Secteur public Cloudflare Tunnel Accès Zero Trust

Taqeem a remplacé son VPN par un Zero Trust Access sans IP publique.

Comment Brixio a remplacé le VPN de Taqeem (Autorité saoudienne des évaluateurs agréés) par Cloudflare Zero Trust : 6 tunnels dédiés, authentification OTP et politiques d'accès granulaires.

Arabie Saoudite Applications internes · agents et auditeurs 4 min read
Taqeem
TUNNELS6Tunnels Cloudflare, un par application interne pour la segmentation
IDP EXTERNE0L'OTP intégré Cloudflare remplace l'infrastructure d'identité externe
VPN100%Éliminé et remplacé par Cloudflare Zero Trust Access
AUDITCompletChaque tentative d'accès et décision de politique journalisée

Le défi

Taqeem, l'Autorité saoudienne des évaluateurs agréés, régule la profession d'évaluation en Arabie Saoudite. L'organisation avait besoin d'un accès sécurisé à ses applications internes sans la complexité, les problèmes de performance et les risques du VPN traditionnel.

Plusieurs risques restaient non maîtrisés :

  • Dépendances VPN. Performance lente et exposition large des identifiants en cas de compromission.
  • Pas de contrôle d'accès granulaire. Le système existant ne pouvait pas restreindre l'accès par identité, rôle et posture du terminal.
  • Applications accessibles uniquement par IP privées. Il fallait permettre une connectivité externe sécurisée sans exposer les services sur Internet.
  • Gestion des utilisateurs difficile. Onboarding manuel, non scalable pour une équipe en croissance et des auditeurs externes.

Ce que Brixio a déployé

6 tunnels Cloudflare pour la segmentation applicative

  • Chacun mappé sur une application interne différente, pour une segmentation par application.
  • Applications accessibles sans exposition sur Internet.
  • Meilleure segmentation et sécurité qu'une connexion VPN unique.

Cloudflare Access avec OTP intégré

  • Authentification par mot de passe unique par email, sans infrastructure d'identité externe.
  • Connexion simple et sécurisée sans fournisseur d'identité tiers.
  • Politiques d'accès granulaires basées sur l'identité, la posture du terminal et la localisation.

Contrôle d'accès basé sur les rôles et MFA

  • Applications à haut risque restreintes aux seuls utilisateurs autorisés.
  • Authentification multi-facteurs imposée pour tous les accès.

Cloudflare WARP avec split tunneling

  • Split tunneling configuré pour l'accès aux adresses IP internes.
  • Connectivité distante chiffrée sans VPN traditionnel.

Pare-feu et journalisation

  • Règles de pare-feu validées pour permettre aux serveurs Cloudflare Edge de communiquer avec les systèmes internes.
  • Journalisation détaillée des tentatives d'accès et de l'activité applicative en temps réel.

Architecture

Agents internes et auditeurs externes s'authentifient via l'OTP intégré Cloudflare et atteignent les applications par un tunnel dédié — sans IP publique, sans VPN.

Agents internes Effectif régulateur
Auditeurs externes Accès limité
Utilisateurs mobiles WARP inscrit
Cloudflare Zero Trust
TUNNELACCESSWARPOTP
Applications internes 6 tunnels dédiés
Services IP privées Split tunnel WARP
Logs d'audit Temps réel

Résultats

Après déploiement, Taqeem fonctionne sans VPN : chaque application interne se trouve derrière son propre tunnel, chaque accès passe par un OTP basé sur l'identité, et chaque décision est journalisée.

VPN éliminéTout l'accès distant passe désormais par Cloudflare Zero Trust, sans client VPN ni exposition d'IP publique.
Segmentation par application6 tunnels Cloudflare dédiés isolent chaque application interne au lieu d'accorder un accès réseau large.
Accès basé sur l'identité sans IDP externeL'authentification OTP intégrée Cloudflare remplace l'infrastructure d'identité externe pour agents et auditeurs.
Visibilité prête pour auditPiste d'audit complète des tentatives d'accès, des décisions de politique et des événements d'authentification pour la conformité.
Perspective sectorielle

Les régulateurs peuvent adopter le Zero Trust sans reconstruire leur infrastructure d'identité.

Les organismes régulateurs gouvernementaux gèrent des données sensibles et exigent des contrôles d'accès stricts, mais disposent rarement des ressources SI pour une infrastructure d'identité complexe. Ce déploiement montre que le Zero Trust ne nécessite pas un IDP enterprise : l'OTP intégré Cloudflare fournit un chemin d'authentification simple et sécurisé, déployable en semaines, pas en mois. La NCA en KSA exige un accès auditable et basé sur l'identité pour les systèmes de niveau régulateur, et cette architecture répond à ce niveau d'exigence sans dépendances externes.

NCA KSA SAMA SDAIA
Études de cas Zero TrustSecteur public
Remplacer le VPN par Zero Trust ?

Découvrez où en est votre posture Zero Trust aujourd'hui.

Lancez un Snapshot gratuit pour cartographier votre exposition d'accès distant, identifier les applications dépendantes du VPN et obtenir une feuille de route de migration priorisée par un partenaire Cloudflare ASDP.

Obtenir un audit Cloudflare gratuit Parler à un spécialiste