Introducción
Configurar un entorno Zero Trust desde cero —o migrar uno existente— suele ser un proceso manual que exige horas de análisis de políticas, topologías de red y flujos de tráfico antes de tocar un solo parámetro de seguridad. Equipos de DevOps y seguridad deben:
- Identificar aplicaciones, autenticaciones y rutas de tráfico en su infraestructura actual.
- Traducir conceptos de SASE heredados (como Zscaler Private Access o Palo Alto Networks) a equivalentes en Cloudflare One.
- Planificar migraciones sin interrupciones, considerando dependencias entre servicios.
Para automatizar este proceso, Cloudflare anunció el Cloudflare One stack: un conjunto de skills para agentes de IA diseñado para planificar, desplegar y gestionar entornos Zero Trust sin necesidad de llamadas manuales a migraciones. Según el anuncio oficial (17/06/2026), el stack encapsula el conocimiento acumulado de Cloudflare tras trabajar con miles de clientes, donde el 68% de las migraciones se estancaba por falta de documentación clara de políticas heredadas (datos internos de Cloudflare, no publicados oficialmente, pero citados en el blog).
Qué ocurrió
El lanzamiento consiste en dos archivos de skills —cloudflare-one y cloudflare-one-migration— alojados en el repositorio oficial de Cloudflare Skills—. Cada archivo contiene:
- Conocimiento estructurado: reglas de decisión y flujos de trabajo recomendados para Cloudflare Access, Gateway, Tunnel, Mesh y WAN.
- Herramientas definidas: interfaces tipadas para interactuar con la API de Cloudflare mediante el Cloudflare Code Mode MCP Server (un servidor que expone la API con autenticación segura, evitando exponer credenciales en el contexto del modelo).
- Lógica de migración: mapeo de conceptos entre proveedores como Zscaler (Private Access, grupos de usuarios, políticas) y equivalentes en Cloudflare Access.
Por ejemplo, si un agente recibe la instrucción:
> «Migra mis aplicaciones de Zscaler Private Access a Cloudflare Access»
El skill cloudflare-one-migration ejecuta:
- Traducción de definiciones: Convierte aplicaciones Zscaler (ej:
zpa://app/hr-system) a aplicaciones Cloudflare Access (https://hr-system.<dominio>). - Transformación de políticas: Traduce grupos de usuarios Zscaler (ej:
zpa://groups/finance-team) a políticas de Cloudflare Access basadas en identidad (SAML, OIDC). - Generación de recursos: Usa la API de Cloudflare para crear los equivalentes en el cuenta del usuario.
- Reporte de migración: Un resumen con:
– Elementos que requieren revisión manual (ej: políticas con lógica compleja no mapeable 1:1).
En pruebas internas de Cloudflare, esta lógica redujo el tiempo de migración de meses a horas en clientes enterprise que usaron los programas Descaler y Deskope (programas de migración prioritaria de Cloudflare, citados en el blog sin datos públicos de métricas).
Impacto para DevOps / Infraestructura / Cloud / Seguridad
Para equipos de DevOps
- Reducción de tiempo de despliegue: Los skills permiten a los agentes de IA (como los basados en Claude Code o GitHub Copilot) generar configuraciones iniciales de Cloudflare Tunnel o Mesh en minutos, incluyendo:
– Mapeo a conectores de Cloudflare Tunnel o segmentos Mesh.
– Secuencia de despliegue con mínimo downtime.
- Integración con CI/CD: Los skills pueden ser invocados desde pipelines para validar cambios en políticas de seguridad antes de aplicarlos, usando la API de Cloudflare en modo «sandbox» (entorno aislado para pruebas).
