Cloudflare Tunnel

直接攻撃からWebサーバーを保護

開発者やIT部門は、アプリケーションが展開された瞬間から、ACLの設定、IPアドレスのローテーション、GREトンネルのような使いにくいソリューションを使用しながら、アプリケーションのロックダウンに時間を費やします。

そこで、よりシンプルで安全に、お客様のアプリケーションやWebサーバーを直接攻撃から保護する手段があります。それがCloudflare Tunnelです。

パブリッククラウド、プライベートクラウド、Kubernetesクラスター、またはTV経由のMacミニなど、どこで実行していようともサーバーの安全を確保します。

すでにCloudflareのお客様ですか?利用開始する


配信元インフラストラクチャを保護する上での課題

オリジンのIPアドレスやオープンポートは、クラウドベースのセキュリティサービスの向こう側にある時も、高度な攻撃にさらされており脆弱な状態です。そうした直接的なDDoS攻撃やデータ漏えいの試みに対しては、アクセス制御リスト(ACL)による送信元IPアドレスの監視や、GREトンネル経由のIPセキュリティ有効化など、一般的な対策がいくつかあります。

ただ、それらのアプローチは、セキュアトンネリングソフトウェアなど他のネットワークセキュリティソリューションに比べて低速で高価なうえ、設定やメンテナンスに時間がかかりがちで、完全統合された暗号化でない場合が多いのです。

配信元を安全にCloudflareに直接接続

Cloudflare Tunnelは、インフラストラクチャの種類を問わず、アプリケーショントラフィックをすばやく安全にし暗号化できるトンネリングソフトウェアです。これにより、WebサーバーのIPアドレスを秘匿し、直接攻撃をブロックしつつ、優れたアプリケーションの配信を続けることができます。

仕組みは次のとおりです。

TunnelデーモンはオリジンWebサーバーと最寄りのCloudflareデータセンターとの間に、パブリックなインバウンドポートを一切開くことなく、暗号化されたトンネルを作成します。

ファイアウォールを使ってオリジンサーバーのポートとプロトコルをすべてロックダウンした後、帯域幅消費型 DDoS攻撃を含めHTTP/Sポート上のリクエストをすべて遮断します。移動中のデータ盗み見やブルートフォースログイン攻撃など、データ漏えいの試みも完全にブロックされます。

トンネルの作成方法と継続的改善について、詳細をご覧ください。

直接攻撃からWebサーバーを保護

Tunnelは、CloudflareのDDoS攻撃対策、Webアプリケーションファイアウォール(WAF)とともに、Webプロパティを攻撃から守ります。

Tunnelデーモンをデプロイしてファイアウォールをロックダウンすると、インバウンドのWebトラフィックはすべてCloudflareのネットワークでフィルタ処理されます。

こうして、帯域幅消費型DDoS攻撃やデータ漏えいの試みがお客様のWebサーバーのファイアウォールでブロックされ、アプリケーションのオリジンサーバーに到達しないようにできるのです。

セキュリティ保護された内部アプリケーションへのアクセス

Tunnelがあれば、ゼロトラスト環境ですばやくインフラストラクチャを展開できるため、お客様のリソースを求めるリクエストはすべて、まずCloudflareの堅牢なセキュリティフィルタを通ります。

さらに、TunnelとCloudflare Access(当社の包括的なゼロトラストアクセスソリューション)を併用すれば、ユーザーはVPNを使わずに大手IDプロバイダー(Gsuite、Oktaなど)の認証を受けます。

それまでオリジンIPを通じて誰でもアクセスできたアプリケーションが、Cloudflareのネットワークを通じて認証されたユーザー限定でアクセス可能になるのです。また、外部向けにしたいと考える内部アプリケーション(開発中のものを含む)へのアクセスを制限することもできます。

Cloudflareがゼロトラストセキュリティをどのように実現しているか、詳細をご覧ください。

Argo Smart Routingでオリジンのトラフィックを高速化

どんな団体でも、Cloudflare Tunnelsを無料で作成できます。単一コマンドでオリジンをCloudflareへ接続することから始めてみましょう。

Argo Smart Routingを追加することでTunnelsを強化することもできます。Argo Smart Routingは、Cloudflareのプライベートネットワークを使って最も混雑度が低く信頼性が高い経路で訪問者をルーティングすることにより、アプリケーションパフォーマンスを向上させます。Smart Routingにより、オリジントラフィックの遅延は平均30%縮小し、接続エラーは27%減少します。

サブスクリプションへのArgo Smart Routing追加について、詳細をご覧ください。

主な特徴

パフォーマンスに対するオーバーヘッドがわずかな、インストールが簡単なエージェント
コマンドライン設定
DDoS攻撃対策を内蔵
Cloudflare Load Balancerを使ってオリジンプール全体で負荷分散
トンネルを識別するカスタムタグ
TLS(配信側証明書)によりトンネルを暗号化
アプリケーションおよびプロトコルレベルのエラーログ記録

何百万ものインターネットプロパティからの信頼

リソース

Cloudflareネットワークへのソフトウェアコネクター

Cloudflareのお客様の多くが当社グローバルネットワークへの安全な接続を確立するために利用されている軽量ソフトウェアについて知ってください。このブリーフでは特に、企業のセキュリティを簡単に強化できる当社のZero Trustプラットフォームの2つの要、アプリケーションコネクタとデバイスクライアントを取り上げます。

ブリーフをダウンロード