Wie Cloudflare den Zugriff auf private Anwendungen neu definiert

LGR Reutlingen – 13 Juni 2026 | In einer Zeit, in der immer mehr geschäftskritische Dienste hinter internen Netzwerken verborgen sind, stellt die Möglichkeit, Route public traffic to private applications with Cloudflare zu realisieren, einen strategischen Quantensprung dar. Seit den Anfängen des Internets wurden öffentliche Websites und private Intranets strikt getrennt behandelt – das eine über Content‑Delivery‑Netzwerke (CDNs) und Web‑Application‑Firewalls (WAF), das andere über VPNs und dedizierte Firewalls. Cloudflare bricht nun dieses Paradigma und eröffnet Unternehmen die Option, öffentlichen Datenverkehr sicher und performant direkt zu internen APIs, KI‑Backends oder betrieblichen Tools zu leiten, ohne die dahinterliegenden Systeme dem öffentlichen Netz auszusetzen.

Der neue Service “Application Services for Private Origins” befindet sich aktuell in einer geschlossenen Betaphase für ausgewählte Enterprise‑Kunden. Er ermöglicht, dass Traffic – egal ob von Browsern, mobilen Apps oder automatisierten Agenten – über das globale Cloudflare‑Netzwerk zu privaten IP‑Adressen geleitet wird. Dabei bleiben sämtliche Sicherheits‑ und Optimierungsfunktionen – WAF, Bot‑Management, Rate‑Limiting, Caching, Rewrite‑Regeln und sogar serverlose Workers – erhalten, als ob die Zielanwendung öffentlich erreichbar wäre.

Route public traffic to private applications with Cloudflare: Das neue Netzwerk‑Modell

Die technische Grundlage baut auf bestehenden Cloudflare‑Konnektivitätslösungen wie Cloudflare Tunnel, Cloudflare One Client und den privaten Netzwerk‑Integrationen (Virtual Networks, Cloudflare Mesh) auf. Bisher ermöglichte Cloudflare Tunnel das Einbinden privater Services, jedoch musste dafür ein Connector‑Programm (cloudflared) nahe der Origin‑Instanz laufen. Mit dem neuen Ansatz wird die private Routing‑Logik direkt in die Application‑Services‑Schicht integriert. Unternehmen definieren das gewünschte Verhalten einfach über die DNS‑Einträge im Dashboard oder per API – das Feld use_private_routing kennzeichnet, dass das Ziel über das interne Netzwerk erreicht werden soll.

Ein typischer Anwendungsfall: Ein Unternehmen betreibt ein internes Zahlungs‑API‑Backend, das ausschließlich im Rechenzentrum hinter einer privaten RFC‑1918‑Adresse (z. B. 10.22.5.12) läuft. Durch Setzen des use_private_routing-Flags auf einem A-Record (payments.internal.example.com) übernimmt Cloudflare die komplette Sicherheitsprüfung, bevor der Traffic über das vorhandene IPsec‑Tunnel‑ oder GRE‑Link zum Ziel geleitet wird. Das Ergebnis ist ein einheitlicher Schutz‑Stack, ohne dass das Backend eine öffentliche IP erhalten muss.

Vereinheitlichung von HTTP‑ und Nicht‑HTTP‑Diensten

Die neue Routing‑Logik ist nicht auf HTTP beschränkt. Cloudflare Spectrum, das Layer‑4‑Proxy‑Produkt, unterstützt nun ebenfalls private Origins. Ob es sich um einen internen Datenbank‑Server (TCP 3306), einen UDP‑Log‑Collector (UDP 514) oder ein SSH‑Gateway (TCP 22) handelt – die Verbindung wird über das bestehende private Netzwerk geroutet, während gleichzeitig die bekannten Schutzmechanismen von Cloudflare aktiv bleiben. Entwickler können bei der Konfiguration einfach die virtual_network_id angeben; fehlt die zugehörige Tunnel‑Route, verweigert die API die Einrichtung, was eine zusätzliche Sicherheitsebene darstellt.

Ein weiterer Baustein ist die Integration von Workers VPC Bindings. Wenn serverloser Code innerhalb von Cloudflare Workers auf ein privates Backend zugreifen muss, sorgt das Binding dafür, dass auch dieser Traffic denselben privaten Pfad nutzt. So können moderne Anwendungsarchitekturen – etwa ein Frontend‑SPA, das über einen Worker API‑Anfragen an ein internes Machine‑Learning‑Modell sendet – komplett in der Cloudflare‑Umgebung verbleiben, ohne dass das Modell selbst jemals das interne Netzwerk verlassen muss.