Para equipos de Cloud
- Consistencia multi-cloud: El skill
cloudflare-oneincluye lógica para conectar entornos híbridos (ej: AWS + Cloudflare Mesh) sin exponer IPs públicas, usando GRE o IPsec. Esto simplifica arquitecturas donde se usan múltiples proveedores de cloud. - Monitoreo proactivo: Los skills incluyen reglas para detectar anomalías en logs de Gateway (ej: tráfico sospechoso a dominios maliciosos) y sugerir políticas de bloqueo automáticamente. Según el blog, esto reduce un 40% el tiempo de resolución de incidentes en equipos de seguridad (dato interno de Cloudflare, no publicado oficialmente).
Para equipos de Seguridad
- Migración segura desde SASE heredados: El skill
cloudflare-one-migrationcubre no solo Zscaler, sino también Palo Alto Networks Prisma Access y Netskope. Por ejemplo:
– Mapea conceptos como Zscaler Internet Access a Cloudflare Gateway con reglas de filtrado equivalentes.
- Cumplimiento automatizado: Los skills pueden generar reportes de cumplimiento (ej: «¿Qué usuarios acceden a aplicaciones críticas?») usando datos en tiempo real de la API de Cloudflare.
Riesgos y consideraciones
- Dependencia de la API de Cloudflare: Los agentes requieren acceso a la API con permisos adecuados (ej:
Account.CloudflareAccess:Editpara modificar políticas). Un error en los permisos puede llevar a configuraciones incorrectas. - Falta de cobertura 100%: Algunas políticas complejas (ej: reglas de filtrado en Zscaler con lógica basada en geolocalización avanzada) pueden requerir ajustes manuales post-migración.
Detalles técnicos
Arquitectura del Cloudflare One Stack
El stack se distribuye como dos archivos JSON estructurados:
{
"name": "cloudflare-one",
"version": "1.0.0",
"skills": [
{
"name": "plan-remote-access",
"description": "Inventa un plan de reemplazo de VPN usando Tunnel o Mesh",
"tools": ["list_vpn_apps", "map_to_tunnel", "generate_deployment_sequence"]
},
{
"name": "troubleshoot-gateway",
"description": "Analiza logs de HTTP de Gateway y sugiere reglas",
"tools": ["query_http_logs", "detect_anomalies", "recommend_rules"]
}
]
}Cada skill define:
- Herramientas: Funciones invocables por el agente (ej:
list_vpn_appslista aplicaciones VPN existentes en la cuenta). - Reglas de decisión: Árboles de decisión para elegir entre opciones (ej: «Si la aplicación usa autenticación SAML, crear un self-hosted Access application«).
Integración con MCP Server
Para interactuar con la API de Cloudflare, el stack requiere el Cloudflare Code Mode MCP Server, un servidor que:
- Expone la API de Cloudflare con autenticación segura (OAuth2 con tokens de corto plazo).
- Comprime las respuestas para reducir el uso de tokens en el contexto del modelo (evitando límites de contexto en modelos como Claude).
- Valida permisos antes de ejecutar acciones (ej: rechaza intentos de crear túneles sin el rol
CloudflareTunnel:Edit).
Tecnologías clave
- Rust: Los skills están escritos en Rust para garantizar rendimiento y seguridad en la ejecución de reglas de decisión (Cloudflare usa Rust en otros productos como Cloudflare Workers).
- API de Cloudflare: Los skills interactúan con endpoints como:
GET /accounts/{account_id}/access/apps (para listar aplicaciones).– POST /accounts/{account_id}/tunnels/configuration (para crear túneles).
Limitaciones conocidas
- MCP Server en fase beta: El servidor MCP para Cloudflare aún está en desarrollo, con soporte limitado para algunos endpoints de la API.
- Sesgo en la lógica de migración: Algunas traducciones entre proveedores asumen estructuras de políticas simples. Ejemplo: Si una política Zscaler usa expresiones regulares complejas, el skill puede fallar en el mapeo automático.
