Introducing WARP for Desktop and Cloudflare for Teams
Cloudflare launched ten years ago to keep web-facing properties safe from attack and fast for visitors. Cloudflare customers owned Internet properties that they placed on our network. Visitors to those sites and applications enjoyed a faster experience, but that speed was not consistent for accessing Internet properties outside the Cloudflare network.
Over the last few years, we began building products that could help deliver a faster and safer Internet to everyone, not just visitors to sites on our network. We started with the first step to visiting any website, a DNS query, and released the world’s fastest public DNS resolver, 1.1.1.1. Any Internet user could improve the speed to connect to any website simply by changing their resolver.
While making the Internet faster for users, we also focused on making it more private. We built 1.1.1.1 to accelerate the last mile of connections, from user to our edge or other destinations on the Internet. Unlike other providers, we did not build it to sell ads.
Last year we went one step further to make the entire connection from a device both faster and safer when we launched Cloudflare WARP. With the push of a button, users could connect their mobile device to the entire Internet using a WireGuard tunnel through a Cloudflare data center near to them. Traffic to sites behind Cloudflare became even faster and a user’s experience with the rest of the Internet became more secure and private.
We brought that experience to desktops in beta earlier this year, and are excited to announce the general availability of Cloudflare WARP for desktop users today. The entire Internet can now be more secure and private regardless of how you connect.
Bringing the power of WARP to security teams everywhere
WARP made the Internet faster and more private for individual users everywhere. But as businesses embraced remote work models at scale, security teams struggled to extend the security controls they had enabled in the office to their remote workers. Today, we’re bringing everything our users have come to expect from WARP to security teams. The release also enables new functionality in our Cloudflare Gateway product.
Customers can use the Cloudflare WARP application to connect corporate desktops to Cloudflare Gateway for advanced web filtering. The Gateway features rely on the same performance and security benefits of the underlying WARP technology, now with security filtering available to the connection.
The result is a simple way for enterprises to protect their users wherever they are without requiring the backhaul of network traffic to a centralized security boundary. Instead, organizations can configure the WARP client application to securely and privately send remote users’ traffic through a Cloudflare data center near them. Gateway administrators apply policies to outbound Internet traffic proxied through the client, allowing organizations to protect users from threats on the Internet, and stop corporate data from leaving their organization.
Privacy, Security and Speed for Everyone
WARP was built on the philosophy that even people who don’t know what “VPN” stands for should be able to still easily get the protection a VPN offers. For those of us unfortunately very familiar with traditional corporate VPNs, something better was needed. Enter our own WireGuard implementation called BoringTun.
The WARP application uses BoringTun to encrypt all the traffic from your device and send it directly to Cloudflare’s edge, ensuring that no one in between is snooping on what you’re doing. If the site you are visiting is already a Cloudflare customer, the content is immediately sent down to your device. With WARP+ we use Argo Smart Routing to devise the shortest path through our global network of data centers to reach whomever you are talking to.
Combined with the power of 1.1.1.1 (the world’s fastest public DNS resolver), WARP keeps your traffic secure, private and fast. Since nearly everything you do on the Internet starts with a DNS request, choosing the fastest DNS server across all your devices will accelerate almost everything you do online. Speed isn’t everything though, and while the connection between your application and a website may be encrypted, DNS lookups for that website were not. This allowed anyone, even your Internet Service Provider, to potentially snoop (and sell) on where you are going on the Internet.
Cloudflare will never snoop or sell your personal data. And if you use DNS-over-HTTPS or DNS-over-TLS to our 1.1.1.1 resolver, your DNS request will be sent over a secure channel. This means that if you use the 1.1.1.1 resolver then in addition to our privacy guarantees an eavesdropper can’t see your DNS requests. Don’t take our word for it though, earlier this year we published the results of a third-party privacy examination, something we’ll keep doing and wish others would do as well.
For Gateway customers, we are committed to privacy and trust and will never sell your personal data to third parties. While your administrator will have the ability to audit your organization’s traffic, create rules around how long data is retained, or create specific policies about where they can go, Cloudflare will never sell your personal data or use your personal data to retarget you with advertisements. Privacy and control of your organization’s data is in your hands.