Die Kombination aus öffentlichen End‑Usern, die über das globale CDN ankommen, und privaten Zielsystemen, die über Zero‑Trust‑Verbindungen erreichbar sind, eröffnet ein breites Spektrum an Einsatzszenarien:

• Interne Entwickler‑Portale, die nur für Angestellte zugänglich sein sollen, erhalten denselben DDoS‑Schutz wie die öffentliche Unternehmenswebsite.
• Legacy‑Applikationen, die nicht für das Internet gebaut wurden, können jetzt von den Cloudflare‑Optimierungen profitieren, ohne den Code zu ändern.
• AI‑Agenten, die sensible Unternehmensdaten verarbeiten, laufen sicher hinter den bekannten WAF‑Regeln.

Der Schritt von “public‑to‑private” ist heute bereits verfügbar; die Roadmap sieht für das vierte Quartal 2026 die Einführung von “private‑to‑private” vor. Das würde bedeuten, dass zwei interne Netzwerke – beispielsweise ein On‑Prem‑Rechenzentrum und ein Cloud‑VPC – über Cloudflare miteinander kommunizieren, während beide Endpunkte weiterhin von den gleichen Sicherheits‑ und Performance‑Mechanismen profitieren.

Unternehmen, die bereits Cloudflare One für Zero‑Trust‑Zugriffe nutzen, können den neuen Service nahtlos integrieren. Voraussetzung ist lediglich, dass die private Netzwerk‑Infrastructure Rückrouten für die Cloudflare‑Quell‑IP‑Range (100.64.0.0/10) bereitstellt. Die eigentliche Aktivierung erfolgt per Schalter in der DNS‑Konfiguration; für private IPv4‑Bereiche (10/8, 172.16/12, 192.168/16) ist das Feature bereits automatisch aktiv.

Aus Sicht der IT‑Operations bedeutet das deutlich weniger Komplexität. Früher mussten Unternehmen oftmals separate Load‑Balancer, Reverse‑Proxies und mTLS‑Ketten betreiben, um sowohl die öffentliche als auch die private Erreichbarkeit zu gewährleisten. Heute kann ein einziger Cloudflare‑Eintrag sowohl als Schutz‑Front‑End als auch als privater Transport‑Kanal dienen. Das spart nicht nur Lizenz‑ und Betriebskosten, sondern reduziert auch das Risiko von Fehlkonfigurationen, die Angreifern Einfallstore bieten könnten.

Analysten sehen in dieser Entwicklung einen klaren Trend zur “Unified Edge” – dem Konzept, dass die Edge‑Plattform sämtliche Arten von Traffic, egal ob öffentlich oder intern, gleich behandelt. Die Integration von privaten Origins in das Cloudflare‑Ökosystem ist ein bedeutender Schritt, um das Versprechen von Zero‑Trust‑Architekturen tatsächlich umzusetzen, anstatt sie nur theoretisch zu diskutieren.

Für Unternehmen, die bereits Cloudflare‑Dienste nutzen, ist das Angebot ein überzeugender Grund, das eigene Netzwerk‑Design zu überdenken. Die Möglichkeit, kritische interne APIs mit dem globalen CDN zu schützen, kann die Latenz für remote‑arbeitende Teams dramatisch senken und gleichzeitig das Risiko von Datenexfiltrationen mindern.

Derzeit befindet sich die Funktionalität in der geschlossenen Beta‑Phase. Interessierte Enterprise‑Kunden sollten sich an ihren Cloudflare‑Account‑Manager wenden, um Zugang zu erhalten. Die offizielle Dokumentation führt Schritt für Schritt durch die Einrichtung von Cloudflare‑One‑Konnektivität, das Anlegen von DNS‑Einträgen mit aktiviertem use_private_routing und die Konfiguration von Spectrum‑ oder Workers‑Bindings für private Ziele.

Mit der bevorstehenden General Availability im vierten Quartal 2026 wird das Feature für ein breiteres Kundenspektrum zugänglich sein. Die Vision von Cloudflare, einen einheitlichen Sicherheits‑ und Performance‑Stack für sämtliche Netzwerk‑Traffic‑Flüsse zu bieten – egal ob von außen nach innen oder von innen nach außen – rückt damit einen entscheidenden Schritt näher.