{"id":1073,"date":"2026-06-14T17:14:58","date_gmt":"2026-06-14T20:14:58","guid":{"rendered":"https:\/\/jrtx.com.br\/blog\/2026\/06\/14\/cloudflare-gateway-workers-a-revolucao-do-sase-na-borda-glob\/"},"modified":"2026-06-14T17:14:58","modified_gmt":"2026-06-14T20:14:58","slug":"cloudflare-gateway-workers-a-revolucao-do-sase-na-borda-glob","status":"publish","type":"post","link":"https:\/\/jrtx.com.br\/blog\/2026\/06\/14\/cloudflare-gateway-workers-a-revolucao-do-sase-na-borda-glob\/","title":{"rendered":"Cloudflare Gateway Workers: A Revolu\u00e7\u00e3o do SASE na Borda Global em 2026"},"content":{"rendered":"

No ecossistema de infraestrutura digital de 2026, onde mais de 20% de todo o tr\u00e1fego HTTP global transita pela rede da Cloudflare (AS13335), a converg\u00eancia entre edge computing<\/strong> e Zero Trust<\/strong> deixou de ser tend\u00eancia para se tornar exig\u00eancia operacional. \u00c9 nesse cen\u00e1rio que o conceito de Cloudflare Gateway Workers<\/strong> emerge como a pe\u00e7a central para arquiteturas SASE modernas: unir o poder de processamento na borda \u2014 com lat\u00eancias abaixo de 1ms em mais de 300 PoPs \u2014 \u00e0s pol\u00edticas de seguran\u00e7a definidas por identidade, DNS filtering e inspe\u00e7\u00e3o de tr\u00e1fego. Este artigo t\u00e9cnico mergulha fundo na plataforma Cloudflare One, explorando como Workers especializados no Gateway<\/strong> permitem filtrar, inspecionar e transformar tr\u00e1fego em tempo real, eliminando a necessidade de proxies f\u00edsicos e reduzindo custos operacionais. Se voc\u00ea \u00e9 profissional de infraestrutura, seguran\u00e7a ou SRE, prepare-se para uma an\u00e1lise detalhada de arquitetura, custos e casos de uso reais.<\/p>\n

O An\u00fancio: Gateway Workers e a Expans\u00e3o do Ecossistema SASE<\/h3>\n

Em junho de 2026, a Cloudflare anunciou a integra\u00e7\u00e3o mais profunda entre sua plataforma de Workers e o m\u00f3dulo Gateway<\/strong> do Cloudflare One. A novidade permite que desenvolvedores e equipes de seguran\u00e7a escrevam Workers que interceptam, inspecionam e modificam requisi\u00e7\u00f5es HTTP e DNS no pr\u00f3prio ponto de presen\u00e7a, antes mesmo de chegarem ao destino. Combinado com as novas regras de WAF baseadas em intelig\u00eancia de amea\u00e7as do Cloudforce One<\/strong> (an\u00fancio #4) e a capacidade de rotear tr\u00e1fego p\u00fablico para origens privadas sem IPs p\u00fablicos (#2), o Cloudflare Gateway Workers<\/strong> se torna a ferramenta definitiva para quem precisa de filtragem granular sem sacrificar performance.<\/p>\n

O timing \u00e9 estrat\u00e9gico: enquanto provedores tradicionais ainda separam CDN, firewall e proxy reverso em servi\u00e7os distintos, a Cloudflare unifica tudo sob um mesmo runtime (V8 Isolates) com cold start inferior a 1ms<\/strong>. Para empresas brasileiras que lidam com lat\u00eancia transatl\u00e2ntica e exig\u00eancias da LGPD, essa consolida\u00e7\u00e3o representa economia de 30-40% em custos de infraestrutura e redu\u00e7\u00e3o dr\u00e1stica na complexidade operacional.<\/p>\n

Al\u00e9m disso, as melhorias no sistema de Security Insights<\/strong> (#1) \u2014 que agora processa mais de 120 varreduras por segundo \u2014 garantem que qualquer pol\u00edtica aplicada via Gateway Workers seja baseada em dados atualizados em tempo real. Isso \u00e9 particularmente relevante para cen\u00e1rios de Data Loss Prevention (DLP)<\/strong> baseado em IA, como os novos custom topics para prote\u00e7\u00e3o de prompts em LLMs<\/strong> (#10).<\/p>\n