Now integrated with Cloudflare Gateway
Traditionally, companies have used VPN solutions to gate access to corporate resources and keep devices secure with their filtering rules. These connections quickly became a point of failure (and intrusion vector) as organizations needed to manage and scale up VPN servers as traffic through their on premise servers grew. End users didn’t like it either. VPN servers were usually overwhelmed at peak times, the client was bulky and they were rarely made with performance in mind. And once a bad actor got in, they had access to everything.
Traditional VPN architecture
In January 2020, we launched Cloudflare for Teams as a replacement to this model. Cloudflare for Teams is built around two core products. Cloudflare Access is a Zero Trust solution allowing organizations to connect internal (and now, SaaS) applications to Cloudflare’s edge and build security rules to enforce safe access to them. No longer were VPNs a single entry point to your organization; users could work from anywhere and still get access. Cloudflare Gateway’s first features focused on protecting users from threats on the Internet with a DNS resolver and policy engine built for enterprises.
The strength and power of WARP clients, used today by millions of users around the world, will enable incredible new use cases for security teams:
- Encrypt all user traffic — Regardless of your users’ location, all traffic from their device is encrypted with WARP and sent privately to the nearest WARP endpoint. This keeps your users and your organizations protected from whomever may be snooping. If you still used a traditional VPN on top of Access to encrypt user traffic, that is no longer needed.
- WARP+ — Cloudflare offers a premium WARP+ service for customers who want additional speed benefits. That now comes packaged into Teams deployments. Any Teams customer who deploys the Teams client applications will automatically receive the premium speed benefits of WARP+.
- Gateway for remote workers — Until today, Gateway required that you keep track of all your users’ IP addresses and build policies per location. This made it difficult to enforce policy or provide malware protection when a user took their device to a new location. With the client installed, these policies can be enforced anywhere.
- L7 Firewall and user based policies — Today’s announcement of Cloudflare Gateway SWG and Secure DNS allows your organization to enforce device authentication to your Teams account, enabling you to build user-specific policies and force all traffic through the firewall.
- Device and User auditing — Along with user and device policies, administrators will also be able to audit specific user and device traffic. Used in conjunction with logpush, this will allow your organization to do detailed level tracing in case of a breach or audit.
Enroll your organization to use the WARP client with Cloudflare for Teams
We know how hard it can be to deploy another piece of software in your organization, so we’ve worked hard to make deployment easy. To get started, just navigate to our sign-up page and create an account. If you already have an active account, you can bypass this step and head straight to the Cloudflare for Teams dashboard where you’ll be dropped directly into our onboarding flow. After you have signed up and configured your team, setup a Gateway policy and then choose one of the three ways to install the clients to enforce that policy from below:
Self Install
If you are a small organization without an IT department, asking your users to download the client themselves and type in the required settings is the fastest way to get going.
Manually join an organization
Scripted Install
Our desktop installers support the ability to quickly script the installation. In the case of Windows, this is as easy as this command line:
Managed Device
Organizations with MDM tools like Intune or JAMF can deploy WARP to their entire fleet of devices from a single operation. Just as you preconfigure all other device settings, WARP can be set so that all end users need to do is login with your team’s identity provider by clicking on the Cloudflare WARP client after it has been deployed.
Microsoft Intune Configurationa
For a complete list of the installation options, required fields and step by step instructions for all platforms see the WARP Client documentation.
What’s coming next
There is still more we want to build for both our consumer users of WARP and our Cloudflare for Teams customers. Here’s a sneak peek at some of the ones we are most excited about (and allowed to share):
- New partner integrations with CrowdStrike and VMware Carbon Black (Tanium available today) will allow you to build even more comprehensive Cloudflare Access policies that check for device health before allowing users to connect to applications
- Split Tunnel support will allow you or your organization to specify applications, sites or IP addresses that should be excluded from WARP. This will allow content like games, streaming services, or any application you choose to work outside the connection.
Download now
We are excited to finally share these applications with our customers. We’d especially like to thank our Cloudflare MVP’s, the 100,000+ beta users on desktop, and the millions of existing users on mobile who have helped grow WARP into what it is today.