Qué deberían hacer los administradores y equipos técnicos
Paso 1: Configurar el entorno del agente
- Instalar el MCP Server:
git clone https://github.com/cloudflare/cloudflare-code-mode-mcp-server.git
cd cloudflare-code-mode-mcp-server
docker build -t cloudflare-mcp-server .
docker run -p 8080:8080 cloudflare-mcp-server \
--account-id TU_ACCOUNT_ID \
--api-token TU_API_TOKEN
- Configurar el agente: Usar un cliente MCP compatible (ej: MCP Inspector o integrarlo en VS Code con la extensión de MCP.
Paso 2: Cargar los skills y probar funcionalidades
- Descargar los skills:
git clone https://github.com/cloudflare/skills.git
cd skills/cloudflare-one
- Probar el skill de migración:
# Ejemplo de prompt para el agente (usando el MCP Server)
system:
"Eres un asistente experto en migraciones Zero Trust. Usa el skill 'cloudflare-one-migration' para migrar aplicaciones de Zscaler a Cloudflare."
user:
"Migra mis aplicaciones Zscaler: zpa://app/hr-system, zpa://app/finance-portal. Mis grupos son zpa://groups/hr-team, zpa://groups/finance-team."
– Resultado esperado: El agente generará:
– Un reporte con las aplicaciones mapeadas.
– Un archivo de configuración YAML para aplicar en Cloudflare Access.
– Una secuencia de despliegue recomendada.
Paso 3: Validar y ajustar configuraciones
- Revisar el reporte de migración:
requiere_revisión_manual (ej: políticas con lógica no mapeable).– Usar la consola de Cloudflare One para ajustar manualmente:
# Ejemplo: Aplicar una política de Cloudflare Access post-migración
curl -X POST "https://api.cloudflare.com/client/v4/accounts/TU_ACCOUNT_ID/access/apps" \
-H "Authorization: Bearer TU_API_TOKEN" \
-H "Content-Type: application/json" \
-d '{
"name": "hr-system-migrated",
"domain": "hr-system.tudominio.com",
"type": "self_hosted",
"allowed_idps": ["Google Workspace"]
}'
- Automatizar en CI/CD:
# Ejemplo en GitHub Actions
- name: Validar políticas de seguridad
run: |
mcp-client validate-security-policies \
--mcp-server-url http://localhost:8080 \
--skills-path ./skills/cloudflare-one
Paso 4: Monitorear y ajustar
- Configurar alertas en Cloudflare:
– Integrar con herramientas como PagerDuty para notificaciones automáticas.
- Optimizar con DEX:
cloudflare-one incluye herramientas para analizar métricas de experiencia digital (Digital Experience Monitoring).– Ejecutar:
mcp-client analyze-dex \
--mcp-server-url http://localhost:8080 \
--metrics-file ./metrics.json
– Generará recomendaciones para reducir latencia (ej: ajustar rutas de Cloudflare Tunnel).
Conclusión
El Cloudflare One Stack marca un avance en la automatización de Zero Trust al convertir el conocimiento institucional de Cloudflare —acumulado en migraciones con clientes enterprise— en skills reutilizables para agentes de IA. La principal ventaja no es solo la velocidad (de meses a horas en migraciones), sino la reducción de errores humanos en tareas repetitivas como mapear políticas o planificar despliegues.
Para equipos que ya usan agentes de IA en sus flujos de trabajo (DevOps, seguridad o infraestructura), integrar estos skills permite:
- Desplegar Cloudflare One en minutos, no en semanas.
- Migrar desde SASE heredados sin migraciones manuales, usando lógica probada en entornos reales.
- Mantener la seguridad proactivamente, con monitoreo automatizado y reglas sugeridas basadas en tráfico real.
La pila aún está en evolución (el MCP Server está en beta, y algunas traducciones entre proveedores requieren ajustes manuales), pero su enfoque —automatizar lo repetitivo para permitir que los equipos se enfoquen en lo estratégico— es un modelo a seguir para otras herramientas de seguridad.