Argo Tunnel

直接攻撃からWebサーバーを保護

開発者やIT部門は、アプリケーションが展開された瞬間から、ACLの設定、IPアドレスのローテーション、GREトンネルのような使いにくいソリューションを使用しながら、アプリケーションのロックダウンに時間を費やしています。

一方、これに似た方法でお客様のアプリケーションやWebサーバーを直接攻撃からより簡単により安全に保護する手段があります。それがCloudflareのArgo Tunnelです。

パブリッククラウド、プライベートクラウド、Kubernetesクラスター、またはTV経由のMacミニなど、どこで実行していようともサーバーの安全を確保します。

ダッシュボードで表示

エンタープライズグレードのソリューションをお求めですか? 営業担当者へのお問い合わせ

「Argoのおかげで、ファイアウォールの管理間接費を削減できたばかりでなく、攻撃可能面を縮小し、トンネルを通じた高パフォーマンスという付加価値も得ることができました。」
Johan Bergström
Netwrk社、共同創立者兼CTO

配信元インフラストラクチャを保護する上での課題

配信元のIPアドレスやオープンポートは、クラウドベースのセキュリティサービスの向こう側にあるときでも、先進的な攻撃者にさらされており、脆弱な状態です。こうした直接的なDDoSあるいはデータ漏えいの試みをブロックする一般的な方法としては、ACLの作成と外部からのIPアドレスのホワイトリスト化、あるいはGREトンネルの構築とIPセキュリティの有効化があります。

これらのアプローチは設定と維持に手間がかかり、完全に統合された暗号化機能を欠いているため、速度の低下とコスト増を招く恐れがあります。


配信元を安全にCloudflareに直接接続

CloudflareのArgo Tunnelデーモンは軽量であり、配信元Webサーバーと最寄りのCloudflareデータセンターとの間に、パブリックな受信ポートを一切開くことなく、暗号化されたトンネルを構築します。

ファイアウォールを使って配信元サーバーのポートおよびプロトコルをすべてロックダウンした後、帯域幅消費型DDoS攻撃をはじめとしてHTTP/Sポート上のリクエストはすべて遮断されます。データ漏えいの試み — 移動中のデータの盗み見、あるいはブルートフォースログイン攻撃などは完全にブロックされます。

Argo Tunnelにより、あらゆるタイプのインフラストラクチャのアプリケーショントラフィックに対して、セキュリティ保護と暗号化が迅速に行えるため、お客様は優れたアプリケーションを配信することに集中できます。配信元トラフィックを暗号化し、WebサーバーのIPアドレスを隠すことができるので、直接攻撃が発生しなくなります。

Argo Tunnelについての詳細

argo tunnel protect web server

直接攻撃からWebサーバーを保護

Argo Tunnelデーモンを展開して、ファイアウォールをロックダウンすると、Cloudflareネットワークを通した受信Webトラフィックのみがアプリケーションの配信元サーバーに到達します。

これで、Webサーバーのファイアウォールにより帯域幅消費型DDoS攻撃やお客様のデータを侵害する試みがブロックされるようになりました。

argo tunnel secure access internal applications

セキュリティ保護された内部アプリケーションへのアクセス

Argo Tunnelは、適切な人のみが内部アプリケーション(開発環境のアプリケーションを含む)にアクセスできるようにする理想的なソリューションです。

Argo TunnelをCloudflare Accessに連結すると、ユーザーはVPNなしでGsuiteやOktaといった大手IDプロバイダーによって認証されます。

かつては配信元IPを通じて誰でもアプリケーションにアクセスできましたが、今ではCloudflareのネットワークを通じて認証されたユーザーのみがアクセス可能です。

Smart Routingにより配信元トラフィックを高速化

Argo Tunnelを使用するには、CloudflareダッシュボードでArgoサブスクリプションを有効にする必要があります。Argoには、Smart Routing、Tunnel、Tiered Cachingへのアクセスも含まれます。

