudflare. Do đó, chúng ta cần tạo ứng dụng thứ hai cho phép lưu lượng truy cập bỏ qua (bypass) màn hình đăng nhập, dành riêng cho việc đồng bộ hóa API.

1. Quay lại phần Applications và nhấp vào Create new application, chọn lại Self-hosted and private.
2. Nhập 'api/', 'identity/', 'notifications/' và 'icons/' vào phần Destinations.
3. Nhấp vào 'Create new policy' để tạo chính sách.
4. Chọn 'Everyone' trong mục 'Policy rules'.
5. Nhập tên và chọn 'Bypass' trong mục 'Policy details'.
6. Nhấp 'Save Policy' để lưu lại.
7. Nhập tên và chọn '1 month' cho 'Session Duration'.
8. Bạn sẽ thấy có 2 ứng dụng đã được tạo thành công.

Lời kết

Hãy nhớ rằng Cloudflare chỉ là lớp khiên bảo vệ bên ngoài của bạn. Để duy trì một kho lưu trữ (vault) thực sự an toàn, hãy đảm bảo bạn vẫn đang sử dụng một mật khẩu chính (master password) đủ mạnh, sử dụng Xác thực hai yếu tố (2FA) và giữ cho tài khoản Cloudflare của bạn luôn được bảo mật.