Starter Hub Starter Hub

Cloudflare One Cloudflare One

Bảo vệ users, access, SaaS và mạng doanh nghiệp Secure users, access, SaaS, and corporate networks

Lộ trình Zero Trust / SASE cho team cần bảo vệ nhân viên, remote work, SaaS và ứng dụng nội bộ — thay thế hoặc bổ sung VPN truyền thống. A Zero Trust / SASE path for teams securing employees, remote work, SaaS, and internal apps — replacing or complementing traditional VPN.

Ai nên học lộ trình này? Who is this for?

IT admin, security team, hoặc founder cần kiểm soát ai truy cập app nội bộ/SaaS từ bên ngoài office. IT admins, security teams, or founders who need to control access to internal/SaaS apps from outside the office.

Mô hình tư duy Mental model

User/device → Cloudflare Zero Trust (identity + policy) → Private app / SaaS / Internet (qua SWG). Không mở toàn bộ mạng như VPN. User/device → Cloudflare Zero Trust (identity + policy) → Private app / SaaS / Internet (via SWG). No full network access like VPN.

Sơ đồ kiến trúc tham chiếu Reference architecture diagrams

Figure 1: Only traffic that has passed the Cloudflare network and relevant policies is authorized to access the SaaS application.

Secure access to SaaS applications with SASE Secure access to SaaS applications with SASE

Zero Trust cho SaaS: policy theo identity, device posture và network context qua Cloudflare One. Cloudflare's SASE platform offers the ability to bring a more Zero Trust orientated approach to securing SaaS applications. Centralized policies, based on device posture, identity attributes and granular network location can be applied across one or many Saas applications.

Thuật ngữ: Concepts: SASE · Gateway · Access · Device posture · SaaS

Sơ đồ chính thức ↗ Official diagram ↗ · SASE / Cloudflare One Secure Access Service Edge (SASE)

Figure 1: Showing a request to a private resource and where Access can be customized for AuthZ and AuthN

Extend ZTNA with external authorization and serverless computing Extend ZTNA with external authorization and serverless computing

Cloudflare's ZTNA enhances access policies using external API calls and Workers for robust security. It verifies user authentication and authorization, ensuring only legitimate access to protected resources. Cloudflare's ZTNA enhances access policies using external API calls and Workers for robust security. It verifies user authentication and authorization, ensuring only legitimate access to protected resources.

Thuật ngữ: Concepts: Access · External Evaluation · Workers · ZTNA

Sơ đồ chính thức ↗ Official diagram ↗ · SASE / Cloudflare One Secure Access Service Edge (SASE)

Cloudflare One Appliance deployment options

Cloudflare One Appliance deployment options Cloudflare One Appliance deployment options

Learn how to deploy Cloudflare One Appliance and evaluate your various deployment options. Learn how to deploy Cloudflare One Appliance and evaluate your various deployment options.

Thuật ngữ: Concepts: Cloudflare One Client · WARP · MDM · On-prem appliance

Sơ đồ chính thức ↗ Official diagram ↗ · SASE / Cloudflare One Secure Access Service Edge (SASE)

Sau lộ trình bạn sẽ What you will achieve

  • Kết nối identity provider (Google, Microsoft, Okta…) Connect an identity provider (Google, Microsoft, Okta…)
  • Publish app nội bộ đầu tiên với policy rõ ràng Publish a first internal app with clear policies
  • Pilot với nhóm user nhỏ trước khi rollout Pilot with a small user group before rollout
  • Hiểu SWG vs ZTNA vs CASB — dùng đúng công cụ Understand SWG vs ZTNA vs CASB — use the right tool
  • Có checklist mở rộng DLP/CASB sau pilot Have a checklist to expand DLP/CASB after pilot

Khái niệm cần nắm Key concepts

  • Zero Trust
  • ZTNA
  • SWG
  • CASB
  • DLP
  • Email security
  • Remote Browser Isolation
  • Cloudflare WAN

Lỗi thường gặp Common mistakes

Cutover VPN big-bang không pilot Big-bang VPN cutover without a pilot

Rollout toàn công ty một đêm dễ gây outage. Pilot 1 app + 1 nhóm nhỏ; giữ VPN read-only song song vài tuần. Company-wide overnight cutovers cause outages. Pilot one app + small group; keep VPN read-only in parallel for weeks.

