So funktioniert’s
Cloudflare Access
Schneller und zuverlässiger Zero Trust Network Access (ZTNA)
Bieten Sie einen fein abgestimmten Zugriff auf interne Anwendungen, Infrastruktur und KI-Agenten nach dem Prinzip der Vergabe minimaler Zugriffsberechtigungen.
Vorteile von Cloudflare Access
Produktivität des Teams steigern
Sorgen Sie dafür, dass lokale Applikationen ebenso einfach zu benutzen sind wie SaaS-Anwendungen. ZTNA verringert die Anzahl der Support-Tickets im Zusammenhang mit dem Fernzugriff um 80 % im Vergleich zu einem VPN.
Verwaltung vereinfachen
Vereinfachen Sie die Einrichtung und den Betrieb von ZTNA mit einmaligen Integrationen, zusammensetzbaren Software-Konnektoren und einheitlichen Zero Trust-Richtlinien.
Laterale Bewegung unterbinden
Verringern Sie Ihre Angriffsfläche, indem Sie kontextbasierte Zugriffsrichtlinien mit minimalen Zugriffsrechten pro Ressource durchsetzen.
Zero Trust mühelos skalieren
Schirmen Sie zunächst kritische Anwendungen und risikoreiche Nutzergruppen ab – und erweitern Sie dann den Cloud-nativen ZTNA, um Ihre Infrastruktur und MCP-Server zu schützen.
So funktioniert’s
Verwalten des Zugriffs in Ihrer internen Umgebung
Cloudflare Access verifiziert und schützt den Zugriff von Mitarbeitenden und Drittanbietern auf alle selbst gehosteten, per SaaS bereitgestellten und nicht im Web angesiedelten Anwendungen (inkl. KI-Tools). Der Dienst trägt auf diese Weise zur Risikominimierung und zu einem reibungslosen Nutzererlebnis bei.
Die Lösung prüft bei jeder Anfrage detailliert den Kontext, wie die Identität und den Zustand des Geräts, um einen schnellen und zuverlässigen Zugriff in Ihrem Unternehmen zu gewährleisten.
Erfahren Sie, wie Access innerhalb der SASE-Plattform von Cloudflare funktioniert
ANERKENNUNG DURCH ANALYSTEN
Was Top-Analysten sagen
Cloudflare wurde im Gartner® Magic Quadrant™ für SASE-Plattformen 2025 als Visionär ausgezeichnet
Im Bereich „Strategie“ im Bericht „Forrester Wave™: Zero Trust-Plattformen, 3. Quartal 2025“ den zweithöchsten Wert erzielt
Cloudflare wird in der IDC MarketScape 2023 für Zero Trust-Netzwerkzugang (ZTNA) zum „Leader“ ernannt
Das sagen unsere Kunden
„Cloudflare Workers hat Bitso entscheidende Verbesserungen gebracht. Es hat Zero Trust viel einfacher gemacht. Wir sind bei der Verwaltung des Zugangs zu internen Ressourcen jetzt viel effizienter und stellen sicher, dass standort-, geräte- und netzwerkunabhängig die richtigen Leute über das richtige Zugangsniveau für die richtigen Ressourcen verfügen.“
Cybersecurity Lead, Bitso
WICHTIGSTE ANWENDUNGSFÄLLE FÜR ACCESS
Cloudflare Access bietet Nutzern einfachen, sicheren Zugang zu Ihren internen Ressourcen – ohne VPN
VPN erweitern/ersetzen
Lagern Sie kritische Anwendungen für mehr Sicherheit und ein verbessertes Nutzererlebnis aus.
Zugriff für Drittparteien verwalten
Authentifizieren Sie Drittnutzer (z. B. Auftragnehmer) mit clientlosen Optionen, Identitätsanbietern und mehr.
Entwicklern mehr Freiheit geben
Stellen Sie sicher, dass privilegierte technische Nutzer auf kritische Infrastrukturen zugreifen können – ohne Abstriche bei der Performance.
Wir unterstützen Unternehmen auf der ganzen Welt auf ihrem Weg zu Zero Trust
Preise
Access-Kontrollfeatures auf der gesamten Zero-Trust-Plattform
Free-Tarif
0 $
für immer
Am besten geeignet für Teams mit weniger als 50 Nutzern oder für Proof-of-Concept-Tests in Unternehmen.
