Compare
Ewii vs. Cloudflare Tunnel
Cloudflare Tunnel (cloudflared) est l’option vers laquelle la plupart des
ingénieurs se tournent lorsqu’ils ont besoin d’une connectivité strictement
sortante. Le produit est bien conçu, largement déployé, et il fonctionne. Pour
un cas d’usage d’outil de développement mono-locataire, c’est souvent la
bonne réponse.
Pour un opérateur IA ou SaaS qui vend dans des industries réglementées, le modèle se brise à deux endroits précis : le chemin des données passe par le réseau de Cloudflare, et le plan de contrôle ainsi que la garde des clés appartiennent à Cloudflare. Les deux points reviennent dans toute revue de sécurité sérieuse. Les deux exigent une réponse que « faire confiance à Cloudflare » ne peut pas satisfaire.
Topologie
| Dimension | Ewii | Cloudflare Tunnel |
|---|---|---|
| Opérateur du relai | Vous | Cloudflare |
| Juridiction du datacentre | Vous choisissez (KMS canadien par défaut au Canada) | La périphérie globale de Cloudflare |
| Garde des clés | Vous tenez l’émetteur ; le Hub tient le bundle de confiance | La PKI de Cloudflare |
| Primitive d’isolation locataire | Identité de charge SPIFFE par Client | Frontière de compte Cloudflare |
| Plan de contrôle opérateur | Binaire Hub dans votre infrastructure | Tableau de bord Cloudflare |
| Destination de la piste d’audit | Votre SIEM, votre politique de rétention | Journaux Cloudflare |
| IP de sortie depuis le Hub | La vôtre | Celle de Cloudflare |
La question du chemin des données
Cloudflare Tunnel termine TLS à la périphérie de Cloudflare. Le trafic est
ensuite re-chiffré entre Cloudflare et le démon cloudflared côté client.
C’est documenté et intentionnel — c’est ainsi que Cloudflare livre le WAF, la
gestion des bots, et le reste de la plateforme.
Pour la plupart des cas d’usage, c’est acceptable. Pour un fournisseur d’IA clinique qui doit atteindre le DSE d’un hôpital via un Tunnel, ce n’est pas acceptable. Il faut dire à l’agent de protection des renseignements personnels de l’hôpital que les RPS traversent le réseau d’un tiers sous une forme que Cloudflare peut déchiffrer. Cette conversation se termine de deux façons : une longue discussion sur les contrôles compensatoires qui retarde l’approvisionnement, ou un « non, trouvez un autre fournisseur » ferme.
Le chemin des données d’Ewii circule Hub → relai → Client avec un chiffrement de bout en bout ChaCha20-Poly1305 et un échange de clés éphémère X25519. Le relai ne tient que du chiffré. Vous pouvez montrer à l’agent de protection de votre client la matrice des primitives cryptographiques et la source du binaire du relai. Il peut auditer le chemin sans accorder de confiance à un tiers pour ses données.
Garde des clés et frontières de locataires
Dans Cloudflare Tunnel, l’isolation des locataires est la frontière de compte Cloudflare. Si vous vendez à dix clients, soit chaque client vit dans votre compte Cloudflare (location partagée au niveau opérateur), soit chaque client a son propre compte Cloudflare avec lequel vous devez vous coordonner (lourd opérationnellement et déplace la posture de sécurité du client vers Cloudflare).
Dans Ewii, chaque Client reçoit un SVID SPIFFE / X.509 émis par votre domaine de confiance. Le Hub valide le SVID à la poignée de main contre un bundle de confiance par locataire. Il n’y a pas de compte partagé. L’équipe de sécurité du client peut vérifier que sa location est isolée cryptographiquement de vos autres clients ; la preuve est dans la logique de validation du certificat, pas dans la promesse d’un fournisseur sur l’isolation logique.
Adéquation opérationnelle
Cloudflare Tunnel se configure via le tableau de bord Cloudflare ou
wrangler. L’état du tunnel — routes, politiques d’accès, destinations
des journaux d’audit — vit dans le plan de contrôle de Cloudflare. Si le
régime de conformité de votre client exige que l’état opérationnel
relatif à sa location vive à l’intérieur de son réseau ou du vôtre
(courant dans les environnements Protégé B canadien et PCI-DSS), c’est
un problème qui demande une note explicative.
Le Hub d’Ewii s’exécute dans votre infrastructure. La configuration est déclarative — vous pouvez la garder dans votre pipeline GitOps existant. Il n’y a pas de tableau de bord tiers qui détient l’état des locataires. Votre journal d’audit va à votre SIEM. Votre politique de rétention s’applique. Vous pouvez répondre à la question d’approvisionnement « où vivent nos métadonnées de connectivité » d’une seule phrase.
Quand Cloudflare Tunnel est la bonne réponse
Si vous êtes une petite équipe qui construit un produit B2C et que vous
avez besoin d’une connectivité sortante depuis le portable d’un
développeur vers un homelab, utilisez cloudflared. C’est plus rapide à
configurer, c’est gratuit à cette échelle, et les enjeux soulevés sur
cette page ne s’appliquent pas.
Si vous vendez à un hôpital, à une agence fédérale, à un processeur de paiements, ou à une banque — parlez-nous d’une revue d’architecture.