Access policy quá rộng (Allow Everyone) Overly broad Access policies (Allow Everyone)

Zero Trust thất bại nếu policy như VPN cũ. Gắn quyền theo IdP group + app cụ thể; review policy hàng quý. Zero Trust fails if policies mirror old VPN. Tie access to IdP groups + specific apps; review policies quarterly.

Bỏ qua MFA tại Identity Provider Skipping MFA at the Identity Provider

Access chỉ mạnh bằng IdP. Bật MFA bắt buộc ở Google/Azure/Okta trước khi enforce Cloudflare policy. Access is only as strong as your IdP. Require MFA in Google/Azure/Okta before enforcing Cloudflare policies.

Bật CASB/DLP trước khi ZTNA ổn định Enabling CASB/DLP before ZTNA is stable

Thêm quá nhiều lớp cùng lúc làm support quá tải. Xong Access + WARP pilot trước; CASB/DLP ở wave 2. Too many layers at once overwhelms support. Finish Access + WARP pilot first; CASB/DLP in wave 2.

Không triển khai WARP trên mọi thiết bị user Not deploying WARP on all user devices

SWG/DNS policy không áp dụng nếu traffic không qua Cloudflare One client. MDM hoặc onboarding checklist cho laptop. SWG/DNS policies do not apply if traffic bypasses the Cloudflare One client. Use MDM or a laptop onboarding checklist.

Tunnel inbound thay vì outbound `cloudflared` Inbound tunnels instead of outbound `cloudflared`

Mở port inbound vào datacenter tăng attack surface. Ưu tiên Tunnel outbound; firewall chỉ cho Cloudflare. Opening inbound ports into the datacenter increases attack surface. Prefer outbound Tunnel; firewall allow Cloudflare only.

Nội dung từng phần Module-by-module content

~30 phút ~30 min 2 bài 2 lessons

Phần 1: Chuẩn bị Zero Trust Part 1: Zero Trust preparation

Inventory users, apps và identity trước khi cấu hình. Inventory users, apps, and identity before configuring.

  1. 1

    Liệt kê users và nhóm List users and groups

    Ai cần truy cập gì: engineering, sales, contractor. Map với groups trong IdP để policy dễ quản lý. Who needs what: engineering, sales, contractors. Map to IdP groups for easier policies.

    Hướng dẫn chi tiết → Detailed guide →
  2. 2

    Danh sách ứng dụng: SaaS và private App inventory: SaaS and private

    Ví dụ: Jira, Notion, internal admin, SSH bastion. Ưu tiên 1 app ít rủi ro cho pilot (internal wiki, staging). Examples: Jira, Notion, internal admin, SSH bastion. Pick one low-risk app for pilot (internal wiki, staging).

    Hướng dẫn chi tiết → Detailed guide → Hub Hub
~45 phút ~45 min 2 bài 2 lessons

Phần 2: ZTNA — thay thế VPN từng bước Part 2: ZTNA — replace VPN step by step

Cấp quyền theo application, không theo toàn mạng. Grant access per application, not per entire network.

  1. 1

    Kết nối Identity Provider Connect your Identity Provider

    Tích hợp Google Workspace, Azure AD hoặc Okta. Bật MFA ở IdP trước khi enforce policy trên Cloudflare. Integrate Google Workspace, Azure AD, or Okta. Enable MFA at the IdP before enforcing Cloudflare policies.

    Hướng dẫn chi tiết → Detailed guide → Hub Hub
  2. 2

    Policy: ai được vào app nào Policies: who can access which app

    Ví dụ: group Eng → staging admin; group All → company wiki. Log mọi session để audit. Example: Eng group → staging admin; All → company wiki. Log sessions for audit.

