セキュアアクセスサービスエッジ (SASE)
このリファレンスアーキテクチャのPDF版をダウンロードしてください。
Cloudflare Oneは、企業のアプリケーション、ユーザー、デバイス、ネットワークを保護するセキュアアクセスサービスエッジ(SASE)プラットフォームです。Cloudflare Oneを段階的に導入することで、組織はハードウェアアプライアンスやその他のポイントソリューションの寄せ集めから脱却し、1つの統合されたコントロールプレーン上でセキュリティとネットワーキング機能を統合できます。このようなネットワークとセキュリティの変革は、現代のビジネスが直面する重要な課題に対処するのに役立ちます。具体的には:
- ゼロトラストプラクティスを用いて、任意のユーザーが任意のリソースにアクセスできるようにする
- マルチチャネルフィッシングやランサムウェア攻撃を含むサイバー脅威から防御する
- 規制に準拠し、データ漏洩を防ぐためにデータを保護する
- オフィス、データセンター、クラウド環境間の接続を簡素化する
Cloudflare Oneは、すべてのネットワーク(企業およびインターネット)、クラウド環境、アプリケーション、ユーザー間の任意の接続を可能にするプログラム可能なクラウドネイティブサービスの統合されたインテリジェントプラットフォームであるCloudflareの接続性クラウド ↗上に構築されています。これは、世界最大のグローバルネットワーク ↗の1つであり、世界中の数百の都市 ↗にデータセンターを持ち、12,500以上の他のネットワークと相互接続されています。また、多くの他の大手テクノロジー企業よりもコアインターネットエクスチェンジ ↗において大きな存在感を持っています。
その結果、Cloudflareは、世界のインターネット接続人口の約95%に対して約50ms以内で運営されています。また、すべてのCloudflareサービスは、すべてのネットワークロケーションで実行されるように設計されているため、すべてのトラフィックは、最良のパフォーマンスと一貫したユーザーエクスペリエンスのために、ソースに近い場所で接続、検査、フィルタリングされます。
この文書は、SASEアーキテクチャに向けて取り組む組織のためのリファレンスアーキテクチャを説明し、Cloudflare Oneがどのようにそのようなセキュリティとネットワーキングの変革を可能にするかを示します。
このリファレンスアーキテクチャは、組織の既存のインフラストラクチャに対して何らかの責任を持つITまたはセキュリティの専門家を対象としています。ハイブリッドワークを保護するために重要な技術(アイデンティティプロバイダー(IdP)、ユーザーディレクトリ、シングルサインオン(SSO)、エンドポイントセキュリティまたは管理(EPP、XDR、UEM、MDM)、ファイアウォール、ルーター、パケットまたはコンテンツ検査ハードウェア、脅威防止、データ損失防止技術など)に関する経験があると便利です。
Cloudflareについての基礎的な理解を深めるために、以下のリソースをお勧めします:
- ソリューションブリーフ: Cloudflare One ↗(3分で読めます)
- ホワイトペーパー: インターネットネイティブ変革のためのリファレンスアーキテクチャ ↗(10分で読めます)
- ブログ: ゼロトラスト、SASE、SSE: 次世代ネットワークのための基礎概念 ↗(14分で読めます)
このリファレンスアーキテクチャを読むことで、以下のことを学べます:
- Cloudflare Oneが組織の従業員、デバイス、アプリケーション、データ、ネットワークをどのように保護するか
- Cloudflare Oneが既存のインフラストラクチャにどのように適合し、SASEアーキテクチャへの移行にどのようにアプローチするか
- Cloudflare Oneの展開計画の立て方
この文書は、技術的なレベルでCloudflare Oneを検討していますが、プラットフォーム内のすべての製品に関する詳細は提供していません。代わりに、Cloudflare One内のすべてのサービスがどのようにネットワーキングとネットワークセキュリティを1つのアーキテクチャに統合できるかを見ています。特定の製品領域やユースケースに関する詳細情報は、開発者ドキュメント ↗を訪れてください。