Nutzungsbasierte Zahlung
7 $
pro Benutzer/Monat (jährlich bezahlt)
Am besten geeignet für Teams mit mehr als 50 Nutzern, die begrenzte SSE-Anwendungsfälle lösen und keine Enterprise-Supportdienste benötigen.
Vertragstarif
Benutzerdefinierter Preis
pro Benutzer/Monat (jährlich bezahlt)
Am besten geeignet für Organisationen, die auf eine SSE- oder SASE-Implementierung mit vollem Funktionsumfang hinarbeiten und gleichzeitig maximalen Support wünschen.
Free-Tarif
Nutzungsbasierte Zahlung
Vertragstarif
Free-Tarif
Nutzungsbasierte Zahlung
Vertragstarif
Zugriffskontrollen (Teil der Zero-Trust-Plattform)
Anpassbare Zugriffsrichtlinien
Benutzerdefinierte Richtlinien für Anwendungen und private Netzwerke sowie Richtlinien-Tester. Unterstützt temporäre Authentifizierung, Zweckbindung und jede vom IdP bereitgestellte Authentifizierungsmethode.
Schützen Sie den Zugriff auf alle Ihre Anwendungen und privaten Netzwerke
Schützen Sie selbstgehostete, SaaS- und Nicht-Web-Anwendungen (SSH, VNC, RDP), interne IPs und Hostnamen oder jeden beliebigen L4-7 TCP- oder UDP-Datenverkehr.
Authentifizierung über Identitätsanbieter (IdPs)
Authentifizierung über Unternehmens- und soziale IdPs, einschließlich mehrerer IdPs gleichzeitig. Sie können auch generische SAML- und OIDC-Konnektoren verwenden.
Identitätsbezogener Kontext
Konfigurieren Sie den kontextbezogenen Zugriff auf der Grundlage von IdP-Gruppen, Geolokalisierung, Gerätestatus, Sitzungsdauer, externen APIs usw.
Gerätestatus-Integration
Überprüfen Sie die Sicherheit Ihrer Geräte mithilfe der Integration von Drittanbietern für den Endpunktschutz.
Option für clientlosen Zugriff
Clientloser Zugriff für Webanwendungen und browserbasiertes SSH oder VNC
Browserbasiertes SSH und VNC
Privilegierter SSH- und VNC-Zugang über ein Browser-Terminal
Split-Tunneling
Lokale Verbindungen oder VPN-Verbindungen per Split-Tunneling
Startprogramm für Anwendungen
Anpassbarer App-Launcher für alle Apps, einschließlich Lesezeichen für Apps außerhalb von Access
Token Authentication
Sicherheitstoken-Support für automatische Dienste
Interne DNS-Unterstützung
Konfigurieren Sie den lokalen Domain-Fallback. Definieren Sie einen internen DNS-Resolver, um Anfragen aus dem privaten Netzwerk aufzulösen
Infrastructure-als-Code-Automatisierung (über Terraform)
Automatisieren Sie die Bereitstellung von Cloudflare-Ressourcen und -Verbindungen.
mTLS-Authentifizierung
Authentifizierung für IoT und andere mTLS-Anwendungsfälle anhand von Zertifikaten
Kernfunktionen
Betriebszeit rund um die Uhr
Zuverlässige Service Level Agreements (SLA) für kostenpflichtige Tarife mit 100 % Verfügbarkeit und erstklassiger Service, dem Sie vertrauen können.
Mehr erfahren >
Standardmäßige Protokollaufbewahrung
Zero Trust-Protokolle werden je nach Tarifart und genutztem Service für einen unterschiedlichen Zeitraum gespeichert. Vertragsnutzer können Protokolle über Logpush exportieren.
Siehe technische Dokumentation >
Anwendungskonnektor-Software
Verbindet Ressourcen sicher mit Cloudflare, ohne eine öffentlich erreichbare IP-Adresse. Erfordert keine VM-Infrastruktur und hat keine Durchsatzbeschränkungen.
