開発者やIT部門は、アプリケーションが展開された瞬間から、ACLの設定、IPアドレスのローテーション、GREトンネルのような使いにくいソリューションを使用しながら、アプリケーションのロックダウンに時間を費やします。
そこで、よりシンプルで安全に、お客様のアプリケーションやWebサーバーを直接攻撃から保護する手段があります。それがCloudflare Tunnelです。
パブリッククラウド、プライベートクラウド、Kubernetesクラスター、またはTV経由のMacミニなど、どこで実行していようともサーバーの安全を確保します。
オリジンのIPアドレスやオープンポートは、クラウドベースのセキュリティサービスの向こう側にある時も、高度な攻撃にさらされており脆弱な状態です。そうした直接的なDDoS攻撃やデータ漏えいの試みに対しては、アクセス制御リスト(ACL)による送信元IPアドレスの監視や、GREトンネル経由のIPセキュリティ有効化など、一般的な対策がいくつかあります。
ただ、それらのアプローチは、セキュアトンネリングソフトウェアなど他のネットワークセキュリティソリューションに比べて低速で高価なうえ、設定やメンテナンスに時間がかかりがちで、完全統合された暗号化でない場合が多いのです。
Cloudflare Tunnelは、インフラストラクチャの種類を問わず、アプリケーショントラフィックをすばやく安全にし暗号化できるトンネリングソフトウェアです。これにより、WebサーバーのIPアドレスを秘匿し、直接攻撃をブロックしつつ、優れたアプリケーションの配信を続けることができます。
仕組みは次のとおりです。
TunnelデーモンはオリジンWebサーバーと最寄りのCloudflareデータセンターとの間に、パブリックなインバウンドポートを一切開くことなく、暗号化されたトンネルを作成します。
ファイアウォールを使ってオリジンサーバーのポートとプロトコルをすべてロックダウンした後、帯域幅消費型 DDoS攻撃を含めHTTP/Sポート上のリクエストをすべて遮断します。移動中のデータ盗み見やブルートフォースログイン攻撃など、データ漏えいの試みも完全にブロックされます。
Tunnelは、CloudflareのDDoS攻撃対策、Webアプリケーションファイアウォール(WAF)とともに、Webプロパティを攻撃から守ります。
Tunnelデーモンをデプロイしてファイアウォールをロックダウンすると、インバウンドのWebトラフィックはすべてCloudflareのネットワークでフィルタ処理されます。
こうして、帯域幅消費型DDoS攻撃やデータ漏えいの試みがお客様のWebサーバーのファイアウォールでブロックされ、アプリケーションのオリジンサーバーに到達しないようにできるのです。
Tunnelがあれば、ゼロトラスト環境ですばやくインフラストラクチャを展開できるため、お客様のリソースを求めるリクエストはすべて、まずCloudflareの堅牢なセキュリティフィルタを通ります。
さらに、TunnelとCloudflare Access(当社の包括的なゼロトラストアクセスソリューション)を併用すれば、ユーザーはVPNを使わずに大手IDプロバイダー(Gsuite、Oktaなど)の認証を受けます。
それまでオリジンIPを通じて誰でもアクセスできたアプリケーションが、Cloudflareのネットワークを通じて認証されたユーザー限定でアクセス可能になるのです。また、外部向けにしたいと考える内部アプリケーション(開発中のものを含む)へのアクセスを制限することもできます。
Cloudflareがゼロトラストセキュリティをどのように実現しているか、詳細をご覧ください。
Tunnelを使用するには、CloudflareダッシュボードでArgoサブスクリプションを有効にする必要があります。Argoサブスクリプションには必ず、Smart Routing、Tunnel、Tiered Cachingへのアクセスが含まれています。
Argo Smart Routingは、Cloudflareのプライベートネットワークを使い、最も混雑度が低く信頼性が高い経路で訪問者をルーティングすることによって、アプリケーションパフォーマンスを向上させます。Smart Routingにより、オリジントラフィックの遅延は平均30%縮小し、接続エラーは27%減少します。
Argo Smart Routingの詳細をご覧ください。
「Cloudflareのおかげで、ファイアウォールの管理間接費を削減できたばかりでなく、攻撃可能面を縮小し、トンネルを通じた高パフォーマンスという付加価値も得ることができました。」
Johan Bergström
Netwrk社、共同創立者兼CTO
Cloudflareのお客様の多くが当社グローバルネットワークへの安全な接続を確立するために利用されている軽量ソフトウェアについて知ってください。このブリーフでは特に、企業のセキュリティを簡単に強化できる当社のZero Trustプラットフォームの2つの要、アプリケーションコネクタとデバイスクライアントを取り上げます。
セールス