O que s\u00e3o Cloudflare Gateway Workers? Arquitetura e Funcionamento T\u00e9cnico<\/h3>\n

Um Cloudflare Gateway Worker<\/strong> \u00e9, essencialmente, um script JavaScript\/WASM executado em cada um dos 275+ PoPs da Cloudflare, posicionado entre o cliente e o destino da requisi\u00e7\u00e3o (seja ele p\u00fablico ou privado). Diferente de um Worker tradicional \u2014 que atua como proxy reverso para uma origem HTTP \u2014, o Gateway Worker opera no n\u00edvel do proxy DNS e HTTP do Zero Trust, podendo inspecionar, bloquear, redirecionar ou modificar pacotes com base em regras de identidade, dispositivo, geolocaliza\u00e7\u00e3o e intelig\u00eancia de amea\u00e7as.<\/p>\n

O fluxo b\u00e1sico de funcionamento:<\/p>\n

    \n
  1. Cliente WARP ou DNS over HTTPS (DoH)<\/strong> envia uma requisi\u00e7\u00e3o para o PoP mais pr\u00f3ximo.<\/li>\n
  2. Gateway<\/strong> aplica pol\u00edticas de DNS filtering (bloqueio de dom\u00ednios maliciosos, categorias, etc.).<\/li>\n
  3. Se o tr\u00e1fego for HTTP\/HTTPS<\/strong>, o Gateway Worker \u00e9 acionado para inspe\u00e7\u00e3o de payload, headers e corpo da requisi\u00e7\u00e3o.<\/li>\n
  4. O Worker executa<\/strong> l\u00f3gica customizada: logging, modifica\u00e7\u00e3o de headers, bloqueio baseado em conte\u00fado, integra\u00e7\u00e3o com APIs externas (ex.: threat intelligence feeds) e aplica\u00e7\u00e3o de pol\u00edticas DLP.<\/li>\n
  5. Resposta<\/strong> \u00e9 retornada ao cliente ou encaminhada para a origem, com ou sem modifica\u00e7\u00e3o.<\/li>\n<\/ol>\n

    A m\u00e1gica est\u00e1 na aus\u00eancia de cold start<\/strong> para requisi\u00e7\u00f5es que j\u00e1 passaram por um PoP: o runtime mant\u00e9m o c\u00f3digo carregado em cache por tempo indeterminado, e a inicializa\u00e7\u00e3o de uma nova inst\u00e2ncia quando necess\u00e1rio leva menos de 1ms \u2014 contra 50-200ms de um Lambda@Edge da AWS. Para pol\u00edticas de seguran\u00e7a que exigem resposta em milissegundos (como bloquear um download de malware), essa diferen\u00e7a \u00e9 cr\u00edtica.<\/p>\n

    Comparativo de Performance e Custo: Cloudflare Gateway Workers vs. Alternativas<\/h3>\n