従来、ほとんどの従業員はオフィスで働き、イーサネットまたはWi-Fiを介して会社のネットワークにローカルに接続していました。ほとんどのビジネスシステム(例:ファイルサーバー、プリンター、アプリケーション)は、この内部ネットワーク上にあり、そこからのみアクセス可能でした。一度接続されると、ユーザーは通常、ローカルリソースへの広範なアクセスを持っていました。ネットワークを外部の脅威から保護するために、セキュリティの境界が作成されましたが、そのほとんどは公共のインターネットから来ていました。ビジネスワークロードの大部分はオンプレミスでホストされ、ネットワーク内でのみアクセス可能であり、インターネット上にはほとんどまたはまったく会社のデータやアプリケーションは存在しませんでした。
しかし、3つの重要なトレンドがこの「城と堀」のITセキュリティアプローチに問題を引き起こしました:
- 従業員がよりモバイルになった。組織はリモート/ハイブリッドワークをますます受け入れ、個人(つまり、会社所有ではない)デバイスの使用をサポートしています。
- クラウド移行が加速した。組織は、柔軟性、スケーラビリティ、コスト効率を向上させるために、アプリケーション、データ、インフラストラクチャを高価なオンプレミスデータセンターから公共またはプライベートクラウド環境に移行しています。
- サイバー脅威が進化した。上記のトレンドは、組織の攻撃面を拡大します。たとえば、攻撃キャンペーンは、組織に侵入するために複数のチャネルを利用することがますます洗練され、持続的になっています。また、サイバー犯罪者は「サイバー犯罪-as-a-service」ブラックマーケットの人気により、参入障壁が低くなっています。
従来の境界ベースのセキュリティは、これらの変化に適応するのに苦労しています。特に、「堀」を外側に拡張することは、管理者にとって運用の複雑さをもたらし、ユーザーにとっての体験を悪化させ、ユーザーやアプリケーション全体でセキュリティコントロールが適用される方法に一貫性を欠く結果となっています。
上の図は、この適応された境界ベースのアプローチの例を示しており、ファイアウォール、WANルーター、VPNコンセントレーターの混合が、MPLS回線やリースラインからなる専用WANオンランプと接続されています。この図は、一般的な問題領域も示しています。ポリシーを中央集権化しようとする努力の中で、組織は時にすべての従業員のインターネットトラフィックをVPNインフラストラクチャを通じて強制することがあり、その結果、遅いブラウジングやユーザーの不満が生じます。従業員はその後、非承認デバイスを使用するなどの回避策を求め、在宅勤務や公共Wi-Fiで作業する際にインターネット由来の攻撃にさらされるリスクが増加します。さらに、ITチームはネットワークインフラストラクチャの複雑さのために、変化するビジネスニーズに迅速に対応できません。
このような課題は、多くの組織が以下のような目標を優先するように促しています:
- セキュアな任意の接続をサポートすることでビジネスの機敏性を加速する
- ポリシー管理を簡素化し、ユーザーエクスペリエンスを合理化することで生産性を向上させる
- フィッシング、ランサムウェア、その他の脅威からユーザーとデータを保護することでサイバーリスクを低減する
- ネットワーキングとセキュリティ全体での可視性とコントロールを統合する
- 高価なアプライアンスやインフラストラクチャ(例:VPN、ハードウェアファイアウォール、MPLS接続)を置き換えることでコストを削減する
近年、セキュアアクセスサービスエッジ ↗(SASE)が、これらの目標を達成するための理想的なアーキテクチャとして浮上しています。SASEアーキテクチャでは、ネットワーク接続とセキュリティが単一のクラウドプラットフォームとコントロールプレーン上で統合され、任意のユーザーから任意のアプリケーションへの一貫した可視性、制御、エクスペリエンスが提供されます。
SASEプラットフォームは、ネットワーキングとセキュリティサービスで構成されており、すべてはサポートする運用サービスとポリシーエンジンによって支えられています:
- ネットワークサービスは、さまざまなネットワークからトラフィックを単一のグローバル企業ネットワークに転送します。これらのサービスは、ファイアウォール、ルーティング、負荷分散などの機能を提供します。
- セキュリティサービスは、ネットワーク上を流れるトラフィックに適用され、特定の種類のトラフィックのフィルタリングや、誰が何にアクセスできるかの制御を可能にします。
- 運用サービスは、ログ記録、APIアクセス、Terraformなどのプロバイダーを通じた包括的なInfrastructure-as-Codeサポートなど、プラットフォーム全体の機能を提供します。
- ポリシーエンジンは、すべてのサービスにわたって統合され、管理者がポリシーを定義し、それが接続されたすべてのサービスに適用されるようにします。
