CloudflareがCloudflare Accessを使用してリモートチームを保護する方法

多くの個人、企業、経済全体にとって、リモートワークを行う従業員が業務を確実に行えるようにすることが今ほど重要なときはありません。そこで、Cloudflareは、9月1日まで無料でCloudflare for Teamsを提供しています。

この導入事例では、Cloudflareの次世代のVPN代替製品であるCloudflare Accessが開発された経緯と現在の利用方法についてお話しします。

2015年、認証に対するCloudflareのアプローチは、ほかの多くの企業と似たようなものでした。Cloudflareの社内にホストされたアプリケーションにはハードウェアベースのVPNを経由してアクセスしていました。

オンコールエンジニアの1人が通知を受けると(通常は電話)、ノートパソコンで重いクライアントを起動し、VPNに接続して、Grafanaにログインします。頭上で火災報知器が鳴っている状態でコンビネーションロックを解錠しているような感じでした。

vpn screenshot

きっかけは、Cloudflareのエンジニアチームが次のような疑問を抱いたことでした。クラウドセキュリティサービスを提供する企業であるCloudflareがなぜ扱いにくいオンプレミスハードウェアに依存しているのか?もっと良い方法があると思ったのです。こうして生まれたのがCloudflare Accessです。

ドッグフーディングの文化

Cloudflareが構築する製品の多くは、当社のチームがさまざまな課題に対処しようとした直接の結果によるものです。その好例がCloudflare Accessです。Accessの開発は2015年に始まりました。当時、社内ではこのプロジェクトはEdgeAuthと呼ばれていました。

最初は、Accessの背後に置かれたアプリケーションは1つだけでした。電話で通知を受けたエンジニアはリンクをタップ/クリックし、ブラウザー経由で認証を行うと、Grafana内のアラートの詳細にただちにアクセスすることができました。古いVPNを経由するよりもはるかに優れた体験でした。

Accessは、セキュリティチームのさまざまな問題も解決しました。好きなIDプロバイダーを使用し、Accessポリシーを用いて第7層で社内アプリケーションへのアクセスを制御することができました。VPNを使用してネットワーク層でアクセス制御を管理するという厄介な作業が、Cloudflareのダッシュボードでの数クリックで済むようになったのです。

edit access policy screenshot

Grafana、JiraとWikiを含むAtlassianスイート、ほかの数百の内部アプリケーションの後に、Accessチームは、HTTP非対応のサービスのサポートに取り組み始めました。Gitのサポートが可能になったことにより、Cloudflareの開発者は、完全に監査された状態で世界中のどこからでも安全にコードをコミットできるようになりました。このことはCloudflareのセキュリティチームを大いに喜ばせました。以下は、コードを内部Gitリポジトリにプッシュしているときに生成された実際の認証イベントの例を若干変更したものです。

event screenshot

さらに多くのCloudflareの内部アプリケーションがAccessの背後に置かれるまでに、そう長くはかかりませんでした。新しい認証フローを使い始めたら、あらゆるところに取り入れて欲しいという声が上がりました。セキュリティチームは最終的に社内アプリをAccessの背後に移動することを義務付けましたが、長い間、Accessは完全にオーガニック(自然流入)でした。チームは使用することを熱望していました。

ちなみに、これはAccessを利用する利点をよく表します。使用頻度の高い内部ツールの認証フローを保護して簡略化することから始めることができますが、一度にすべて廃止して置き換える必要はありません。ハードウェアベースのVPNに限界を感じている企業の場合、Cloudflareのオンボーディングエキスパートにセットアップのために1回だけ連絡するだけで、すぐにAccessを利用し始めることができるようになります(こちらから日程を決めることができます)。

段階的な導入が可能であるものの、Accessを使用してすべてを保護することにはいくつかの利点があります。

グローバルチームをサポートする

VPNがインターネット接続を遅くすることはよく知られていますが、Cloudflareで使用していたものも例外ではありませんでした。内部アプリケーションに接続するとき、すべての従業員のインターネット接続がスタンドアロン型のVPNを経由することで、重大なパフォーマンスのボトルネックと単一障害点がもたらされてしまいました。

