Cloudflare Tunnel
直接攻撃からWebサーバーを保護
開発者やIT部門は、アプリケーションが展開された瞬間から、ACLの設定、IPアドレスのローテーション、GREトンネルのような使いにくいソリューションを使用しながら、アプリケーションのロックダウンに時間を費やします。
そこで、よりシンプルで安全に、お客様のアプリケーションやWebサーバーを直接攻撃から保護する手段があります。それがCloudflare Tunnelです。
パブリッククラウド、プライベートクラウド、Kubernetesクラスター、またはTV経由のMacミニなど、どこで実行していようともサーバーの安全を確保します。
配信元インフラストラクチャを保護する上での課題
オリジンのIPアドレスやオープンポートは、クラウドベースのセキュリティサービスの向こう側にある時も、高度な攻撃にさらされており脆弱な状態です。そうした直接的なDDoS攻撃やデータ漏えいの試みに対しては、アクセス制御リスト(ACL)による送信元IPアドレスの監視や、GREトンネル経由のIPセキュリティ有効化など、一般的な対策がいくつかあります。
ただ、それらのアプローチは、セキュアトンネリングソフトウェアなど他のネットワークセキュリティソリューションに比べて低速で高価なうえ、設定やメンテナンスに時間がかかりがちで、完全統合された暗号化でない場合が多いのです。
配信元を安全にCloudflareに直接接続
Cloudflare Tunnelは、インフラストラクチャの種類を問わず、アプリケーショントラフィックをすばやく安全にし暗号化できるトンネリングソフトウェアです。これにより、WebサーバーのIPアドレスを秘匿し、直接攻撃をブロックしつつ、優れたアプリケーションの配信を続けることができます。
仕組みは次のとおりです。
TunnelデーモンはオリジンWebサーバーと最寄りのCloudflareデータセンターとの間に、パブリックなインバウンドポートを一切開くことなく、暗号化されたトンネルを作成します。
ファイアウォールを使ってオリジンサーバーのポートとプロトコルをすべてロックダウンした後、帯域幅消費型 DDoS攻撃を含めHTTP/Sポート上のリクエストをすべて遮断します。移動中のデータ盗み見やブルートフォースログイン攻撃など、データ漏えいの試みも完全にブロックされます。
直接攻撃からWebサーバーを保護
Tunnelは、CloudflareのDDoS攻撃対策、Webアプリケーションファイアウォール(WAF)とともに、Webプロパティを攻撃から守ります。
Tunnelデーモンをデプロイしてファイアウォールをロックダウンすると、インバウンドのWebトラフィックはすべてCloudflareのネットワークでフィルタ処理されます。
こうして、帯域幅消費型DDoS攻撃やデータ漏えいの試みがお客様のWebサーバーのファイアウォールでブロックされ、アプリケーションのオリジンサーバーに到達しないようにできるのです。
セキュリティ保護された内部アプリケーションへのアクセス
Tunnelがあれば、ゼロトラスト環境ですばやくインフラストラクチャを展開できるため、お客様のリソースを求めるリクエストはすべて、まずCloudflareの堅牢なセキュリティフィルタを通ります。
さらに、TunnelとCloudflare Access(当社の包括的なゼロトラストアクセスソリューション)を併用すれば、ユーザーはVPNを使わずに大手IDプロバイダー(Gsuite、Oktaなど)の認証を受けます。
それまでオリジンIPを通じて誰でもアクセスできたアプリケーションが、Cloudflareのネットワークを通じて認証されたユーザー限定でアクセス可能になるのです。また、外部向けにしたいと考える内部アプリケーション(開発中のものを含む)へのアクセスを制限することもできます。
Cloudflareがゼロトラストセキュリティをどのように実現しているか、詳細をご覧ください。
Argo Smart Routingでオリジンのトラフィックを高速化
Tunnelを使用するには、CloudflareダッシュボードでArgoサブスクリプションを有効にする必要があります。Argoサブスクリプションには必ず、Smart Routing、Tunnel、Tiered Cachingへのアクセスが含まれています。
Argo Smart Routingは、Cloudflareのプライベートネットワークを使い、最も混雑度が低く信頼性が高い経路で訪問者をルーティングすることによって、アプリケーションパフォーマンスを向上させます。Smart Routingにより、オリジントラフィックの遅延は平均30%縮小し、接続エラーは27%減少します。
Argo Smart Routingの詳細をご覧ください。
「Cloudflareのおかげで、ファイアウォールの管理間接費を削減できたばかりでなく、攻撃可能面を縮小し、トンネルを通じた高パフォーマンスという付加価値も得ることができました。」
Johan Bergström
Netwrk社、共同創立者兼CTO
主な特徴
パフォーマンスに対するオーバーヘッドがわずかな、インストールが簡単なエージェント
コマンドライン設定
DDoS攻撃対策を内蔵
Cloudflare Load Balancerを使ってオリジンプール全体で負荷分散
トンネルを識別するカスタムタグ
TLS(配信側証明書)によりトンネルを暗号化
アプリケーションおよびプロトコルレベルのエラーログ記録
何百万ものインターネットプロパティからの信頼
Resources
Software Connectors to Cloudflare's Network
Learn about the lightweight software that many Cloudflare customers use to establish secure connections to our global network. Specifically, this brief explores our application connector and device client, two linchpins of our Zero Trust platform (Cloudflare for Teams) that make it easy to enhance your organization's security.
セールス
- エンタープライズセールス
- パートナーになる
- セールスへのお問い合わせ:
- +1 (888) 99 FLARE