mirror of
https://github.com/eduardogsilva/wireguard_webadmin.git
synced 2026-04-04 06:26:20 +00:00
417 lines
15 KiB
HTML
417 lines
15 KiB
HTML
<!DOCTYPE html>
|
|
<html lang="pt-BR">
|
|
<head>
|
|
<meta charset="UTF-8">
|
|
<meta name="viewport" content="width=device-width, initial-scale=1.0">
|
|
|
|
|
|
|
|
|
|
<title>Gateway de Aplicações Zero Trust · wireguard_webadmin</title>
|
|
<meta name="description" content="Entenda como o wireguard_webadmin implementa controle de acesso Zero Trust para publicar com segurança aplicações internas como Grafana, Proxmox e outras.">
|
|
|
|
|
|
|
|
<link rel="alternate" hreflang="en-us" href="https://wireguard-webadmin.com/zero-trust/">
|
|
|
|
<link rel="alternate" hreflang="pt-BR" href="https://wireguard-webadmin.com/pt-br/zero-trust/">
|
|
|
|
<link rel="alternate" hreflang="es" href="https://wireguard-webadmin.com/es/zero-trust/">
|
|
|
|
<link rel="alternate" hreflang="fr" href="https://wireguard-webadmin.com/fr/zero-trust/">
|
|
|
|
<link rel="alternate" hreflang="de" href="https://wireguard-webadmin.com/de/zero-trust/">
|
|
|
|
<link rel="alternate" hreflang="x-default" href="https://wireguard-webadmin.com/">
|
|
|
|
|
|
<meta property="og:type" content="website">
|
|
<meta property="og:url" content="https://wireguard-webadmin.com/pt-br/zero-trust/">
|
|
<meta property="og:title" content="Gateway de Aplicações Zero Trust · wireguard_webadmin">
|
|
<meta property="og:description" content="Entenda como o wireguard_webadmin implementa controle de acesso Zero Trust para publicar com segurança aplicações internas como Grafana, Proxmox e outras.">
|
|
<meta property="og:image" content="https://wireguard-webadmin.com/og-image.png">
|
|
<meta property="og:image:width" content="1280">
|
|
<meta property="og:image:height" content="800">
|
|
|
|
|
|
<meta name="twitter:card" content="summary_large_image">
|
|
<meta name="twitter:title" content="Gateway de Aplicações Zero Trust · wireguard_webadmin">
|
|
<meta name="twitter:description" content="Entenda como o wireguard_webadmin implementa controle de acesso Zero Trust para publicar com segurança aplicações internas como Grafana, Proxmox e outras.">
|
|
<meta name="twitter:image" content="https://wireguard-webadmin.com/og-image.png">
|
|
|
|
|
|
<link rel="icon" type="image/svg+xml" href="/favicon.svg">
|
|
|
|
<link rel="preconnect" href="https://fonts.googleapis.com">
|
|
<link rel="preconnect" href="https://fonts.gstatic.com" crossorigin>
|
|
<link href="https://fonts.googleapis.com/css2?family=Inter:wght@400;500;600;700&family=JetBrains+Mono:wght@400;600&display=swap" rel="stylesheet">
|
|
|
|
|
|
<link rel="stylesheet" href="/css/main.min.css">
|
|
</head>
|
|
<body>
|
|
|
|
<header class="site-header">
|
|
<div class="container">
|
|
<nav class="nav-inner">
|
|
<a href="/pt-br/" class="nav-logo">wireguard_<span>webadmin</span></a>
|
|
<button class="hamburger" aria-label="Toggle menu" aria-expanded="false">
|
|
<span></span><span></span><span></span>
|
|
</button>
|
|
<ul class="nav-links">
|
|
|
|
|
|
<li>
|
|
<a href="/pt-br/"
|
|
|
|
|
|
>
|
|
|
|
Início
|
|
</a>
|
|
</li>
|
|
|
|
|
|
<li>
|
|
<a href="/pt-br/zero-trust/"
|
|
|
|
aria-current="page"
|
|
>
|
|
|
|
Zero Trust
|
|
</a>
|
|
</li>
|
|
|
|
|
|
<li>
|
|
<a href="/pt-br/deployment/"
|
|
|
|
|
|
>
|
|
|
|
Instalação
|
|
</a>
|
|
</li>
|
|
|
|
|
|
<li>
|