Siehe technische Dokumentation >
Software für Geräte-Client (Agent)
Sendet den Traffic von Endnutzern sicher und privat an das globale Netzwerk von Cloudflare. Ermöglicht Funktionen wie die Erstellung von Regeln für den Gerätestatus oder die Durchsetzung von Filterrichtlinien an jedem Ort. Eigenständige Registrierung oder Bereitstellung über MDM.
Siehe technische Dokumentation >
Zero-Trust-Netzwerkzugriff (ZTNA)
ZTNA bietet einen fein abstimmbaren identitäts- und kontextbasierten Zugriff auf alle Ihre internen, selbstgehosteten, SaaS- und Nicht-Web-Ressourcen (z. B. SSH).
Siehe technische Dokumentation >
Secure Web Gateway (SWG)
SWG schützt vor Ransomware, Phishing und anderen Bedrohungen mit L4-7 Netzwerk-, DNS- und HTTP-Filterrichtlinien für schnelleres und sichereres Surfen im Internet.
Siehe technische Dokumentation >
Digital Experience Monitoring (DEX)
Bietet einen nutzerzentrierten Einblick in die Performance von Geräten, Netzwerken und Anwendungen in Ihrer gesamten Zero Trust-Organisation.
Siehe technische Dokumentation >
Überwachung des Netzwerkflusses
Bietet Einsicht in den Netzwerk-Traffic und Echtzeit-Warnungen für einen einheitlichen Einblick in die Netzwerkaktivitäten. Kostenlos für alle verfügbar.
Siehe technische Dokumentation >
Cloud Access Security Broker (CASB)
CASB überwacht SaaS-Anwendungen kontinuierlich im Ruhezustand, um potenzielle Datenverluste aufgrund von Fehlkonfigurationen oder Schwachstellen zu erkennen.
Siehe technische Dokumentation >
Schutz vor Datenverlust (DLP)
DLP erkennt sensible Daten bei der Übertragung und im Ruhezustand über das Internet, SaaS und private Anwendungen und bietet Kontrollen oder Anleitungen zur Behebung von Sicherheitslücken, um Verlust oder Offenlegung von Daten zu verhindern.
Siehe technische Dokumentation >
Log Explorer
Free- und Pay-as-you-go-Tarif: Kostenlos für die ersten 10 GB, danach 1 USD pro GB und Monat.
Enterprise: Individuelle Preisgestaltung
Remote-Browserisolierung (RBI)
RBI bietet zusätzliche Bedrohungsabwehr und Datenschutzkontrollen für alle Browsing-Aktivitäten, indem der gesamte Browser-Code über das globale Netzwerk von Cloudflare ausgeführt wird.
Siehe technische Dokumentation >
E-Mail-Sicherheit
E-Mail-Sicherheit hilft, Bedrohungen durch Multi-Channel-Phishing zu blockieren und zu isolieren, einschließlich Malware und Kompromittierung geschäftlicher E-Mail-Konten.
Siehe technische Dokumentation >
Netzwerkdienste für SASE
Cloudflare One ist unsere SASE-Plattform aus einer Hand, die Zero Trust-Sicherheitsservices aus den oben genannten Tarifen mit Netzwerkservices – einschließlich Magic WAN und Firewall – zusammenführt.
Siehe technische Dokumentation >
Zugriffskontrollen
Anpassbare Zugriffsrichtlinien
Benutzerdefinierte Richtlinien für Anwendungen und private Netzwerke sowie Richtlinien-Tester. Unterstützt temporäre Authentifizierung, Zweckbindung und jede vom IdP bereitgestellte Authentifizierungsmethode.
Schützen Sie den Zugriff auf alle Ihre Anwendungen und privaten Netzwerke
Schützen Sie selbstgehostete, SaaS- und Nicht-Web-Anwendungen (SSH, VNC, RDP), interne IPs und Hostnamen oder jeden beliebigen L4-7 TCP- oder UDP-Datenverkehr.
Authentifizierung über Identitätsanbieter (IdPs)
Authentifizierung über Unternehmens- und soziale IdPs, einschließlich mehrerer IdPs gleichzeitig. Sie können auch generische SAML- und OIDC-Konnektoren verwenden.
Identitätsbezogener Kontext
Konfigurieren Sie den kontextbezogenen Zugriff auf der Grundlage von IdP-Gruppen, Geolokalisierung, Gerätestatus, Sitzungsdauer, externen APIs usw.