ほとんどの組織は、すべてを一度にではなく、段階的にSASEアーキテクチャに移行し、重要なセキュリティと接続性のユースケースを優先し、ゼロトラストネットワークアクセス ↗(ZTNA)やセキュアウェブゲートウェイ ↗(SWG)などのサービスを採用します。一部の組織は複数のベンダーからSASEサービスを利用することを選択しますが、ほとんどの組織にとっての目標は、単一のベンダーでセキュリティを統合し、管理を簡素化し、包括的な可視性と一貫したエクスペリエンスを実現することです。
Cloudflare One ↗は、すべてのサービスがすべてのロケーションで実行されるように設計された単一ベンダーのSASEプラットフォームです。すべてのトラフィックは、そのソースに最も近い場所で検査され、一貫した速度とスケールがどこでも提供されます。また、構成可能で柔軟なオンランプのおかげで、トラフィックは任意のソースから任意の宛先にルーティングできます。
Cloudflareの接続性クラウドは、アプリケーションのパフォーマンスとセキュリティを向上させる多くの他のサービスも提供しており、APIゲートウェイ ↗、ウェブアプリケーションファイアウォール ↗、コンテンツ配信 ↗、DDoS緩和 ↗などがあり、これらは組織のSASEアーキテクチャを補完することができます。たとえば、当社のコンテンツ配信ネットワーク(CDN)機能は、自己ホストされた会社のイントラネットのパフォーマンスを向上させるために使用できます。Cloudflareの全サービスの範囲は以下に示されています。
CloudflareのSASEプラットフォームは、Anycast ↗技術の使用から恩恵を受けています。Anycastにより、Cloudflareは世界中のすべてのデータセンターからサービスのIPアドレスをアナウンスできるため、トラフィックは常にソースに最も近いCloudflareデータセンターにルーティングされます。これにより、トラフィックの検査、認証、ポリシーの適用がエンドユーザーに近い場所で行われ、一貫して高品質なエクスペリエンスが実現されます。
Anycastを使用することで、Cloudflareネットワークはバランスが取れています。ネットワーク上でトラフィックが急増した場合、負荷は複数のデータセンターに分散でき、これによりユーザーに対して一貫した信頼性のある接続が維持されます。さらに、Cloudflareの大規模なネットワーク容量 ↗とAI/ML最適化されたスマートルーティング ↗も、パフォーマンスが常に最適化されることを助けます。
対照的に、多くの他のSASEプロバイダーは、単一のIPアドレスが単一のサーバーおよび/またはデータセンターに関連付けられるユニキャストルーティングを使用しています。このようなアーキテクチャでは、単一のIPアドレスが特定のアプリケーションに関連付けられることが多く、そのため、そのアプリケーションにアクセスするリクエストは、トラフィックがどれだけ移動する必要があるかによって非常に異なるネットワークルーティング体験を持つ可能性があります。たとえば、アプリケーションのサーバーの隣で働く従業員にとってはパフォーマンスが優れているかもしれませんが、リモートの従業員や海外で働く従業員にとってはパフォーマンスが悪いかもしれません。ユニキャストは、トラフィック負荷のスケーリングも複雑にします — 単一のサービスロケーションは、負荷が増加したときにリソースを増強する必要がありますが、Anycastネットワークは多くのデータセンターや地理にわたってトラフィックを共有できます。
SASEが組織のITインフラストラクチャにどのように適合するかを理解するために、以下の図を参照してください。この図は、該当するインフラストラクチャの一般的なコンポーネントをすべて示しています。このガイドの後続のセクションでは、図に追加情報を加え、CloudflareのSASEプラットフォームの各部分がどこに適合するかを示します。
図の上半分には、さまざまなインターネットリソース(例:Facebook)、SaaSアプリケーション(例:ServiceNow)、およびインフラストラクチャ・アズ・ア・サービス(IaaS) ↗プラットフォーム上で動作するアプリケーション(例:AWS)が含まれています。この例の組織は、すでにクラウドベースのアイデンティティプロバイダー ↗(IdP)、統合エンドポイント管理 ↗(UEM)、およびエンドポイント保護プラットフォーム(EPP)をゼロトラストイニシアティブの一環として展開しています。