Argo Smart RoutingはCloudflareのプライベートネットワークを使用して、訪問者を最も混雑が少なく、最も信頼性の高いパスにルーティングすることでアプリケーションのパフォーマンスを高めます。Smart Routingが配信元トラフィックレイテンシーを平均で30%、接続エラーを27%減少させます。

詳細

Argo Tunnelの導入手順

配信元サーバーとポートを保護するArgo Tunnelのセットアップは簡単です

  • Tunnelデーモンをインストール
  • Cloudflareにログイン
  • Tunnelを開始
  • ロックダウンを確認
$ brew install cloudflare/cloudflare/cloudflared
==> Installing cloudflared from
cloudflare/cloudflare
==> Downloading https://warp.cloudflare.com/
dl/warp-2018.3.0-darwin-amd64.tgz

Tunnelデーモンをインストール
Homebrewを使い、このコマンドを実行してArgo Tunnelをインストール(Mac OSXの場合)。インストール時オプションおよびWindows、Mac、およびLinux用デーモンのダウンロードについては、Argo Tunnelのドキュメンテーションをご覧ください。
$ cloudflared login

Cloudflareにログイン
Argo Tunnelデーモンがインストールされたら、ログインしてArgo Tunnelを追加するゾーンを選択することで、クライアントをCloudflareホストに関連付けます。
$ cloudflared --hostname tunnel.example.com
--url http://localhost:8000

INFO Registered at https://tunnel.example.com

Tunnelを開始
Argo Tunnelの接続を確立する際に使用するホスト名を定義します。Argo Tunnelのソフトウェアが自動的にDNSレコードを作成し、Cloudflareダッシュボード内に表示するので、セットアップが非常に簡単です。
$ netcat -v -z [Origin IP Address] 80
[Origin IP Address] 80 (http):
Connection refused
$ netcat -v -z [Origin IP Address] 443 [Origin IP Address] 443 (https): Connection refused
ポート80と443のロックダウンを確認
Cloudflareを通じてではなく、ポート80とポート443を使用して配信元サーバーに直接リクエストを送信することで、接続が拒否されてArgo Tunnelが正常に起動したことを確認できます。

主な特徴

パフォーマンスに対するオーバーヘッドがわずかな、インストールが簡単なエージェント

パフォーマンスに対するオーバーヘッドがわずかな、インストールが簡単なエージェント

コマンドライン設定

コマンドライン設定

配信元プール間での負荷分散(Cloudflare<a href='/load-balancing/'> Load Balancer</a>との組み合わせ時)

配信元プール間での負荷分散(Cloudflare Load Balancerとの組み合わせ時)

トンネルを識別するカスタムタグ

トンネルを識別するカスタムタグ

TLS(配信側証明書)によりトンネルを暗号化

TLS(配信側証明書)によりトンネルを暗号化

アプリケーションおよびプロトコルレベルのエラーログ記録

アプリケーションおよびプロトコルレベルのエラーログ記録

今すぐArgoの使用を開始するには

Argo Tunnelの使用を開始するには、CloudflareプランとArgo契約が必要です。CloudflareのダッシュボードでArgoを有効化すると、スマートルーティング、階層型キャッシング、およびTunnelへのアクセス権限が与えられます。

すでにCloudflareのお客様ですか?利用開始する

CloudflareのArgo 無料プラン

+ $5/月

最初の1 GBは無料。以後は1 GBごとに0.10ドル。


Smart Routing、Tunnel、Tiered Cachingを含む

CloudflareのArgo Proプラン

+ $5/月

最初の1 GBは無料。以後は1 GBごとに0.10ドル。


Smart Routing、Tunnel、Tiered Cachingを含む

CloudflareのArgo Businessプラン

+ $5/月

最初の1 GBは無料。以後は1 GBごとに0.10ドル。


Smart Routing、Tunnel、Tiered Cachingを含む

CloudflareのArgo Enterprise プラン

カスタム

カスタム料金設定


Smart Routing、Tunnel、Tiered Cachingを含む*

*Tiered Cachingは、すべてのEnterprise プランにデフォルトで含まれています