You can download the applications right now from https://one.one.one.one.
Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.
To learn more about our mission to help build a better Internet, start here. If you’re looking for a new career direction, check out our open positions.
WARP от Cloudflare. Всё, что нужно знать
Cloudflare известен многим разработчикам, как CDN-провайдер. А недавно про эту компанию услышали все из-за анонса собственного VPN-сервиса под названием WARP. На самом деле WARP — это не совсем VPN и вот почему.
Как установить
После этого в приложении нужно переключить тумблер, разрешить установку VPN и всё.
VPN работает бесплатно, но есть ограничения по трафику на каждом устройстве. Их можно снять реферальными ссылками или подпиской за 129 рублей в месяц. Подробнее об этом я расскажу ниже.
Для любителей покопаться в настройках Cloudflare добавили много интересного.
Сервис можно отключить для некоторых приложений. В этом случае программы будут работать через обычную сеть.
В разделе Protocol options можно выбрать тип шифрования: DNS поверх HTTPS, DNS поверх TLS или оставить автовыбор.
В разделе Tunnel mode можно выбрать тип туннелирования. Split tunnel вам будет нужен только для работы с IPv6 сервисами, которых почти нет. Поэтому этот раздел неинтересен.
Семейный тариф
Для тех, кто хочет пользоваться WARP в семейном кругу есть два DNS-сервера:
- 1.1.1.2 с повышенной защитой от malware
- 1.1.1.3 с повышенной защитой от malware и с блокировкой контента для взрослых
Для подключения нужно выполнить всё те же действия, но указать нужный адрес DNS. К сожалению, тонкой настройки правил блокировки пока нет. В будущем обещают добавить такую возможность.
За что нужно платить?
WARP+ построен на базе технологии Argo, которая уже давно доступна платным пользователям Cloudflare CDN. За это вам и придётся платить. Стоимость подписки составляет $4.99 (129 рублей) в месяц. Цена зависит от региона и операционной системы устройства.
Базовые функции сервиса доступны бесплатно. А за каждого приглашённого пользователя вы получаете дополнительно 1 Гб трафика. Количество инвайтов, а следовательно, и трафика не ограничено.
У приложения есть несколько типов работы. В первом режиме программа заменяет DNS сервера на свои 1.1.1.1. Для пользователя по сути ничего не меняется, это то же самое, что указать DNS Google или Яндекс. Но Cloudflare обещают скорость резолва адресов значительно выше, конкурентов.
Сравнение скорости работы DNS-провайдеров
WARP уже работает как VPN с использованием DNS Cloudflare. Здесь нет никаких ограничений, если вам нужен просто VPN.
Сеть серверов Cloudflare
WARP+ это комбинация из DNS, VPN и Argo. Что не только шифрует трафик и защищает его от слежки, но и увеличивает скорость получения данных на 30%. Именно этот трафик учитывается в приложении. И за него вы платите. Если вам не нужна высокая пропускная способность, то бесплатной версии должно хватить.
Приватность
Как правило, бесплатные VPN-сервисы зарабатывают на показе рекламы или продаже пользовательских данных. В Cloudflare уделили повышенное внимание защите вашей информации:
- логи не содержат информации о пользователе;
- данные о вашей деятельности в сети никогда не будут продаваться или использоваться для рекламы;
- для использования WARP не нужно предоставлять никаких данных о себе;
- сторонний аудит безопасности и соответствия требованиям выше.
Почему WARP не VPN?
По-честному WARP — это VPN. Просто разработчикам не нравится текущее качество работы VPN-сервисов. Они тормозят устройства, снижают скорость трафика и убивают батарею. WARP лишён этих недостатков и новым названием ребята хотят показать преимущество своей технологии.
Но важно понимать следующее: WARP не создан для доступа к заблокированным ресурсам, он не скрывает ваш реальный IP-адрес.
Не смотря на это, разблокировать ресурсы все равно может. Попробуйте.
WARP создан для защиты вашей информации во время передачи данных по сети. Он защищает от утечки в публичных сетях, снифферов, отслеживания провайдером или рекламными сетями.
