Cloudflare One lança stack com agentes para automação de Zero Trust em infraestrutura e SASE

A Cloudflare One stack não é só mais um plugin para agentes: é a primeira camada de engenharia de plataformas que transforma Zero Trust em código executável por IA, com garantia de conformidade operacional. Ela opera como um 'operador de segurança' nativo, traduzindo políticas humanas (ex: 'usuários do RH acessam o SAP apenas via MFA e rede corporativa') em recursos declarativos na API da Cloudflare, sem intermediários manuais. Os dois arquivos de habilidade, cloudflare-one e cloudflare-one-migration, são estruturados como decision trees tipados, não como prompts genéricos: cada nó valida pré-condições (ex: existência de certificados válidos no Tunnel), checa dependências (ex: se uma política de Gateway exige integração com Access antes de ser aplicada) e gera saídas auditáveis (diffs de configuração, mapas de tráfego antes/depois, listas de itens manuais).

O MCP server não é um mero proxy: ele atua como um gateway de controle de acesso para agentes, impondo limites de escopo (ex: um agente pode ler logs do Gateway, mas não alterar regras de WAN) e forçando uso de workflows aprovados, o que elimina riscos de ad-hoc API calls que comprometem confiabilidade. Isso é crítico em ambientes regulados: a stack garante que toda migração de Zscaler Private Access para Cloudflare Access respeite a hierarquia de grupos, preserve tags de classificação de dados e gere relatórios de conformidade ISO 27001 prontos para auditoria.

A versão lançada em 22 de junho de 2026 é a primeira com suporte nativo a agentes em produção, não apenas em modo de demonstração. Antes (notícia CEVIU de 17/06), a stack era descrita como uma biblioteca de habilidades para automação, agora ela está integrada ao MCP server com interface tipada, permite execução real de migrações end-to-end (como as feitas nos programas Descaler/Deskope) e já está sendo usada por parceiros Design Partners para implantações comerciais. A grande mudança técnica é que os agentes deixaram de ser assistentes de documentação e viraram atores operacionais com permissão explícita para criar recursos na API, desde que dentro dos fluxos validados pela Cloudflare.

Para times de DevOps e plataformas, isso reduz o ciclo de entrega de políticas de segurança de dias para minutos, sem sacrificar governança. Um time pode rodar um agente hoje para gerar um plano de migração de Zscaler para Cloudflare Access, revisar o diff de políticas, aprovar e executar tudo via CLI com um único comando. Isso elimina o principal gargalo em adoções SASE: a desconexão entre arquitetura de rede, segurança e automação. Além disso, a stack converte observabilidade em ação: ao analisar logs do Gateway em tempo real, o agente não só detecta anomalias como propõe regras específicas (ex: bloquear UA de bots conhecidos em endpoints sensíveis), testa em sandbox e promove à produção, tudo dentro do mesmo pipeline CI/CD.