|
<a href="/pt-br/get-involved/"
|
|
|
|
|
|
>
|
|
|
|
Contribua
|
|
</a>
|
|
</li>
|
|
|
|
|
|
<li>
|
|
<a href="https://github.com/eduardogsilva/wireguard_webadmin"
|
|
target="_blank" rel="noopener"
|
|
|
|
class="nav-github">
|
|
|
|
<svg width="16" height="16" viewBox="0 0 24 24" fill="currentColor"><path d="M12 0C5.374 0 0 5.373 0 12c0 5.302 3.438 9.8 8.207 11.387.599.111.793-.261.793-.577v-2.234c-3.338.726-4.033-1.416-4.033-1.416-.546-1.387-1.333-1.756-1.333-1.756-1.089-.745.083-.729.083-.729 1.205.084 1.839 1.237 1.839 1.237 1.07 1.834 2.807 1.304 3.492.997.107-.775.418-1.305.762-1.604-2.665-.305-5.467-1.334-5.467-5.931 0-1.311.469-2.381 1.236-3.221-.124-.303-.535-1.524.117-3.176 0 0 1.008-.322 3.301 1.23A11.509 11.509 0 0 1 12 5.803c1.02.005 2.047.138 3.006.404 2.291-1.552 3.297-1.23 3.297-1.23.653 1.653.242 2.874.118 3.176.77.84 1.235 1.911 1.235 3.221 0 4.609-2.807 5.624-5.479 5.921.43.372.823 1.102.823 2.222v3.293c0 .319.192.694.801.576C20.566 21.797 24 17.3 24 12c0-6.627-5.373-12-12-12z"/></svg>
|
|
|
|
GitHub
|
|
</a>
|
|
</li>
|
|
|
|
<li class="nav-lang-sep"></li>
|
|
<li class="lang-dropdown">
|
|
<button class="lang-btn" aria-expanded="false">
|
|
🇧🇷 PT
|
|
<svg width="10" height="10" viewBox="0 0 10 10" fill="currentColor"><path d="M2 3.5L5 6.5L8 3.5" stroke="currentColor" stroke-width="1.5" stroke-linecap="round" stroke-linejoin="round" fill="none"/></svg>
|
|
</button>
|
|
<ul class="lang-menu">
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
<li>
|
|
<a href="/zero-trust/"
|
|
hreflang="en"
|
|
class="">
|
|
<span class="lang-flag">🇬🇧</span>
|
|
<span>English</span>
|
|
</a>
|
|
</li>
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
<li>
|
|
<a href="/pt-br/zero-trust/"
|
|
hreflang="pt-br"
|
|
class="lang-active">
|
|
<span class="lang-flag">🇧🇷</span>
|
|
<span>Português</span>
|
|
</a>
|
|
</li>
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
<li>
|
|
<a href="/es/zero-trust/"
|
|
hreflang="es"
|
|
class="">
|
|
<span class="lang-flag">🇪🇸</span>
|
|
<span>Español</span>
|
|
</a>
|
|
</li>
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
<li>
|
|
<a href="/fr/zero-trust/"
|
|
hreflang="fr"
|
|
class="">
|
|
<span class="lang-flag">🇫🇷</span>
|
|
<span>Français</span>
|
|
</a>
|
|
</li>
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
<li>
|
|
<a href="/de/zero-trust/"
|
|
hreflang="de"
|
|
class="">
|
|
<span class="lang-flag">🇩🇪</span>
|
|
<span>Deutsch</span>
|
|
</a>
|
|
</li>
|
|
|
|
</ul>
|
|
</li>
|
|
</ul>
|
|
</nav>
|
|
</div>
|
|
</header>
|
|
|
|
<main>
|
|
|
|
<section class="page-hero">
|
|
<div class="container">
|
|
<div class="section-label">Zero Trust</div>
|
|
<h1>Gateway de Aplicações Zero Trust</h1>
|
|
<p class="section-sub" style="margin-top:1rem">Publique serviços internos com segurança, sem expô-los diretamente à internet.</p>
|
|
</div>
|
|
</section>
|
|
|
|
<div class="page-content">
|
|
<div class="container">
|
|
<h2 id="o-que-significa-zero-trust-aqui">O que significa Zero Trust aqui?</h2>
|
|
<p>A segurança de rede tradicional assume que tudo o que está dentro da sua rede pode ser confiável.
|
|
Zero Trust inverte esse modelo: <strong>nenhuma requisição é confiável por padrão</strong>, mesmo que venha de dentro da VPN.</p>
|
|
<p>No wireguard_webadmin, o gateway de aplicações Zero Trust fica na frente dos seus serviços internos.