Cloudflare Accessは、もっと分別あるアプローチです。認証は、世界90か国以上の200の都市にまたがるネットワークのエッジで行われます。すべての従業員が1つのネットワークアプライアンス経由でネットワークトラフィックを転送する代わりに、内部アプリに接続する従業員はもっと近くにあるデータセンターに接続します。

グローバルに分散した従業員をサポートするにあたって、Cloudflareのセキュリティチームは、最も安全で使いやすい認証メカニズムを用いて内部アプリケーションを保護するよう努めています。

Cloudflare Accessを使用することで、IDプロバイダーの強力な二要素認証メカニズムに依存することができます。これは、従来のVPNでは非常に困難なことでした。

自信を持って行えるオンボーディングとオフボーディング

必要なツールやデータのみに全従業員がアクセスできるようにすることは企業にとって最も難しいことの1つで、チームの規模が大きくなるにつれて、さらに困難になります。従業員や請負業者との雇用契約が終了したら、付与された権限を速やかに取り消すことが極めて重要です。

こうしたアクセス制御の管理は、世界中のIT企業にとって大きな課題です。さまざまな環境の、さまざまなツールにまたがる複数のアカウントを各従業員が持っているとなると、非常に骨の折れる作業になります。Accessを使用する前は、Cloudflareのチームは、多くの項目を確認するのに多大な時間を費やしていました。

今では、Cloudflareの内部アプリケーションはAccessを使用して保護されていて、オンボーディングもオフボーディングもずっとスムーズになりました。新任の従業員および請負業者には、すぐに必要なアプリケーションへのアクセス権限が付与され、コントローラーを介した簡単なアクセスが可能になります。誰かがチームを抜けたら、1つの設定変更がすべてのアプリケーションに適用されるので、もう当て推量で作業する必要はありません。

Accessには、ネットワークの可視性を高めるという大きなメリットもあります。VPNを使用すると、ネットワーク上のユーザーのアクティビティについて最低限の情報しか得られません。ユーザー名とIPアドレスはわかりますが、それだけです。万一、誰かが不正にアクセスできた場合、その手順をさかのぼって調べることは困難です。

Cloudflare Accessは、ゼロトラストモデルに基づいています。つまり、すべてのパケットが認証されます。Access Groupsを介して、従業員や請負業者にアクセス権限をきめ細かく割り当てることができます。また、セキュリティチームは、分析をサポートする広範なロギングを用いて、あらゆるアプリケーションにおける異常なアクティビティを検出できます。要するに、内部アプリケーションのセキュリティにより大きな自信を持つことができるようになります。

Cloudflareの従業員ためだけのものではない

多くの企業でリモートワークへの大規模な移行が行われる中、Cloudflare Accessは、リモートワークする従業員の生産性を高めながら、内部アプリケーションのセキュリティを向上させることができます。Jira、Confluence、SAP、カスタムビルドアプリケーションなど、どれを使用していても、Cloudflare Accessは、数分で稼働しアプリケーションを保護します。

CloudflareがCloudflare Accessを使用してリモートチームを保護する方法
関連製品
主な成果
  • $100K+ savings in IT support staff productivity
  • 80% reduced time spent servicing VPN related tickets
  • 70% reduction in ticket volume
  • 300+ annual hours of unlocked productivity during new employee onboarding

Cloudflare Accessはセキュリティと生産性の向上を目指す当社のチームに大成功をもたらしました。身内びいきかもしれませんが、 自分たちの問題を解決するためにAccessを開発したところ、予想以上の成果を上げることができました。

Evan Johnson
Cloudflare、プロダクトセキュリティマネージャー

Cloudflare Access has been a huge win for our team's security and productivity. Of course I'm biased — but we built Access to solve our own challenges, and it's done all that and more.

Evan Johnson
Product Security Manager, Cloudflare