В приложении нельзя самостоятельно выбирать сервер для подключения.
Нужен ли вам WARP? Если вы ищете способ бесплатной разблокировки ресурсов, то нет.
Если вы хотите более безопасно выходить в сеть и загружать данные на высокой скорости — да.
А я просто указал DNS Cloudflare на всех своих устройствах и живу спокойно.
Релиз Cloudflare WARP for Desktop. VPN-клиент для Windows и Mac стал общедоступным
Компания Cloudflare была основана 10 лет назад и с тех пор постоянно занимается защитой веб-ресурсов от атак и повышением скорости их работы. Клиенты Clouflare владеют Интернет-ресурсами и размещают их в сети компании. Посетители этих сайтов наслаждаются высокой скоростью работы, но данную скорость сложно поддерживать за пределами сети Cloudflare.
За последние несколько лет компания начала создавать продукты, которые помогают делать Интернет более быстрым и безопасным для всех пользователей. Сначала Cloudflare занялась первым шагом при посещении любого Интернет-ресурса и выпустила общедоступный DNS-сервис 1.1.1.1. Любой пользователь Интернета может повысить скорость подключения к любому веб-сайту, просто изменив DNS-серверы для обработки запросов.
Компания интересовалась не только вопросами увеличения скорости, но и уделяла вниманию повышению приватности. Сервис 1.1.1.1. позволяет ускорить подключение «последней мили» — от пользователя до инфраструктуры Cloudflare или других целевых ресурсов в Интернете. В отличие от других провайдеров, сервис не создавался для продажи рекламы.
В прошлом году компания выпустила еще один продукт под названием Cloudflare WARP, который предназначался для того, чтобы сделать все соединения с устройствами быстрее и безопаснее. Одним нажатием на кнопку пользователи могли подключить свое мобильное устройство к Интернету с помощью туннеля WireGuard через ближайший центр обработки данных (ЦОД) Cloudflare. Доступ к сайтам, находящиеся за пределами сети Cloudflare, стал еще быстрее, а взаимодействие пользователей с остальной частью Интернета стало более безопасным и конфиденциальным.
В начале этого года бета-версия продукта стала доступна для настольных компьютеров под управлением Windows и Mac, а с 14 октября 2020 года WARP for Desktop становится общедоступным. Теперь весь Интернет может быть более безопасным и конфиденциальным, независимо от вашего способа подключения.
WARP доступен командам безопасности по всему миру
Сервис WARP сделал серфинг в Интернете более быстрым и конфиденциальным для пользователей во всем мире. Однако по мере того, как компании внедряли модели удаленной работы в крупных масштабах, группы безопасности усиленно пытались распространить средства контроля безопасности, которые они использовали в офисе, на своих удаленных сотрудников. С 14 октября 2020 года все возможности и преимущества WARP доступны и для команд безопасности. Релиз также включает новые функции в продукте Cloudflare Gateway.
Теперь клиенты могут использовать приложение Cloudflare WARP для подключения корпоративных компьютеров к Cloudflare Gateway для расширенной веб-фильтрации. Функции Gateway предоставляют те же преимущества высокого уровня производительности и безопасности, что и технологии, лежащие в основе WARP, а теперь также и защитную фильтрацию соединений.
В результате организации получают простой способ защитить своих пользователей, независимо от того, где они находятся. При этом не требуется перенаправлять весь трафик в централизованную границу безопасности. Вместо этого корпоративным клиентам достаточно настроить клиентское приложение WARP для безопасной и конфиденциальной передачи трафика удаленных работников через ближайший к ним ЦОД Cloudflare. Администраторы Cloudflare Gateway могут применять политики к исходящему Интернет-трафику, проксируемому через клиента. В результате организации могут защитить пользователей от угроз в Интернете и предотвращать утечку корпоративных данных из своей организации.
Безопасность, конфиденциальность и скорость для всех
Основная философия WARP как продукта заключается в том, что люди, даже не знающие ничего о VPN, могли получить защиту, предлагаемую данной технологией. Давним пользователям корпоративных VPN нужно что-то получше. Cloudflare представляет собственную реализацию WireGuard под названием BoringTun.
