Cloudflare Tunnel

直接攻撃からWebサーバーを保護

開発者やIT部門は、アプリケーションが展開された瞬間から、ACLの設定、IPアドレスのローテーション、GREトンネルのような使いにくいソリューションを使用しながら、アプリケーションのロックダウンに時間を費やします。

そこで、よりシンプルで安全に、お客様のアプリケーションやWebサーバーを直接攻撃から保護する手段があります。それがCloudflare Tunnelです。

パブリッククラウド、プライベートクラウド、Kubernetesクラスター、またはTV経由のMacミニなど、どこで実行していようともサーバーの安全を確保します。

すでにCloudflareのお客様ですか?利用開始する


配信元インフラストラクチャを保護する上での課題

オリジンのIPアドレスやオープンポートは、クラウドベースのセキュリティサービスの向こう側にある時も、高度な攻撃にさらされており脆弱な状態です。そうした直接的なDDoS攻撃やデータ漏えいの試みに対しては、アクセス制御リスト(ACL)による送信元IPアドレスの監視や、GREトンネル経由のIPセキュリティ有効化など、一般的な対策がいくつかあります。

ただ、それらのアプローチは、セキュアトンネリングソフトウェアなど他のネットワークセキュリティソリューションに比べて低速で高価なうえ、設定やメンテナンスに時間がかかりがちで、完全統合された暗号化でない場合が多いのです。

配信元を安全にCloudflareに直接接続

Cloudflare Tunnelは、インフラストラクチャの種類を問わず、アプリケーショントラフィックをすばやく安全にし暗号化できるトンネリングソフトウェアです。これにより、WebサーバーのIPアドレスを秘匿し、直接攻撃をブロックしつつ、優れたアプリケーションの配信を続けることができます。

仕組みは次のとおりです。

TunnelデーモンはオリジンWebサーバーと最寄りのCloudflareデータセンターとの間に、パブリックなインバウンドポートを一切開くことなく、暗号化されたトンネルを作成します。

ファイアウォールを使ってオリジンサーバーのポートとプロトコルをすべてロックダウンした後、帯域幅消費型 DDoS攻撃を含めHTTP/Sポート上のリクエストをすべて遮断します。移動中のデータ盗み見やブルートフォースログイン攻撃など、データ漏えいの試みも完全にブロックされます。

トンネルの作成方法と継続的改善について、詳細をご覧ください。

直接攻撃からWebサーバーを保護

Tunnelは、CloudflareのDDoS攻撃対策、Webアプリケーションファイアウォール(WAF)とともに、Webプロパティを攻撃から守ります。

Tunnelデーモンをデプロイしてファイアウォールをロックダウンすると、インバウンドのWebトラフィックはすべてCloudflareのネットワークでフィルタ処理されます。

こうして、帯域幅消費型DDoS攻撃やデータ漏えいの試みがお客様のWebサーバーのファイアウォールでブロックされ、アプリケーションのオリジンサーバーに到達しないようにできるのです。

セキュリティ保護された内部アプリケーションへのアクセス

Tunnelがあれば、ゼロトラスト環境ですばやくインフラストラクチャを展開できるため、お客様のリソースを求めるリクエストはすべて、まずCloudflareの堅牢なセキュリティフィルタを通ります。

さらに、TunnelとCloudflare Access(当社の包括的なゼロトラストアクセスソリューション)を併用すれば、ユーザーはVPNを使わずに大手IDプロバイダー(Gsuite、Oktaなど)の認証を受けます。

それまでオリジンIPを通じて誰でもアクセスできたアプリケーションが、Cloudflareのネットワークを通じて認証されたユーザー限定でアクセス可能になるのです。また、外部向けにしたいと考える内部アプリケーション(開発中のものを含む)へのアクセスを制限することもできます。

Cloudflareがゼロトラストセキュリティをどのように実現しているか、詳細をご覧ください。

Argo Smart Routingでオリジンのトラフィックを高速化

Tunnelを使用するには、CloudflareダッシュボードでArgoサブスクリプションを有効にする必要があります。Argoサブスクリプションには必ず、Smart Routing、Tunnel、Tiered Cachingへのアクセスが含まれています。

Argo Smart Routingは、Cloudflareのプライベートネットワークを使い、最も混雑度が低く信頼性が高い経路で訪問者をルーティングすることによって、アプリケーションパフォーマンスを向上させます。Smart Routingにより、オリジントラフィックの遅延は平均30%縮小し、接続エラーは27%減少します。

Argo Smart Routingの詳細をご覧ください。


主な特徴

パフォーマンスに対するオーバーヘッドがわずかな、インストールが簡単なエージェント
コマンドライン設定
DDoS攻撃対策を内蔵
Cloudflare Load Balancerを使ってオリジンプール全体で負荷分散
トンネルを識別するカスタムタグ
TLS(配信側証明書)によりトンネルを暗号化
アプリケーションおよびプロトコルレベルのエラーログ記録

何百万ものインターネットプロパティからの信頼

Resources

Software Connectors to Cloudflare's Network

Learn about the lightweight software that many Cloudflare customers use to establish secure connections to our global network. Specifically, this brief explores our application connector and device client, two linchpins of our Zero Trust platform (Cloudflare for Teams) that make it easy to enhance your organization's security.

Download the brief