    Hướng dẫn chi tiết → Detailed guide → Hub Hub
~35 phút ~35 min 2 bài 2 lessons

Phần 3: Secure browsing (SWG) Part 3: Secure browsing (SWG)

Kiểm soát Internet browsing cho remote users. Control Internet browsing for remote users.

  1. 1

    DNS filtering và malware DNS filtering and malware

    Chặn category rủi ro, phishing domain. Kết hợp với agent WARP trên laptop user. Block risky categories and phishing domains. Combine with the WARP agent on user laptops.

    Hướng dẫn chi tiết → Detailed guide → Hub Hub
  2. 2

    CASB và DLP (khi sẵn sàng) CASB and DLP (when ready)

    Sau khi ZTNA ổn định, thêm kiểm soát upload/download SaaS và dữ liệu nhạy cảm. After ZTNA is stable, add controls for SaaS uploads/downloads and sensitive data.

    Hướng dẫn chi tiết → Detailed guide →
~25 phút ~25 min 2 bài 2 lessons

Phần 4: Mở rộng và vận hành Part 4: Expand and operate

Rollout rộng hơn và đo lường thành công. Broader rollout and measuring success.

  1. 1

    Mở rộng theo từng phòng ban Expand department by department

    Tránh big-bang. Mỗi wave có support channel và rollback plan. Avoid big-bang cutovers. Each wave needs a support channel and rollback plan.

    Hướng dẫn chi tiết → Detailed guide →
  2. 2

    Chỉ số theo dõi Metrics to track

    Số ticket VPN giảm, thời gian cấp quyền app mới, số sự cố malware. Review policy hàng quý. Fewer VPN tickets, time to grant new app access, malware incidents. Review policies quarterly.

    Hướng dẫn chi tiết → Detailed guide →

Trình tự học gợi ý Suggested learning order

  1. Xác định users và identity provider Identify users and identity provider
  2. Liệt kê private apps và SaaS apps List private apps and SaaS apps
  3. Chọn first use case: VPN replacement hoặc secure browsing Choose first use case: VPN replacement or secure browsing
  4. Define access policies Define access policies
  5. Test với một nhóm user nhỏ Test with a small user group
  6. Mở rộng sang nhiều apps và users hơn Expand to more apps and users
  7. Bổ sung DLP, CASB, email security hoặc network modernization Add DLP, CASB, email, or network modernization

Tình huống liên quan Related use cases

Chủ đề Learning Center Learning Center topics

Xem tất cả chủ đề View all topics

Script demo dashboard (thực chiến) Field demo scripts (dashboard)

Cấu hình theo nhu cầu khách hàng — đường dẫn menu, bước showcase và mẹo demo từ playbook SE. Mở rộng đầy đủ trên trang Script demo. Configure to customer needs — menu paths, showcase steps, and SE playbook tips. Full library on the Demo guides page.

Script demo → Demo scripts → Proposal SASE → SASE proposal → Proposal Email → Email proposal →

Khi nào vào mục này: Khi thiết lập Cloudflare One lần đầu: team domain, IdP, và đăng ký thiết bị (WARP).

Vị trí trên dashboard

  • Zero Trust > Settings
  • Zero Trust > My Team > Devices

Nên xem gì

  1. Team domain

    Chọn teamname.cloudflareaccess.com — App Launcher, IdP callback, access requests. Customize login/block pages.

    Zero Trust > Settings > General

  2. Authentication / IdP

    OTP mặc định; thêm Okta/Azure AD/Google Workspace. API/Terraform read-only mode nếu cần change control.

    Zero Trust > Settings > Authentication

  3. WARP client

    Cài WARP trên laptop/mobile — đưa device traffic vào Cloudflare One (device posture, split tunnel).