Приложение WARP использует BoringTun для шифрования всего трафика с устройства и отправки его непосредственно на границу Cloudflare, гарантируя, что никто не сможет отслеживать ваш трафик. Если посещаемый сайт является клиентом Cloudflare, контент немедленно отправляется на ваше устройство. Чтобы проложить кратчайший путь через сеть ЦОД вместе с WARP+ используется технология Argo Smart Routing.
В сочетании с мощью 1.1.1.1 (самым крупным общедоступным DNS-резольвером в мире) WARP обеспечивает безопасность, конфиденциальность и высокую скорость трафика. Любой доступ к Интернет-ресурсу начинается с DNS-запроса, поэтому выбор быстрого DNS-сервера для всех ваших устройств ускорит все ваши действия в глобальной сети. Скорость — это не единственный важный критерий. Соединение между вашим приложением и веб-ресурсом должно быть зашифрованы. В противном случае третьи лица, в том числе Интернет-провайдер, смогут отслеживать ваши действия в Интернете.
Cloudflare никогда не будет отслеживать и продавать ваши личные данные. Если вы используете DNS-over-HTTPS или DNS-over-TLS для сервиса 1.1.1.1, то ваш DNS-запрос будет отправлен по безопасному каналу, а значит потенциальный перехватчик не сможет увидеть ваши запросы. В начале года компания опубликовала результаты сторонней проверки конфиденциальности, и в будущем намерена продолжать это делать, чтобы стать примером для других.
Личные данные клиентов Gateway никогда не будут передаваться третьим лицам или использоваться для таргетирования рекламы. Только администратор вашей сети будет иметь возможность проверять трафик вашей организации, создавать правила по длительности хранения данных и фильтрации трафика.
Интеграция с Cloudflare Gateway
Традиционно компании используют VPN-решения для для ограничения доступа к корпоративным ресурсам и обеспечения безопасности устройств с помощью собственным правил фильтрации. Такие соединения часто превращались в «точку отказа» (и вектор вторжения), поскольку организациям необходимо было управлять серверами VPN и масштабировать их по мере роста трафика через локальные серверы. Конечных пользователей такой сценарий тоже не устраивал. VPN-серверы редко создаются с учетом нагрузки и обычно перегружены в часы пик, что негативно влияет на продуктивность работы. А в случае успешной атаки злоумышленники получают доступ ко всем данным организации.
В январе 2020 года состоялся запуск Cloudflare for Teams для замены этой модели. Cloudflare for Teams построен на базе двух основных продуктов. Cloudflare Access — это решение с нулевым доверием, позволяющее организациям подключать внутренние (а теперь и SaaS) приложения к периферии Cloudflare и создавать правила безопасности для обеспечения безопасного доступа к ним. VPN перестал быть единственной точкой входа в вашу организацию, а пользователи могли работать откуда угодно и при этом получать стабильный доступ. Первые функции Cloudflare Gateway были сосредоточены на защите пользователей от угроз в Интернете с помощью DNS-резольвера и механизма политик, созданных для предприятий.
Преимущества сервиса WARP, которым пользуются миллионы клиентов по всему миру, теперь доступны и для команд безопасности:
- Шифрование всего пользовательского трафика: независимо от расположения ваших пользователей, весь трафик с их устройств зашифровывается с помощью WARP и безопасно передается на ближайшую. конечную точку WARP. Это позволяет защитить ваших пользователей и вашу организацию от попыток отслеживания. Традиционный VPN для шифрования трафика больше не понадобится.
- WARP+: Cloudflare предлагает премиум-сервис WARP+ для клиентов, которым нужны дополнительные преимущества скорости. Теперь сервис предлагается для развертывания в командах. Любой клиент Cloudflare for Teams автоматически получит преимущества премиальной скорости WARP+.
- Gateway для удаленных работников: ранее Gateway требовал, чтобы организации отслеживали IP-адреса работников и создавали политики в зависимости от местоположения. Это затрудняло применение политики или защиту от вредоносных программ, когда пользователь подключался из нового места. После установки клиента эти политики можно применять где угодно.