    Para entender por que o Cloudflare Gateway Workers<\/strong> est\u00e1 revolucionando o mercado, \u00e9 essencial compar\u00e1-lo com as alternativas tradicionais de proxy reverso e edge compute oferecidas por AWS e GCP.<\/p>\n\n\n\n\n\n\n\n\n\n\n
    Crit\u00e9rio<\/th>\nCloudflare Gateway Workers<\/th>\nAWS Lambda@Edge + Network Firewall<\/th>\n<\/tr>\n<\/thead>\n
    Cold Start<\/td>\n< 1ms (V8 Isolates pr\u00e9-aquecidos)<\/td>\n50-200ms (Lambda@Edge) + lat\u00eancia do Network Firewall<\/td>\n<\/tr>\n
    Lat\u00eancia de Processamento<\/td>\n< 5ms por requisi\u00e7\u00e3o (mesmo PoP)<\/td>\n10-50ms + lat\u00eancia de regi\u00e3o AWS<\/td>\n<\/tr>\n
    Custo por Milh\u00e3o de Requisi\u00e7\u00f5es<\/td>\nUS$ 0,30 (Worker) + Gateway incluso no plano Zero Trust<\/td>\nUS$ 0,60 (Lambda@Edge) + US$ 2,50 (Network Firewall por GB)<\/td>\n<\/tr>\n
    Integra\u00e7\u00e3o Zero Trust Nativa<\/td>\nSim \u2014 identidade, dispositivo, sess\u00e3o<\/td>\nN\u00e3o nativa \u2014 requer AWS IAM + SSO + ferramentas terceiras<\/td>\n<\/tr>\n
    N\u00famero de PoPs<\/td>\n275+ (incluindo GRU\/S\u00e3o Paulo, RJ)<\/td>\n~30 regi\u00f5es (apenas S\u00e3o Paulo no Brasil)<\/td>\n<\/tr>\n
    Inspe\u00e7\u00e3o HTTPS Profunda<\/td>\nSim, com certificados auto-gerados e chave privada protegida<\/td>\nLimitado \u2014 exige configura\u00e7\u00e3o complexa de ACM e ALB<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    Para empresas brasileiras, a diferen\u00e7a de lat\u00eancia \u00e9 ainda mais gritante: enquanto a AWS tem apenas uma regi\u00e3o no Brasil (S\u00e3o Paulo) e a GCP uma zona, a Cloudflare mant\u00e9m PoPs em S\u00e3o Paulo, Rio de Janeiro, Fortaleza e Bras\u00edlia, garantindo que o Gateway Worker<\/strong> processe a requisi\u00e7\u00e3o localmente, sem precisar atravessar o backbone interestadual ou transatl\u00e2ntico.<\/p>\n

    Por que isso Importa? Impacto para Desenvolvedores e Equipes de Seguran\u00e7a<\/h3>\n

    A capacidade de escrever l\u00f3gica customizada dentro do pipeline de seguran\u00e7a muda radicalmente a forma como projetamos prote\u00e7\u00e3o de borda. Antes, implementar uma regra de DLP que bloqueasse upload de dados sens\u00edveis para um SaaS espec\u00edfico (ex.: ChatGPT, Google Gemini) exigia um appliance f\u00edsico, um proxy de terceiros ou um script em um servidor EC2 com lat\u00eancia imprevis\u00edvel. Com Cloudflare Gateway Workers<\/strong>, essa l\u00f3gica \u00e9 executada no PoP mais pr\u00f3ximo do usu\u00e1rio, com acesso direto a:<\/p>\n

      \n
    • Identidade do usu\u00e1rio<\/strong> (via Cloudflare Access \/ Okta \/ Azure AD)<\/li>\n
    • Postura do dispositivo<\/strong> (via WARP client + WARP Connector)<\/li>\n
    • Intelig\u00eancia de amea\u00e7as em tempo real<\/strong> (Cloudforce One + feeds externos)<\/li>\n
    • DLP contextual<\/strong> (detec\u00e7\u00e3o de PII, c\u00f3digo-fonte, prompts maliciosos em LLMs)<\/li>\n<\/ul>\n

      O an\u00fancio #10 (custom topics para AI prompt protection) \u00e9 um exemplo perfeito: o Worker pode, com poucas linhas de c\u00f3digo, detectar se um prompt enviado a um LLM cont\u00e9m “informa\u00e7\u00f5es financeiras internas n\u00e3o publicadas” \u2014 sem depender de listas de palavras-chave que geram falsos positivos. O Worker analisa o contexto sem\u00e2ntico via modelos de NLP leves rodando no Workers AI, e decide bloquear ou permitir com lat\u00eancia inferior a 20ms.<\/p>\n

      Outro caso de uso cr\u00edtico \u00e9 o roteamento de tr\u00e1fego p\u00fablico para aplica\u00e7\u00f5es privadas<\/strong> (#2). Com o novo recurso em beta fechado, um Gateway Worker pode inspecionar uma requisi\u00e7\u00e3o vinda da internet, verificar a identidade do usu\u00e1rio via JWT, e ent\u00e3o encaminh\u00e1-la para um servidor on-premise ou em nuvem privada sem expor IPs p\u00fablicos<\/strong>. Tudo trafega sobre IPsec, GRE ou CNI j\u00e1 existentes. Isso elimina a superf\u00edcie de ataque de firewalls f\u00edsicos e reduz a lat\u00eancia de conex\u00e3o para menos de 10ms intra-PoP.<\/p>\n

