Apps self-hosted protegidas por Cloudflare Access, agrupadas por tunnel ou Pages. Cada policy é um grupo GSuite (itops-prd, founders, etc.) que libera o app.
CIDRs roteados via warp-routing de cada tunnel. Tráfego pra esses ranges sai pelo cloudflared correspondente.
Allow policies que liberam tráfego pra IPs cobertos pelas rotas WARP. Default deny (precedence 7000) é o catch-all que essas policies bypassam.