- Брандмауэр L7 и пользовательские политики: теперь за счет применения Cloudflare Gateway SWG и Secure DNS организация может принудительно использовать аутентификацию устройства для вашей учетной записи Teams, что позволяет создавать политики для конкретных пользователей и пропускать весь трафик через брандмауэр.
- Аудит устройств и пользователей: наряду с конфигурацией политик пользователей и устройств администраторы также смогут проводить аудит трафика конкретных пользователей и устройств. Данная функциональность доступна в использованием Logpush , это позволяет организации выполнять детальную трассировку уровня в случае нарушений или планового аудита.
Зарегистрируйте организацию для использования WARP с Cloudflare for Teams
Развертывание дополнительного ПО в организации может быть сопряжено с серьезными трудностями, поэтому Cloudflare подумала над тем, как максимально упростить развертывание. Чтобы приступить к работе, перейдите на страницу регистрации и создайте учетную запись
Если у вас уже есть аккаунт, то можете пропустить данный шаг и перейти непосредственно к панели управления Cloudflare for Teams, где сразу запуститься процесс знакомства и адаптации. После того, как вы зарегистрировались и настроили свою команду, настройте политику Gateway, а затем выберите один из трех способов установки клиентов, чтобы обеспечить соблюдение этой политики ниже:
Самостоятельная установка
Если организация небольшая и не имеет ИТ-отдела, то попросите пользователей загрузить клиент самостоятельно и ввести необходимые параметры — это самый быстрый способ начать работу.
Автоматизированная установка
Установщики для настольных ПК поддерживают возможность быстрого создания сценария установки. В случае с Windows вы можете использовать инструкции для командной строки:
Управляемое устройство
Организации, использующие инструменты MDM, такие как Intune или JAMF, могут развернуть WARP на всю устройства за одну операцию. WARP можно настроить так, чтобы все конечные пользователи входили в систему с поставщиком идентификационной информации команды, кликнув клиент Cloudflare WARP после его развертывания.
Полный список способов установки, обязательные поля и пошаговые инструкции для всех платформ доступны в документации по клиенту WARP.
Что ожидать в ближайшее время
Cloudflare занимается разработкой расширенных возможностей для пользователей WARP и клиентов Cloudflare for Teams:
- Интеграция с CrowdStrike и VMware Carbon Black (интеграция с Tanium уже доступна) позволят создавать более полный политики доступа Cloudflare с проверкой работоспособности устройства, прежде чем пользователи смогут подключаться к приложениям.
- Поддержка Split Tunnel позволит вам или вашей организации указать приложения, сайты или IP-адреса, которые следует исключить из WARP. Определенный трафик, например игры, потоковые сервисы и приложения, смогут работать вне соединения.
- Поддержка устройств BYOD (личные устройства работников, используемые в рабочих целях), особенно для мобильных клиентов. Корпоративные пользователи, которые в данный момент не работают, должны иметь возможность легко отключать «офисный режим», чтобы корпоративные политики не ограничивали использование их личных устройств в личных целях.
- Поддержка Linux находится на стадии разработки.
В бета-тестировании WARP for Desktop принимали участие более 100 тысяч пользователей. Компания благодарит тестировщиков, Cloudflare MVP и миллионов пользователей мобильных устройств, которые помогли развивать сервис WARP.
The free app that makes your Internet safer.
When the Internet was built, computers weren’t mobile. They sat in offices next to data centers. The Internet has changed but the assumptions made 30 years ago are making your experience slower and less secure.
1.1.1.1 with WARP replaces the connection between your device and the Internet with a modern, optimized, protocol.
Fast. Free. Private.
Your Internet service provider can see every site and app you use—even if they’re encrypted. Some providers even sell this data, or use it to target you with ads.
1.1.1.1 with WARP prevents anyone from snooping on you by encrypting more of the traffic leaving your device.
We believe privacy is a right. We won’t sell your data, ever.
Use the Internet fast-lane
In addition to the full WARP service, WARP+ subscribers get access to a larger network. More cities to connect to means you’re likely to be closer to a Cloudflare data center – which can reduce the latency between your device and Cloudflare and improve your browsing speed.