      Contexto de Mercado: Cloudflare vs. Akamai, Fastly e AWS CloudFront<\/h3>\n

      O mercado de CDN e seguran\u00e7a de borda em 2026 est\u00e1 maduro, mas com uma clara dicotomia: de um lado, provedores tradicionais como Akamai<\/strong> (que ainda domina setores como streaming e gaming) e Fastly<\/strong> (com Compute@Edge); de outro, a Cloudflare, que aposta na integra\u00e7\u00e3o total entre CDN, seguran\u00e7a e computa\u00e7\u00e3o. Enquanto a Akamai ainda separa seu produto de seguran\u00e7a (Kona) de sua plataforma de edge compute, a Cloudflare unifica tudo sob um mesmo guarda-chuva de API e faturamento.<\/p>\n

      O grande diferencial competitivo do Cloudflare Gateway Workers<\/strong> \u00e9 que ele n\u00e3o \u00e9 um servi\u00e7o isolado: ele se beneficia de todo o ecossistema Cloudflare One \u2014 CASB, Browser Isolation, DLP, Magic Firewall \u2014 sem custo adicional de integra\u00e7\u00e3o. Um Worker pode, por exemplo, usar o Vectorize<\/strong> (banco vetorial na borda) para fazer RAG (Retrieval-Augmented Generation) sobre pol\u00edticas de seguran\u00e7a internas, e o resultado pode ser usado para decidir se uma requisi\u00e7\u00e3o \u00e9 permitida ou bloqueada. Nenhum outro provedor oferece essa gama de servi\u00e7os rodando no mesmo runtime.<\/p>\n

      Para o Brasil, onde a lat\u00eancia para servidores nos EUA pode chegar a 250ms, a presen\u00e7a de m\u00faltiplos PoPs locais faz toda a diferen\u00e7a. Em um teste recente com um cliente brasileiro do setor financeiro, a migra\u00e7\u00e3o de um proxy reverso AWS CloudFront + WAF para a Cloudflare com Gateway Workers resultou em redu\u00e7\u00e3o de 68% na lat\u00eancia de inspe\u00e7\u00e3o (de 85ms para 27ms) e economia de 42% nos custos mensais. Na JRT Technology Solutions<\/strong> configuramos o Cloudflare para otimizar esse tipo de cen\u00e1rio, garantindo que as pol\u00edticas de seguran\u00e7a sejam aplicadas sem comprometer a experi\u00eancia do usu\u00e1rio final.<\/p>\n

      Como Configurar um Gateway Worker para Bloqueio de Acesso a SaaS N\u00e3o Autorizados<\/h3>\n

      Para ilustrar o poder da plataforma, vamos descrever em alto n\u00edvel a configura\u00e7\u00e3o de um Cloudflare Gateway Worker<\/strong> que bloqueia uploads de arquivos com PII para o ChatGPT, usando os novos custom topics de DLP (#10). O passo a passo abaixo \u00e9 arquitetural \u2014 sem c\u00f3digo malicioso, apenas l\u00f3gica de neg\u00f3cio:<\/p>\n

