CloudflareがCloudflare Accessを使用してリモートチームを保護する方法

2015年、認証に対するCloudflareのアプローチは、ほかの多くの企業と似たようなものでした。Cloudflareの社内にホストされたアプリケーションにはハードウェアベースのVPNを経由してアクセスしていました。

オンコールエンジニアの1人が通知を受けると(通常は電話)、ノートパソコンで重いクライアントを起動し、VPNに接続して、Grafanaにログインします。頭上で火災報知器が鳴っている状態でコンビネーションロックを解錠しているような感じでした。

vpn screenshot

きっかけは、Cloudflareのエンジニアチームが次のような疑問を抱いたことでした。クラウドセキュリティサービスを提供する企業であるCloudflareがなぜ扱いにくいオンプレミスハードウェアに依存しているのか?もっと良い方法があると思ったのです。こうして生まれたのがCloudflare Accessです。

ドッグフーディングの文化

Cloudflareが構築する製品の多くは、当社のチームがさまざまな課題に対処しようとした直接の結果によるものです。その好例がCloudflare Accessです。Accessの開発は2015年に始まりました。当時、社内ではこのプロジェクトはEdgeAuthと呼ばれていました。

最初は、Accessの背後に置かれたアプリケーションは1つだけでした。電話で通知を受けたエンジニアはリンクをタップ/クリックし、ブラウザー経由で認証を行うと、Grafana内のアラートの詳細にただちにアクセスすることができました。古いVPNを経由するよりもはるかに優れた体験でした。

Accessは、セキュリティチームのさまざまな問題も解決しました。好きなIDプロバイダーを使用し、Accessポリシーを用いて第7層で社内アプリケーションへのアクセスを制御することができました。VPNを使用してネットワーク層でアクセス制御を管理するという厄介な作業が、Cloudflareのダッシュボードでの数クリックで済むようになったのです。

edit access policy screenshot

Grafana、JiraとWikiを含むAtlassianスイート、ほかの数百の内部アプリケーションの後に、Accessチームは、HTTP非対応のサービスのサポートに取り組み始めました。Gitのサポートが可能になったことにより、Cloudflareの開発者は、完全に監査された状態で世界中のどこからでも安全にコードをコミットできるようになりました。このことはCloudflareのセキュリティチームを大いに喜ばせました。以下は、コードを内部Gitリポジトリにプッシュしているときに生成された実際の認証イベントの例を若干変更したものです。

event screenshot

さらに多くのCloudflareの内部アプリケーションがAccessの背後に置かれるまでに、そう長くはかかりませんでした。新しい認証フローを使い始めたら、あらゆるところに取り入れて欲しいという声が上がりました。セキュリティチームは最終的に社内アプリをAccessの背後に移動することを義務付けましたが、長い間、Accessは完全にオーガニック(自然流入)でした。チームは使用することを熱望していました。

ちなみに、これはAccessを利用する利点をよく表します。使用頻度の高い内部ツールの認証フローを保護して簡略化することから始めることができますが、一度にすべて廃止して置き換える必要はありません。ハードウェアベースのVPNに限界を感じている企業の場合、Cloudflareのオンボーディングエキスパートにセットアップのために1回だけ連絡するだけで、すぐにAccessを利用し始めることができるようになります(こちらから日程を決めることができます)。

段階的な導入が可能であるものの、Accessを使用してすべてを保護することにはいくつかの利点があります。

グローバルチームをサポートする

VPNがインターネット接続を遅くすることはよく知られていますが、Cloudflareで使用していたものも例外ではありませんでした。内部アプリケーションに接続するとき、すべての従業員のインターネット接続がスタンドアロン型のVPNを経由することで、重大なパフォーマンスのボトルネックと単一障害点がもたらされてしまいました。

Cloudflare Accessは、もっと分別あるアプローチです。認証は、世界90か国以上の200の都市にまたがるネットワークのエッジで行われます。すべての従業員が1つのネットワークアプライアンス経由でネットワークトラフィックを転送する代わりに、内部アプリに接続する従業員はもっと近くにあるデータセンターに接続します。

グローバルに分散した従業員をサポートするにあたって、Cloudflareのセキュリティチームは、最も安全で使いやすい認証メカニズムを用いて内部アプリケーションを保護するよう努めています。

Cloudflare Accessを使用することで、IDプロバイダーの強力な二要素認証メカニズムに依存することができます。これは、従来のVPNでは非常に困難なことでした。

