Olá, equipe!
Gostaria de validar oficialmente a compatibilidade e o suporte da plataforma Segura (senhasegura) em relação ao uso da Cloudflare.
Temos o interesse de colocar o WAF da Cloudflare à frente da interface web do nosso cofre para adicionar uma camada extra de proteção contra DDoS e ataques web. Além disso, gostaríamos de saber sobre a possibilidade de habilitar os desafios de CAPTCHA (Cloudflare Turnstile / Bot Management) no acesso.
No entanto, li na documentação oficial de regras de firewall que “quaisquer outros usos do Segura através de algum outro proxy não são suportados”.
Para seguirmos com as melhores práticas e não perdermos o suporte oficial, tenho as seguintes dúvidas:
- O uso do WAF da Cloudflare (atuando como proxy reverso) na frente do cofre é oficialmente homologado/suportado por vocês?
- O Segura permite e suporta a interceptação de tráfego com CAPTCHA/Turnstile da Cloudflare antes da tela de login?
- Caso o cenário seja suportado, a plataforma consegue ler nativamente os cabeçalhos
CF-Connecting-IP ou X-Forwarded-For para garantir que os logs de auditoria e gravações de sessão registrem o IP real do usuário (e não os IPs da Cloudflare)?
- Existe alguma restrição arquitetural em relação ao tráfego de WebSockets (usado nas sessões remotas) passando pela Cloudflare?
Agradeço desde já pelo apoio técnico!
Olá,
Para obter informações oficiais do fabricante, recomendo abrir um chamado diretamente com a equipe de suporte técnico.
Eu como membro ativo da comunidade e usuário experiente do Senhasegura, posso compartilhar algumas considerações baseadas em minha experiência:
1) Homologação do WAF Cloudflare como proxy reverso
Esta informação precisa ser confirmada oficialmente pelo suporte ou consultada na documentação técnica. Embora possa funcionar tecnicamente, a ausência de homologação formal pode resultar em comportamentos inesperados.
Um ponto crítico seria o impacto das validações periódicas do WAF durante sessões ativas - quando o WAF solicita revalidação enquanto o usuário está conectado a um dispositivo alvo através dos proxies web, isso pode interromper ou afetar a sessão.
2) Suporte a CAPTCHA/Turnstile antes do login
Do ponto de vista técnico, não vejo impedimentos para implementação de CAPTCHA/Turnstile da Cloudflare antes da tela de login. Esta camada adicional de segurança deveria funcionar sem conflitos com a aplicação.
3) Leitura de cabeçalhos CF-Connecting-IP e X-Forwarded-For
Esta funcionalidade específica requer confirmação do suporte oficial. A capacidade da plataforma de interpretar esses cabeçalhos para registrar o IP real do usuário nos logs de auditoria é uma questão de implementação interna que apenas o fabricante pode confirmar.
4) Tráfego WebSockets através da Cloudflare
Conforme mencionado no item 1, o tráfego de WebSockets (essencial para sessões remotas) pode ser impactado pelas validações do WAF. A compatibilidade depende das configurações específicas da Cloudflare e do comportamento esperado durante as sessões.
Recomendação
A validação mais efetiva seria montar um ambiente de laboratório com o WAF Cloudflare configurado na frente do Senhasegura. Isso permitiria testar todos os cenários mencionados e identificar possíveis incompatibilidades antes da implementação em produção.
Espero que essas considerações sejam úteis. Para respostas oficiais e suporte formal, recomendo contatar diretamente o suporte técnico do fabricante.