デフォルトHTTPプライバシー
Cloudflareは、世界で最も大規模なグローバルAnycastネットワークの1つを運営しており、現在のすべてのデータセンターの場所はネットワークマップ ↗でアクセス可能です。
Cloudflareのデータセンター内およびCloudflareネットワークと顧客のオリジン間では、トラフィックは転送中に暗号化されます。顧客は、使用したい暗号化モードと暗号スイートを選択する柔軟性があります。
さらに、Cloudflareのデータセンター内でのすべてのリクエストおよびレスポンス処理はメモリ内で行われ、人間のアクセスを防ぐために機械検査が使用されます。キャッシュ用の適格なコンテンツや顧客によって構成されたキャッシュルール以外は、ディスクに書き込まれることはありません。さらに、すべてのキャッシュディスクは静止時に暗号化されています。
高レベルでは、エンドユーザーのデバイスがCloudflareのデータセンターに接続すると、リクエストは以下のように処理されます:
-
サイバー攻撃に使用される可能性のある特定のタイプのリクエストは、アドレッシング情報(レイヤー3 / ネットワーク層)に基づいて即座にドロップされます。
-
次に、暗号化されたリクエストは復号され、顧客が選択したビジネスロジック(たとえば、製品の構成ルール、WAFカスタムルール、レート制限ルール)を使用して検査されます。これはトラフィックシーケンス ↗およびフェーズに従います。このプロセスにより、レイヤー7 / アプリケーション層DDoS攻撃、自動ボットトラフィック、クレデンシャルスタッフィング、SQLインジェクションなど、さまざまなタイプのサイバー攻撃や悪意のあるトラフィックの検出と防止が可能になります。
-
検査されたリクエストはキャッシュモジュールに渡されます。キャッシュがコンテンツのキャッシュコピーでリクエストを満たすことができる場合はそれを行い、そうでない場合はリクエストを顧客のオリジンサーバーに転送します。Cloudflareのデータセンターとオリジンサーバー間のトラフィックは暗号化されており、顧客が異なる暗号化モードを使用することを決定しない限り、暗号化が維持されます。
-
顧客のオリジンサーバーからレスポンスが返されると、静的で適格なコンテンツは暗号化されたディスクにキャッシュされます。レスポンスはその後、インターネットを介してユーザーに戻るためにビジネスロジックを通過します。
デフォルトでは、CloudflareはすべてのデータセンターでTLS終端処理をグローバルに行い、インターネットのエンドユーザーがCloudflareの背後にあるウェブサイトやアプリケーションに接続します。ただし、顧客は地域サービスを構成して、処理およびTLS終端処理が行われる地域を指定することができます。