自信を持って行えるオンボーディングとオフボーディング

必要なツールやデータのみに全従業員がアクセスできるようにすることは企業にとって最も難しいことの1つで、チームの規模が大きくなるにつれて、さらに困難になります。従業員や請負業者との雇用契約が終了したら、付与された権限を速やかに取り消すことが極めて重要です。

こうしたアクセス制御の管理は、世界中のIT企業にとって大きな課題です。さまざまな環境の、さまざまなツールにまたがる複数のアカウントを各従業員が持っているとなると、非常に骨の折れる作業になります。Accessを使用する前は、Cloudflareのチームは、多くの項目を確認するのに多大な時間を費やしていました。

今では、Cloudflareの内部アプリケーションはAccessを使用して保護されていて、オンボーディングもオフボーディングもずっとスムーズになりました。新任の従業員および請負業者には、すぐに必要なアプリケーションへのアクセス権限が付与され、コントローラーを介した簡単なアクセスが可能になります。誰かがチームを抜けたら、1つの設定変更がすべてのアプリケーションに適用されるので、もう当て推量で作業する必要はありません。

Accessには、ネットワークの可視性を高めるという大きなメリットもあります。VPNを使用すると、ネットワーク上のユーザーのアクティビティについて最低限の情報しか得られません。ユーザー名とIPアドレスはわかりますが、それだけです。万一、誰かが不正にアクセスできた場合、その手順をさかのぼって調べることは困難です。

Cloudflare Access is based on a Zero Trust model, which means that every packet is authenticated. It allows us to assign granular permissions via Access Groups to employees and contractors. And it gives our security team the ability to detect unusual activity across any of our applications, with extensive logging to support analysis. Together, more granular control and enhanced visibility enable us to manage our attack surfaces more comprehensively, which is especially critical with so many users working from home today. Put simply: Access makes us more confident in the security of our internal applications.

Reaping the Benefits in Everyday Work

Today, only a few niche tools remain behind our VPN, and this migration to Access has helped our employees be more productive in quantifiable ways.

For example, our IT teams were previously fielding VPN-related support requests constantly, which inconvenienced them from more important tasks. These days, we have seen ~80% reduced time spent servicing VPN-related tickets and ~70% reduction in ticket volume. We estimate that these time savings have unlocked over $100K worth of productivity.

Moreover, employees no longer set up VPN during their onboarding. This saves upwards of 300 hours annually across all new hires and the IT staffers that have to train them.

Other benefits are less quantifiable, but no less important, such as happier employees and more confident security teams. In fact, one thing that excites us about Access is that the benefits it delivers will continue to evolve as our company grows.

"Cloudflare Access was born out of a simple desire: to escape the unnecessary pains of our VPN. Over time, Access has become a pillar of our remote work strategy and journey towards Zero Trust security, and we are so proud to share those benefits with our customers,” said Juan Rodriguez, Chief Information Officer.

“One quality I especially admire about Access is the incredibly fast and frictionless login experience that our edge network delivers. Working from home as an individual is stressful enough without having to remember old passwords or fixing broken VPN connections,” he continued. “As a CIO, I'm proud that I don't have to worry about our colleagues getting frustrated with reaching the basic tools they need to stay productive. With Access, Cloudflare does not have to make any trade-offs between improving security and creating an amazing user experience."

Cloudflareの従業員ためだけのものではない

多くの企業でリモートワークへの大規模な移行が行われる中、Cloudflare Accessは、リモートワークする従業員の生産性を高めながら、内部アプリケーションのセキュリティを向上させることができます。Jira、Confluence、SAP、カスタムビルドアプリケーションなど、どれを使用していても、Cloudflare Accessは、数分で稼働しアプリケーションを保護します。

CloudflareがCloudflare Accessを使用してリモートチームを保護する方法
主な成果
  • $100K+ savings in IT support staff productivity
  • 80% reduced time spent servicing VPN related tickets
  • 70% reduction in ticket volume
  • 300+ annual hours of unlocked productivity during new employee onboarding

As a CIO, I'm proud that I don't have to worry about colleagues getting frustrated with reaching the basic tools they need to stay productive. With Access, we don't have to make trade-offs between improving security and creating an amazing user experience.

Juan Rodriguez
CIO, Cloudflare

Cloudflare Access has been a huge win for our team's security and productivity. Of course I'm biased — but we built Access to solve our own challenges, and it's done all that and more.

Evan Johnson
Product Security Manager, Cloudflare