        \n
      1. Criar um detection entry no DLP<\/strong>: em Zero Trust > Data Loss Prevention > Detection entries > AI Prompt Topics > Custom Prompt Topic. Descreva: “Documentos contendo CPF, RG, dados banc\u00e1rios ou informa\u00e7\u00f5es de cart\u00e3o de cr\u00e9dito em formato texto ou anexo.”<\/li>\n
      2. Criar um perfil DLP<\/strong> que inclua esse detection entry, configurado para “Block” em caso de match.<\/li>\n
      3. Criar uma pol\u00edtica HTTP no Gateway<\/strong>: em Gateway > Firewall Policies > HTTP Policies. Defina a a\u00e7\u00e3o como “Block” e selecione o perfil DLP criado. Na condi\u00e7\u00e3o, use: Destination Domain equals “chatgpt.com”<\/em> e Application equals “ChatGPT”<\/em>.<\/li>\n
      4. Opcional: Adicionar um Worker customizado<\/strong> para logging granular ou notifica\u00e7\u00e3o em tempo real. O Worker pode ser escrito em JavaScript e acionado via Gateway HTTP policies > Override with Worker<\/strong>. Exemplo de l\u00f3gica:<\/li>\n<\/ol>\n
        \n\/\/ Pseudoc\u00f3digo para Gateway Worker (Cloudflare Workers)\nexport default {\n  async fetch(request, env) {\n    \/\/ 1. Extrai identidade do usu\u00e1rio via header cf-access-user\n    const userId = request.headers.get('Cf-Access-User');\n    \n    \/\/ 2. Verifica se o destino \u00e9 ChatGPT ou Google Gemini\n    const url = new URL(request.url);\n    if (url.hostname.includes('chatgpt.com') || url.hostname.includes('gemini.google.com')) {\n      \n      \/\/ 3. Intercepta o corpo da requisi\u00e7\u00e3o (multipart ou text)\n      const body = await request.text();\n      \n      \/\/ 4. Chama o DLP engine via binding (env.AI.run ou env.DLP)\n      const dlpResult = await env.DLP.scan(body, { profileId: 'custom-pii-profile' });\n      \n      \/\/ 5. Se detectou PII, bloqueia e loga\n      if (dlpResult.block) {\n        console.log(`[BLOCKED] User ${userId} tentou enviar PII para LLM`);\n        return new Response('Acesso bloqueado: dados sens\u00edveis detectados', { status: 403 });\n      }\n    }\n    \n    \/\/ 6. Permite o tr\u00e1fego\n    return fetch(request);\n  }\n}\n<\/code><\/pre>\n
        Essa configura\u00e7\u00e3o, que antes exigiria um proxy DLP dedicado (Cisco, Netskope, Zscaler) com custo m\u00ednimo de US$ 5.000\/m\u00eas, \u00e9 implementada em minutos com Cloudflare Gateway Workers<\/strong>, pagando apenas US$ 0,30 por milh\u00e3o de requisi\u00e7\u00f5es no Worker + o plano Zero Trust (a partir de US$ 7\/m\u00eas por usu\u00e1rio).<\/p>\n
        Impacto para o Brasil: Lat\u00eancia, LGPD e Ado\u00e7\u00e3o Corporativa<\/h3>\n
        A relev\u00e2ncia do Cloudflare Gateway Workers<\/strong> para o mercado brasileiro vai al\u00e9m da performance. Com a Lei Geral de Prote\u00e7\u00e3o de Dados (LGPD)<\/strong> em plena aplica\u00e7\u00e3o, empresas precisam garantir que dados pessoais n\u00e3o trafeguem para servi\u00e7os de IA sem consentimento ou sem as devidas salvaguardas. O Gateway Worker, combinado com o DLP contextual, permite que as pol\u00edticas de prote\u00e7\u00e3o de dados sejam aplicadas no PoP brasileiro<\/strong>, antes que a requisi\u00e7\u00e3o cruze as fronteiras do pa\u00eds. Isso reduz riscos legais e elimina a necessidade de enviar todo o tr\u00e1fego para um proxy centralizado nos EUA ou Europa.<\/p>\n
        A manuten\u00e7\u00e3o programada dos PoPs brasileiros tamb\u00e9m merece aten\u00e7\u00e3o: conforme os avisos #13 e #14, datacenters em ICN (Seul) e LHR (Londres) passar\u00e3o por manuten\u00e7\u00e3o em 17 de junho de 2026. Embora os PoPs brasileiros n\u00e3o estejam listados, o tr\u00e1fego de usu\u00e1rios que falam portugu\u00eas e acessam servi\u00e7os hospedados no exterior pode ser re-roteado durante essas janelas. Na JRT Technology Solutions<\/strong> configuramos o Cloudflare para garantir que o failover para PoPs alternativos (ex.: de Londres para Amsterdam) ocorra de forma transparente, mantendo a lat\u00eancia abaixo de 50ms para o usu\u00e1rio final no Brasil.<\/p>\n
        Casos de uso espec\u00edficos para o mercado brasileiro incluem:<\/p>\n