|
|
Toda requisição precisa se autenticar antes de chegar à aplicação, e o serviço em si nunca precisa ser exposto diretamente.</p>
|
|
<hr>
|
|
<h2 id="como-uma-requisição-flui">Como uma requisição flui</h2>
|
|
<div class="flow-cards">
|
|
<div class="flow-card">
|
|
<div class="flow-card-header"><span class="flow-card-num">1</span> <strong>O cliente chega ao gateway</strong></div>
|
|
<p>O endpoint público recebe a requisição no lugar do serviço interno.</p>
|
|
</div>
|
|
<div class="flow-card">
|
|
<div class="flow-card-header"><span class="flow-card-num">2</span> <strong>Validação do navegador</strong></div>
|
|
<p>O proof-of-work do Altcha pode desafiar abusos automatizados antes mesmo do login começar.</p>
|
|
</div>
|
|
<div class="flow-card">
|
|
<div class="flow-card-header"><span class="flow-card-num">3</span> <strong>Verificações de identidade</strong></div>
|
|
<p>Credenciais, TOTP e a política de IP de origem são avaliados.</p>
|
|
</div>
|
|
<div class="flow-card">
|
|
<div class="flow-card-header"><span class="flow-card-num">4</span> <strong>Encaminhamento para o upstream</strong></div>
|
|
<p>Apenas requisições aprovadas são encaminhadas para Grafana, Proxmox ou outra aplicação interna.</p>
|
|
</div>
|
|
</div>
|
|
<hr>
|
|
<h2 id="métodos-de-autenticação">Métodos de autenticação</h2>
|
|
<div class="auth-list">
|
|
<div class="auth-row">
|
|
<div class="auth-row-name">TOTP / 2FA</div>
|
|
<div class="auth-row-desc">Senhas temporárias baseadas em tempo. Funciona com qualquer app TOTP, como Google Authenticator, Aegis e Authy.</div>
|
|
</div>
|
|
<div class="auth-row">
|
|
<div class="auth-row-name">Credenciais locais</div>
|
|
<div class="auth-row-desc">Nome de usuário e senha gerenciados dentro do wireguard_webadmin. Nenhum IdP externo é necessário.</div>
|
|
</div>
|
|
<div class="auth-row">
|
|
<div class="auth-row-name">ACL por IP</div>
|
|
<div class="auth-row-desc">Permita IPs ou sub-redes específicas em uma lista de confiança. Peers da VPN podem ser automaticamente confiáveis pelo endereço do túnel.</div>
|
|
</div>
|
|
<div class="auth-row">
|
|
<div class="auth-row-name">OIDC <span class="auth-coming">em breve</span></div>
|
|
<div class="auth-row-desc">Delegue a autenticação para Keycloak, Authentik, Google Workspace ou qualquer provedor compatível com OIDC.</div>
|
|
</div>
|
|
</div>
|
|
<hr>
|
|
<h2 id="anti-brute-force-proof-of-work-do-altcha">Anti brute force: proof-of-work do Altcha</h2>
|
|
<p>Antes mesmo de qualquer formulário de login ser exibido, o navegador precisa resolver um desafio computacional leve
|
|
(<a href="https://altcha.org/" target="_blank" rel="noopener">Altcha</a>).</p>
|
|
<p>Isso não gera atrito para usuários reais, já que o hardware moderno resolve o desafio em milissegundos,
|
|
mas torna ataques automatizados de credential stuffing computacionalmente caros em larga escala.</p>
|
|
<div class="callout">
|
|
<p><strong>Proteção em camadas:</strong> O rate limiting já está em vigor. O proof-of-work complementa essa camada: enquanto o rate limiting limita o volume de requisições por IP, o Altcha adiciona um custo computacional por requisição que encarece ataques distribuídos, independentemente de quantos IPs de origem estejam envolvidos.</p>
|
|
</div>
|
|
<hr>
|
|
<h2 id="casos-de-uso">Casos de uso</h2>
|
|
<ul>
|
|
<li>Exponha o <strong>Grafana</strong> para o seu time sem abrir a porta 3000 para a internet</li>
|
|
<li>Publique um console web do <strong>Proxmox</strong> atrás de TOTP, acessível apenas pela sua VPN</li>
|
|
<li>Compartilhe uma <strong>aplicação self-hosted</strong> com um cliente usando credenciais temporárias</li>
|
|
<li>Proteja qualquer <strong>serviço HTTP interno</strong> sem mexer na configuração dele</li>
|
|
</ul>
|
|
<div class="callout green">
|
|
<p><strong>Nenhuma mudança na aplicação é necessária.</strong> O gatekeeper faz o proxy da requisição de forma transparente.