Gerätestatus-Integration
Überprüfen Sie die Sicherheit Ihrer Geräte mithilfe der Integration von Drittanbietern für den Endpunktschutz.
Option für clientlosen Zugriff
Clientloser Zugriff für Webanwendungen und browserbasiertes SSH oder VNC
Browserbasiertes SSH und VNC
Privilegierter SSH- und VNC-Zugang über ein Browser-Terminal
Split-Tunneling
Lokale Verbindungen oder VPN-Verbindungen per Split-Tunneling
Startprogramm für Anwendungen
Anpassbarer App-Launcher für alle Apps, einschließlich Lesezeichen für Apps außerhalb von Access
Token Authentication
Sicherheitstoken-Support für automatische Dienste
Interne DNS-Unterstützung
Lokale Domain-Reserve konfigurieren. Definieren Sie einen internen DNS-Resolver, um Anfragen aus dem privaten Netzwerk aufzulösen.
Infrastructure-als-Code-Automatisierung (über Terraform)
Automatisieren Sie die Bereitstellung von Cloudflare-Ressourcen und -Verbindungen.
mTLS-Authentifizierung
Authentifizierung für IoT und andere mTLS-Anwendungsfälle anhand von Zertifikaten
Bedrohungsschutz
Umfangreiche Sicherheitskategorien
Blockieren Sie nach Ransomware, Phishing, DGA-Domains, DNS-Tunneling, C2 & Botnet und mehr.
Rekursive DNS-Filterung
Filtern Sie nach Sicherheits- oder Inhaltskategorie. Stellen Sie über unseren Geräte-Client oder über Router für Standorte bereit.
HTTP(S)-Filterung
Kontrollieren Sie den Datenverkehr anhand von Quelle, Zielland, Domains, Hosts, HTTP-Methoden, URLs und mehr. Unbegrenzte TLS 1.3-Überprüfung.
L4-Firewall-Filterung
Genehmigen oder blockieren Sie Datenverkehr auf der Grundlage von Ports, IPs und TCP/UDP-Protokollen.
Prüfung durch ein Antivirus-Programm
Scannen Sie hochgeladene / heruntergeladene Dateien aller Typen (PDFs, ZIP, RAR, usw.)
Integrierte Bedrohungsdaten
Erkennung durch unsere eigenen Machine Learning-Algorithmen und Bedrohungsdaten von Dritten.
Unterstützung von IPv6-only und Dual Stack
Alle Funktionen für IPv4- und IPv6-Konnektivität verfügbar.
SSH-Proxyserver und Befehlsprotokollierung
Erstellen Sie Netzwerkrichtlinien zur Verwaltung und Überwachung des SSH-Zugriffs auf Ihre Anwendungen
Richtlinien für physische Standorte auf Netzwerkebene
Sichere Konnektivität für DNS-Filterung direkt vom Büro aus.
Remote-Browserisolierung (nativ-integriert)
Rendering des gesamten Browser-Codes an der Edge, statt lokal, um Bedrohungen zu verringern. Bereitstellung mit oder ohne Geräte-Client. Steuern Sie selektiv, welche Aktivität wann isoliert werden soll.
E-Mail-Sicherheit
Stoppen Sie Phishing und die Kompromittierung geschäftlicher E-Mail-Konten.
Proxy-Endpunkte für die Unterstützung von PAC-Dateien
Wenden Sie HTTP-Richtlinien auf Browser-Ebene an, indem Sie eine PAC-Datei konfigurieren. Wenden Sie Filter an, ohne Client-Software auf den Geräten der Nutzer zu installieren.
Dedizierte Egress-IPs
Dedizierter Bereich von IPs (IPv4 oder IPv6), der einem oder mehreren Cloudflare-Netzwerkstandorten zugeordnet ist.
Datenschutz
Zero Trust-Zugang zur Eindämmung von Datenlecks (über ZTNA)
Legen Sie für jede Anwendung Richtlinien mit den geringsten Privilegien fest, um sicherzustellen, dass die Nutzer nur auf die Daten zugreifen, die sie benötigen.
Datei-Upload-/Download-Kontrollen basierend auf dem Mime-Typ (über SWG)
Erlauben oder blockieren Sie Uploads/Downloads von Dateien basierend auf dem Mime-Typ.