    Zero Trust > Settings > WARP Client

  4. ZT request routes

    Ba khu vực thường gặp: Settings (team/IdP/WARP) → Access (ứng dụng) → Gateway (egress Internet).

Lưu ý

  • Enroll ít nhất một thiết bị thử trước khi triển khai rộng — enrollment và split tunnel cần kiểm tra trên mạng thật.

Điểm cần nhớ

  • Team domain + IdP là prerequisite cho Access và Gateway policies.

Tài liệu chính thức: Cloudflare One · WARP

Tài nguyên chính thức (Resource Hub) Official resources (Resource Hub)

Liên kết từ Cloudflare Resource Hub — docs, community, case studies phù hợp track này. Links from the Cloudflare Resource Hub — docs, community, and case studies for this track.

Học & tài liệu Learn & docs Gợi ý Recommended

Developer Documentation Developer Documentation

Tài liệu sản phẩm, tutorial và ví dụ cho mọi dịch vụ Cloudflare. Product docs, tutorials, and examples for every Cloudflare service.

Mở trên Cloudflare Open on Cloudflare
Học & tài liệu Learn & docs Trong hub In this hub Gợi ý Recommended

Reference Architectures Reference Architectures

Pattern kiến trúc và best practices — SASE, CDN, Workers, Zero Trust. Architecture patterns and best practices — SASE, CDN, Workers, Zero Trust.

Xem trong hub View in hub
Cộng đồng & cập nhật Community & updates Trong hub In this hub Gợi ý Recommended

Developer Changelog Developer Changelog

Cập nhật sản phẩm theo ngày — Agents, Workers, Cloudflare One, R2, security. Hub có bản tóm tắt chọn lọc. Daily product updates — Agents, Workers, Cloudflare One, R2, security. This hub includes a curated summary.

Xem trong hub View in hub
Cộng đồng & cập nhật Community & updates

Cloudflare Blog Cloudflare Blog

Cập nhật sản phẩm, launch và bài kỹ thuật sâu. Product updates, launches, and technical deep dives.

Mở trên Cloudflare Open on Cloudflare
Xem toàn bộ Resource Hub trong hub View full Resource Hub in this hub

Reference Architecture Reference Architecture

Sơ đồ và tài liệu thiết kế chính thức từ Cloudflare Architecture Center — bổ sung lộ trình học trong hub. Official design diagrams and docs from the Cloudflare Architecture Center — complementing this track in the hub.

Figure 1: Only traffic that has passed the Cloudflare network and relevant policies is authorized to access the SaaS application.
Kiến trúc tham chiếu Reference architecture Nổi bật Featured Track: Track: Cloudflare One

Evolving to a SASE architecture with Cloudflare Evolving to a SASE architecture with Cloudflare

Hợp nhất security và networking trên một control plane — thay patchwork appliance bằng Cloudflare One. Consolidate security and networking on one control plane — replace appliance patchwork with Cloudflare One.

Đọc trên Cloudflare Read on Cloudflare Xem lộ trình View track
Xem tất cả tài liệu kiến trúc View all architecture docs

Ví dụ từ GitHub Cloudflare Examples from Cloudflare GitHub

Repo open source chính thức trên github.com/cloudflare — học bằng README và code mẫu. Official open source at github.com/cloudflare — learn from READMEs and sample code.

Ví dụ 2: Tunnel + Access Example 2: Tunnel + Access

Dùng cloudflared kết hợp lộ trình Cloudflare One — publish app nội bộ không VPN. Use cloudflared with the Cloudflare One track — publish internal apps without VPN.

Pinned Pinned Zero Trust & Tunnel Zero Trust & Tunnel Go ★ 14,400

cloudflare/cloudflared

Cloudflare Tunnel client — đưa service nội bộ ra Internet an toàn không mở port. Cloudflare Tunnel client — expose internal services without opening inbound ports.

Gợi ý học / thử: Try this:

Cài cloudflared local → tạo tunnel tới app staging → kết hợp với Access policy trong hub. Install cloudflared locally → tunnel to a staging app → pair with Access policies from the hub.