|
|
Seu serviço interno não precisa implementar autenticação: o gateway cuida disso.</p>
|
|
</div>
|
|
<hr>
|
|
<p>O gerenciamento da VPN e o gateway de aplicações rodam como uma única stack self-hosted. Sem conta em serviço de terceiros, sem dependência de túnel de saída e sem tráfego deixando a sua infraestrutura.</p>
|
|
|
|
</div>
|
|
</div>
|
|
|
|
</main>
|
|
|
|
<footer class="site-footer">
|
|
<div class="container">
|
|
<div class="footer-inner">
|
|
<div class="footer-logo">wireguard_<span>webadmin</span></div>
|
|
<ul class="footer-links">
|
|
<li><a href="https://github.com/eduardogsilva/wireguard_webadmin" target="_blank" rel="noopener">GitHub</a></li>
|
|
<li><a href="https://github.com/eduardogsilva/wireguard_webadmin/discussions" target="_blank" rel="noopener">Discussions</a></li>
|
|
<li><a href="/pt-br/zero-trust/">Zero Trust</a></li>
|
|
<li><a href="/pt-br/deployment/">Deployment</a></li>
|
|
<li><a href="/pt-br/get-involved/">Get Involved</a></li>
|
|
</ul>
|
|
<div class="footer-built">
|
|
desenvolvido por <a href="https://github.com/eduardogsilva" target="_blank" rel="noopener">@eduardogsilva</a>
|
|
</div>
|
|
</div>
|
|
</div>
|
|
</footer>
|
|
|
|
<script>
|
|
|
|
document.querySelectorAll('.tab-btn').forEach(btn => {
|
|
btn.addEventListener('click', () => {
|
|
const group = btn.closest('.tab-group');
|
|
group.querySelectorAll('.tab-btn').forEach(b => b.classList.remove('active'));
|
|
group.querySelectorAll('.tab-panel').forEach(p => p.classList.remove('active'));
|
|
btn.classList.add('active');
|
|
group.querySelector('#' + btn.dataset.tab).classList.add('active');
|
|
});
|
|
});
|
|
|
|
|
|
const hamburger = document.querySelector('.hamburger');
|
|
const navLinks = document.querySelector('.nav-links');
|
|
if (hamburger) {
|
|
hamburger.addEventListener('click', (e) => {
|
|
e.stopPropagation();
|
|
const open = navLinks.classList.toggle('open');
|
|
hamburger.classList.toggle('open', open);
|
|
hamburger.setAttribute('aria-expanded', open);
|
|
});
|
|
document.addEventListener('click', (e) => {
|
|
if (!navLinks.contains(e.target) && !hamburger.contains(e.target)) {
|
|
navLinks.classList.remove('open');
|
|
hamburger.classList.remove('open');
|
|
hamburger.setAttribute('aria-expanded', false);
|
|
}
|
|
});
|
|
}
|
|
|
|
|
|
const langBtn = document.querySelector('.lang-btn');
|
|
const langDropdown = document.querySelector('.lang-dropdown');
|
|
if (langBtn) {
|
|
langBtn.addEventListener('click', (e) => {
|
|
e.stopPropagation();
|
|
const open = langDropdown.classList.toggle('open');
|
|
langBtn.setAttribute('aria-expanded', open);
|
|
});
|
|
document.addEventListener('click', (e) => {
|
|
if (!langDropdown.contains(e.target)) {
|
|
langDropdown.classList.remove('open');
|
|
langBtn.setAttribute('aria-expanded', false);
|
|
}
|
|
});
|
|
|
|
langDropdown.querySelectorAll('.lang-menu a').forEach(a => {
|
|
a.addEventListener('click', () => localStorage.setItem('lang-manual', '1'));
|
|
});
|
|
}
|
|
|
|
|
|
if (location.pathname === '/' && !localStorage.getItem('lang-manual')) {
|
|
const lang = (navigator.language || navigator.userLanguage || 'en').toLowerCase();
|
|
const map = [
|
|
{ prefix: 'pt', url: '/pt-br/' },
|
|
{ prefix: 'es', url: '/es/' },
|
|
{ prefix: 'fr', url: '/fr/' },
|
|
{ prefix: 'de', url: '/de/' },
|
|
];
|
|
const match = map.find(m => lang.startsWith(m.prefix));
|
|
if (match) location.replace(match.url);
|
|
}
|
|
</script>
|
|
|
|
</body>
|
|
</html>
|