Steuerung von Anwendungen und Anwendungstypen (über SWG)
Erlauben oder blockieren Sie den Datenverkehr für bestimmte Apps oder App-Typen.
CASB zur Erkennung des Risikos von Datenverlusten bei SaaS-Anwendungen
Fügen Sie Cloudflare CASB hinzu, um zu erkennen, ob Fehlkonfigurationen in SaaS-Anwendungen sensible Daten preisgeben. Sehen Sie sich die vollständige Liste der unterstützten Integrationen an.
Schutz vor Datenverlust (DLP)
Überprüfen Sie HTTP(S)-Traffic und Dateien auf das Vorhandensein sensibler Daten. Der Free-Tarif umfasst vordefinierte Profile wie Finanzdaten, während die Vertragstarife mit vollem Funktionsumfang auch benutzerdefinierte Profile, benutzerdefinierte Datensätze, OCR, DLP-Protokolle und mehr umfassen.
Kontrolle über Dateninteraktionen innerhalb eines Browsers (über RBI)
Beschränken Sie das Herunterladen, Hochladen, Kopieren/Einfügen, die Tastatureingabe und Druckvorgänge innerhalb einzelner Webseiten und Anwendungen. Verhindern Sie Datenverluste auf lokalen Geräten und kontrollieren Sie die Eingaben des Nutzers auf verdächtigen Websites. Bereitstellung mit oder ohne Geräte-Client.
Schutz von SaaS-Anwendungen
Inline-Zugriffs- und Traffic-Kontrollen für jede SaaS-Anwendung
Alle Zugriffskontrollen, Datenkontrollen und Funktionen zum Schutz vor Bedrohungen (wie in den vorherigen Abschnitten beschrieben) gelten einheitlich für alle SaaS-Anwendungen.
Mandantenkontrollen für SaaS-Anwendungen
Erlauben Sie den Datenverkehr nur für Unternehmensmandanten von SaaS-Anwendungen. Verhindern Sie das Durchsickern von sensiblen Daten an persönliche oder Verbrauchermandanten.
Aufspüren von Schatten-IT
Überprüfen Sie die Anwendungen, die Ihre Nutzer besuchen. Legen Sie den Genehmigungsstatus für diese Apps fest.
Eingehende SaaS-Anwendungsintegrationen
Integrieren Sie Ihre meistgenutzten SaaS-Anwendungen (z. B. Google Workspace, Microsoft 365), um sie zu scannen, zu erkennen und auf Sicherheitsprobleme zu überwachen. Sehen Sie sich die vollständige Liste der unterstützten Integrationen an.
Kontinuierliche Überwachung von Datensicherheitsrisiken und Nutzeraktivitäten
API-Integrationen überwachen SaaS-Anwendungen kontinuierlich auf verdächtige Aktivitäten, Datenexfiltration, unautorisierten Zugriff und mehr.
Erkennung von Dateifreigaben
Identifizieren Sie unangemessenes Verhalten bei der Dateifreigabe innerhalb Ihrer meistgenutzten SaaS-Anwendungen.
Verwaltung und Behebung von SaaS-Anwendungsproblemen
Entdecken Sie Fehlkonfigurationen und falsche Nutzerberechtigungen in SaaS-Anwendungen. Sofortige Maßnahmen bei aufgedeckten Sicherheitslücken mit Schritt-für-Schritt-Anleitungen zur Behebung.
Phishing-Erkennung für cloudbasierte E-Mail-Anwendungen
Stoppen Sie Phishing und die Kompromittierung geschäftlicher E-Mail-Konten mit der E-Mail-Sicherheit von Cloudflare.
Überblick
Standardmäßige Speicherung von Aktivitätsprotokollen
Bei Vertragstarifen werden DNS-Protokolle 6 Monate und HTTP- und Netzwerkprotokolle 30 Tage lang gespeichert.
Zugriffs- und Authentifizierungsprotokolle
Umfassende Details zu allen Anfragen, Nutzern und Geräten, einschließlich der Gründe der Blockierung. Entscheidungen über Blockierrichtlinien werden eine Woche lang gespeichert, Authentifizierungsprotokolle 6 Monate lang.