Mở trên GitHub Open on GitHub
Xem tất cả repo gợi ý View all suggested repos

Đọc thêm — kinh nghiệm thực tế (CloudSecOp) Further reading — field notes (CloudSecOp)

Bài viết từ cloudsecop.net — bổ sung lộ trình hub với context triển khai production, không thay tài liệu chính thức Cloudflare. Posts from cloudsecop.net — complement this track with production deployment context; not a replacement for official Cloudflare docs.

Chuỗi bài học Article series

Cloudflare One Handbook Cloudflare One Handbook

20 bài Zero Trust / SASE: Access, Gateway, Tunnel, WARP, DLP, CASB, Email Security — context triển khai doanh nghiệp. 20 Zero Trust / SASE posts: Access, Gateway, Tunnel, WARP, DLP, CASB, Email Security — enterprise deployment context.

20 bài · kinh nghiệm triển khai thực tế 20 posts · real deployment experience

Xem toàn bộ chuỗi View full series
Phần 1 Part 1 25 phút đọc 25 min read

Cloudflare One là gì, và vì sao SASE quan trọng What Cloudflare One is — and why SASE matters

6 nhóm capability, so sánh Zscaler/Netskope, mental model trước triển khai. Six capability groups, vs Zscaler/Netskope, mental model before deployment.

  • SASE
  • Zero Trust
Đọc trên CloudSecOp Read on CloudSecOp
Phần 2 Part 2 16 phút đọc 16 min read

SASE, SSE, Zero Trust, ZTNA: phân biệt thuật ngữ trước khi sa lầy SASE, SSE, Zero Trust, ZTNA: terminology without confusion

Phạm vi từng thuật ngữ, decision tree chọn đúng trong RFP và design doc. Scope of each term and a small decision tree for RFPs and design docs.

  • SASE
  • ZTNA
Đọc trên CloudSecOp Read on CloudSecOp
Phần 3 Part 3 17 phút đọc 17 min read

Mental model 4 tầng: Client, Identity, Policy, Resource Four-layer mental model: Client, Identity, Policy, Resource

Mọi request Zero Trust đi qua 4 tầng — framework triển khai và truy nguyên. Every Zero Trust request crosses four layers — deploy and troubleshoot framework.

  • Zero Trust
Đọc trên CloudSecOp Read on CloudSecOp
Phần 4 Part 4 16 phút đọc 16 min read

Cloudflare Access: ZTNA cơ bản trong 30 phút Cloudflare Access: ZTNA basics in 30 minutes

5 bước: app, IdP, policy, Tunnel, test — thay VPN cho app nội bộ. Five steps: app, IdP, policy, Tunnel, test — VPN replacement for internal apps.

  • Access
  • ZTNA
Đọc trên CloudSecOp Read on CloudSecOp
Phần 5 Part 5 17 phút đọc 17 min read

Integrate IdP: Okta, Entra ID, Google Workspace, SAML generic Integrating IdPs with Access

OIDC vs SAML, group claim, multi-IdP, checklist trước production. OIDC vs SAML, group claims, multi-IdP, pre-production checklist.

  • Access
  • IdP
Đọc trên CloudSecOp Read on CloudSecOp
Phần 6 Part 6 13 phút đọc 13 min read

Service tokens và mTLS: authentication cho CI/CD, bot, device Service tokens and mTLS for non-human clients

Phân biệt service token vs mTLS, rotate, audit, anti-pattern. Service tokens vs mTLS, rotation, audit, anti-patterns.

  • Access
Đọc trên CloudSecOp Read on CloudSecOp
Xem tất cả bài gợi ý trong Tài nguyên View all suggested posts in Resources

Bước tiếp theo Next step

Áp dụng ngay qua tình huống thực tế và checklist. Apply what you learned via a use case and checklist.

Đọc tình huống: Thay thế VPN Read use case: Replace VPN