Descobri que, no ambiente Docker, não há como definir uma lista branca de endereços IP, o que pode permitir que o CDN do Cloudflare seja contornado. Estou preocupado porque existe uma opção para definir o endereço IP em Configurações > Registro > screened_ip_addresses, mas não tenho certeza se é possível definir uma política de rejeição padrão.
Espero que haja a funcionalidade de lista branca de IPs.