Cloudflare Tunnel

Protect your web servers from direct attack

開発者やIT部門は、アプリケーションが展開された瞬間から、ACLの設定、IPアドレスのローテーション、GREトンネルのような使いにくいソリューションを使用しながら、アプリケーションのロックダウンに時間を費やしています。

There’s a simpler and more secure way to protect your applications and web servers from direct attacks: Cloudflare Tunnel.

パブリッククラウド、プライベートクラウド、Kubernetesクラスター、またはTV経由のMacミニなど、どこで実行していようともサーバーの安全を確保します。

サインアップ営業担当者へのお問い合わせ

すでにCloudflareのお客様ですか？利用開始する

「Cloudflareのおかげで、ファイアウォールの管理間接費を削減できたばかりでなく、攻撃可能面を縮小し、トンネルを通じた高パフォーマンスという付加価値も得ることができました。」

Johan Bergström

Netwrk社、共同創立者兼CTO

配信元インフラストラクチャを保護する上での課題

オリジンのIPアドレスやオープンポートは、クラウドベースのセキュリティサービスの向こう側にあるときでも、先進的な攻撃者にさらされており、脆弱な状態です。こうした直接的なDDoSあるいはデータ漏えいの試みをブロックする一般的な方法としては、ACLの作成と外部からのIPアドレスの許可、あるいはGREトンネルの構築とIPセキュリティの有効化があります。

これらのアプローチは設定と維持に手間がかかり、完全に統合された暗号化機能を欠いているため、速度の低下とコスト増を招く恐れがあります。

配信元を安全にCloudflareに直接接続

TunnelデーモンはオリジンWebサーバーと最寄りのCloudflareデータセンターとの間に、パブリックな受信ポートを一切開くことなく、暗号化されたトンネルを構築します。

ファイアウォールを使って配信元サーバーのポートおよびプロトコルをすべてロックダウンした後、帯域幅消費型DDoS攻撃をはじめとしてHTTP/Sポート上のリクエストはすべて遮断されます。データ漏えいの試み — 移動中のデータの盗み見、あるいはブルートフォースログイン攻撃などは完全にブロックされます。

Tunnelにより、あらゆる種類のインフラストラクチャへのアプリケーショントラフィックも迅速に安全を確保し、暗号化できるため、こうしたことに煩わされずアプリケーションの配信に注力できるようになります。オリジントラフィックを暗号化して、WebサーバーのIPアドレスを隠せるため、直接攻撃を受けることはありえません。

Tunnelの事例についての詳細をご覧ください。

直接攻撃からWebサーバーを保護

Tunnelデーモンをデプロイして、ファイアウォールをロックダウンすると、Cloudflareネットワークを通した受信Webトラフィックのみがアプリケーションのオリジンサーバーに到達します。これで、Webサーバーのファイアウォールにより帯域幅消費型DDoS攻撃やお客様のデータを侵害する試みがブロックされるようになりました。

セキュリティ保護された内部アプリケーションへのアクセス

Tunnelは、適切な人のみが内部アプリケーション（開発環境のアプリケーションを含む）にアクセスできるようにする理想的なソリューションです。

TunnelをCloudflare Accessに連結すると、ユーザーはVPNなしでGsuiteやOktaといった大手IDプロバイダーによって認証されます。

かつてはオリジンIPを通じて誰でもアプリケーションにアクセスできましたが、今ではCloudflareのネットワークを通じて認証されたユーザー以外はアクセスできません。

Smart Routingにより配信元トラフィックを高速化

Tunnelを使用するには、CloudflareダッシュボードでArgoサブスクリプションを有効にする必要があります。Argoには、Smart Routing、Tunnel、階層型キャッシングへのアクセスも含まれます。

Argo Smart RoutingはCloudflareのプライベートネットワークを使用して、訪問者を最も混雑が少なく、最も信頼性の高いパスにルーティングすることでアプリケーションのパフォーマンスを高めます。Smart Routingが配信元トラフィックレイテンシーを平均で30%、接続エラーを27%減少させます。

詳細はこちら