Protokolle des App-Konnektors (Tunnel)
Überprüfen Sie Protokolle auf den Verbindungsstatus von Tunneln und wenn ein neuer DNS-Eintrag für eine App registriert wird.
Transparenz hinsichtlich der Schatten-IT mit kategorisierten Anwendungsgruppen
Verfolgen Sie die Nutzung und überprüfen Sie den Genehmigungsstatus für alle Anwendungen, die die Nutzer besuchen.
Protokollierung von SSH-Befehlen
Vollständige Aufzeichnung aller während einer SSH-Sitzung ausgeführten Befehle. Bietet SSH-Sichtbarkeit auf Netzwerkebene.
Private Network Discovery
Überwachen Sie den privaten Netzwerk-Traffic passiv, um entdeckte Apps und Nutzer, die darauf zugreifen, zu katalogisieren.
Ausschluss personenbezogener Daten (PII)
Standardmäßig werden in den Protokollen keine personenbezogenen Daten der Mitarbeitenden gespeichert (Quell-IP, E-Mail des Nutzers, Benutzer-ID usw.), zudem sind diese für alle Rollen in Ihrem Unternehmen nicht verfügbar.
Digital Experience Monitoring (DEX)
Bietet prädiktive, historische und Echtzeit-Informationen zu Anwendungsausfällen, Netzwerkproblemen und verlangsamter Performance, damit Nutzer produktiv arbeiten können. Fähigkeiten anzeigen.
Netzwerk-Performance und Konnektivitätssteigerungen
Globales Anycast-Netzwerk
Anycast-Netzwerk mit 330 Städten in 125 Ländern und 405 Tbit/s Netzwerkkapazität
Globale Interconnections
13.000 Interconnections – darunter große ISPs, Cloud-Dienste und Unternehmen
Eine Kontrollebene für alle Edge-Dienste
Ein Netzwerk, das so aufgebaut ist, dass jeder Service, der an der Edge des Netzes betrieben wird, in jedem Rechenzentrum läuft und für jeden Kunden verfügbar ist.
Single-Pass-Überprüfung für L3–L7-Traffic
Der gesamte Datenverkehr wird in einem einzigen Durchgang in dem Rechenzentrum verarbeitet, das der Quelle am nächsten liegt. Keine Rückführung.
Intelligentes Routing über das virtuelle Backbone
Optimierte Routen, um Staus zu vermeiden.
Software für Geräte-Client (Agent)
Verfügbar für alle wichtigen Betriebssysteme (Win, Mac, iOS, Android, Linux, ChromeOS).
Mehrere Modi für Geräte-Client (Agent)
Im Standardmodus wird der Datenverkehr durch WireGuard-Tunnel gesendet, um das gesamte Spektrum der Sicherheitsfunktionen zu aktivieren.
Verwenden Sie den DoH-Modus, um nur DNS-Filterungsrichtlinien durchzusetzen, oder verwenden Sie den Proxy-Modus, um den Datenverkehr nur zu bestimmten Anwendungen zu filtern.
Verwaltete Bereitstellung und Optionen zur eigenständigen Registrierung
Stellen Sie alle Ihre Geräte über MDM-Tools bereit. Alternativ können Nutzer den Geräte-Client selbst herunterladen, um sich selbst zu registrieren.
App-Konnektoren (Tunnels)
Verbinden Sie Ressourcen mit Cloudflare ohne eine öffentlich erreichbare IP-Adresse. Stellen Sie über die Benutzeroberfläche, API oder CLI bereit.
Weitere Informationen
Blog
Cloudflare Access ist der schnellste Zero Trust-Proxy
Performance-Tests haben bestätigt, dass der ZTNA-Dienst von Cloudflare 50–75 % schneller ist als die Services der Konkurrenz. Überzeugen Sie sich selbst davon!
Blog
Vergabe minimaler Zugriffsberechtigungen für KI-Agenten
Zentralisieren, sichern und beobachten Sie jede MCP-Verbindung in Ihrem Unternehmen.
Whitepaper
So ersetzen Sie Ihr VPN
Viele Organisationen haben VPNs durch ZTNA ersetzt oder planen dies, haben aber Schwierigkeiten, damit zu beginnen. Erfahren Sie, wie Sie schneller auf modernen, sicheren Remote-Zugriff umstellen können.