Argo Tunnel

直接攻撃からWebサーバーを保護

開発者やIT部門は、アプリケーションが展開された瞬間から、ACLの設定、IPアドレスのローテーション、GREトンネルのような使いにくいソリューションを使用しながら、アプリケーションのロックダウンに時間を費やしています。

一方、これに似た方法でお客様のアプリケーションやWebサーバーを直接攻撃からより簡単により安全に保護する手段があります。それがCloudflareのArgo Tunnelです。

パブリッククラウド、プライベートクラウド、Kubernetesクラスター、またはTV経由のMacミニなど、どこで実行していようともサーバーの安全を確保します。

すでにCloudflareをお使いですか? 始めましょう

"Argoのおかげで、ファイアウォール管理のための間接費が低減し、攻撃対象領域を縮小できただけでなく、トンネルを通じた高パフォーマンスという付加価値を得ることができました。"
Johan Bergström氏,
Netwrk社、共同創立者兼CTO

配信元インフラストラクチャを保護する上での課題

配信元IPアドレスとオープンポートは、たとえクラウドベースのセキュリティサービスに守られていても、高度な攻撃者にさらされ、脆弱な状態となります。こうした直接的なDDoS攻撃やデータ侵害の試みを阻止する一般的な方法としては、ACLの作成、受信IPアドレスのホワイトリスト化、GREトンネルの確立、IPセキュリティの有効化などがあります。

これらのアプローチは設定と維持に手間がかかり、完全に統合された暗号化機能を欠いているため、速度の低下とコスト増を招く恐れがあります。


配信元を安全にCloudflareに直接接続

CloudflareのArgo Tunnelデーモンは軽量で、配信元Webサーバーと最寄りのCloudflareデータセンターとの間に、パブリック受信ポートを一切開くことなく、暗号化されたトンネルを形成します。

ファイアウォールを使用してすべての配信元サーバーポートとプロトコルをロックダウンすると、大量のDDoS攻撃を含め、HTTP/Sポート上のすべてのリクエストはドロップされますデータ侵害の試み(たとえば伝送中のデータを盗み見たり、ブルートフォースログイン攻撃をしかけたりするなど)は、完全にブロックされます。

Argo Tunnelにより、あらゆるタイプのインフラストラクチャのアプリケーショントラフィックに対して、セキュリティ保護と暗号化が迅速に行えるため、お客様は優れたアプリケーションを配信することに集中できます。配信元トラフィックを暗号化し、WebサーバーのIPアドレスを隠すことができるので、直接攻撃が発生しなくなります。

Argo Tunnelについての詳細

直接攻撃からWebサーバーを保護

Argo Tunnelデーモンを展開して、ファイアウォールをロックダウンすると、Cloudflareネットワークを通した受信Webトラフィックのみがアプリケーションの配信元サーバーに到達します。

これで、Webサーバーのファイアウォールにより帯域幅消費型DDoS攻撃やお客様のデータを侵害する試みがブロックされるようになりました。

Protect Web Servers from Direct Attacks
load balancing diagram

セキュリティ保護された内部アプリケーションへのアクセス

Argo Tunnelは、適切な人のみが内部アプリケーション(開発環境のアプリケーションを含む)にアクセスできるようにする理想的なソリューションです。

Argo Tunnelを Cloudflare Accessに連結すると、ユーザーはVPNなしでGsuiteやOktaといった大手IDプロバイダーによって認証されます。

かつては配信元IPを通じて誰でもアプリケーションにアクセスできましたが、今ではCloudflareのネットワークを通じて認証されたユーザーのみがアクセス可能です。

スマートルーティングにより配信元トラフィックを高速化

Argo Tunnelを使用するには、Cloudflareの ダッシュボードでArgo契約を有効化する必要があります。Argoには、スマートルーティング、Tunnel、および階層型キャッシングへのアクセスも含まれています。

Argo Smart Routingは、Cloudflareのプライベートネットワークを使用し、最も混雑が少なく最も安定したパスを通じて訪問者をルーティングすることにより、アプリケーションのパフォーマンスを向上します。スマートルーティングは配信元トラフィックの平均レイテンシーを35%、接続エラーを27%削減します。

詳細

Argo Tunnelの導入手順

配信元サーバーとポートを保護するArgo Tunnelのセットアップは簡単です

  • Tunnelデーモンをインストール
  • Cloudflareにログイン
  • Tunnelを開始
  • ロックダウンを確認
  $ brew install cloudflare/cloudflare/cloudflared
==> Installing cloudflared from
cloudflare/cloudflare
==> Downloading https://warp.cloudflare.com/
dl/warp-2018.3.0-darwin-amd64.tgz
Tunnelデーモンをインストール
Homebrewを使用し、こちらのコマンドを実行してArgo TunnelをMac OSXにインストールします。さらなるインストールオプションが必要な場合、またWindows、Mac、またはLinux向けのデーモンをダウンロードする場合は、Argo Tunnelドキュメンテーションをご覧ください
  $ cloudflared login
Cloudflareにログイン
Argo Tunnelデーモンがインストールされたら、ログインしてArgo Tunnelを追加するゾーンを選択することで、クライアントをCloudflareホストに関連付けます。
  $ cloudflared --hostname tunnel.example.com
  --url http://localhost:8000

INFO Registered at https://tunnel.example.com
Tunnelを開始
Argo Tunnelの接続を確立する際に使用するホスト名を定義します。Argo Tunnelのソフトウェアが自動的にDNSレコードを作成し、Cloudflareダッシュボード内に表示するので、セットアップが非常に簡単です。
  $ netcat -v -z [Origin IP Address] 80
[Origin IP Address] 80 (http):
Connection refused
$ netcat -v -z [Origin IP Address] 443
[Origin IP Address] 443 (https):
Connection refused
ポート80と443のロックダウンを確認
Cloudflareを通じてではなく、ポート80とポート443を使用して配信元サーバーに直接リクエストを送信することで、接続が拒否されてArgo Tunnelが正常に起動したことを確認できます。

今すぐArgoの使用を開始するには

Argo Tunnelの使用を開始するには、CloudflareプランとArgo契約が必要です。CloudflareのダッシュボードでArgoを有効化すると、スマートルーティング、階層型キャッシング、およびTunnelへのアクセス権限が与えられます。

すでにCloudflareをお使いですか? 始めましょう

CloudflareのArgo 無料 プラン

+ $5/月

最初の1 GBは無料。以後は1 GBごとに $0.10。


スマートルーティング、Tunnel、階層型キャッシングを含む

CloudflareのArgo Pro プラン

+ $5/月

最初の1 GBは無料。以後は1 GBごとに $0.10。


スマートルーティング、Tunnel、階層型キャッシングを含む

CloudflareのArgo Business プラン

+ $5/月

最初の1 GBは無料。以後は1 GBごとに $0.10。


スマートルーティング、Tunnel、階層型キャッシングを含む

CloudflareのArgo Enterprise プラン

+ $5/月

最初の1 GBは無料。以後は1 GBごとに $0.10。


スマートルーティング、Tunnel、階層型キャッシングを含む

* 階層型キャッシングは、すべてのEnterpriseプランにデフォルトで含まれています