下半分には、さまざまなユーザー、デバイス、ネットワーク、およびロケーションがあります。ユーザーは、さまざまな場所(自宅、本社、支社、空港など)で作業します。彼らが使用するデバイスは、組織によって管理されている場合もあれば、個人のデバイスである場合もあります。クラウドに加えて、アプリケーションは組織の本社にあるデータセンターやデータセンターオペレーターのコロケーション施設(この例ではEquinix ↗)で動作しています。
SASEアーキテクチャは、各ユーザーとデバイスが図に示されたさまざまなリソースに接続する方法を定義し、保護し、効率化します。以下のセクションでは、このガイドが上記のインフラストラクチャにCloudflare Oneを統合する方法を示します:
- アプリケーションとサービス:Cloudflareの背後にプライベートアプリケーションとサービスへのアクセスを配置する
- ネットワーク:Cloudflareに全体のネットワークを接続する
- デバイストラフィックの転送:任意のデバイスからCloudflare保護リソースへのアクセスを容易にする
- ユーザーとデバイスの検証:どのユーザーがアクセスリクエストを行っているか、そしてそのユーザーが持っているデバイスを特定する
SASEアーキテクチャへのこの旅は、組織がインターネットに面していない内部専用のWebアプリケーションとサービス(例:SSHまたはRDP)へのリモートアクセスを提供する必要があることから始まります。組織は通常、ユーザーをアプリケーションがホストされている会社のネットワークに接続するためにVPNアプライアンスを展開します。しかし、現在多くのアプリケーションはクラウドのインフラストラクチャ・アズ・ア・サービスプラットフォームに存在しており、従来のVPNソリューションは構成が難しいです。これにより、ユーザーにとってアプリケーションと接続のパフォーマンスが悪化することがよくあります。
ゼロトラストネットワークアクセス ↗(ZTNA)は、自己ホストアプリケーションとサービスへのアクセスを保護するSASEサービスです。ZTNAの機能は大きく2つのカテゴリに分けられます:1)Cloudflareのネットワークとアプリケーションが動作している環境との接続を確立すること、2)ユーザーがこれらのアプリケーションにアクセスできる方法を定義するポリシーを設定することです。このセクションでは、前者、つまりアプリをCloudflareに接続する方法を最初に検討します。
自己ホストアプリケーションへの接続は、ソフトウェアコネクタによって作成および維持されるトンネルを通じて容易にされます。
cloudflared。cloudflaredは、組織のインフラストラクチャにインストールされる軽量デーモンで、Cloudflareのグローバルネットワークへのアウトバウンド接続を介してトンネルを作成します。コネクタはさまざまな方法でインストールできます:
- ベアメタルサーバーにインストールされたOS上
- 仮想化環境で動作しているOS上
- DockerまたはKubernetes環境で動作しているコンテナ ↗
cloudflaredはWindows、Linux、またはmacOSオペレーティングシステム上で動作し、QUICを使用して暗号化されたトンネルを作成します。QUICは、UDP(TCPの代わりに)を使用して高速なトンネルパフォーマンスと最新の暗号化基準を提供する現代的なプロトコルです。一般的に、ユーザーが自分の環境にcloudflaredを展開する方法には2つのアプローチがあります:
- アプリケーションまたはサービスが動作している同じサーバーおよびオペレーティングシステム上。これは通常、高リスクまたはコンプライアンスの展開で、組織がアプリケーションごとに独立したトンネルを要求する場合です。
cloudflaredは少量のCPUとRAMを消費するため、サーバーのパフォーマンスへの影響はわずかです。 - アプリケーションが動作している同じネットワーク内の専用サーバー上。これは通常、DockerまたはKubernetes環境内の複数のコンテナの形を取ります。
cloudflaredはCloudflareへの複数のアウトバウンド接続を管理し、通常はネットワークファイアウォールに変更を必要としません。これらの接続は、信頼性とフェイルオーバーのために、複数のCloudflareデータセンターに分散されています。トンネルに向けられたトラフィックは、リクエストに地理的に最も近い接続に転送され、cloudflared接続が応答しない場合、トンネルは自動的に次の利用可能な接続にフェイルオーバーします。
各トンネル接続を通じてルーティングされるトラフィックをより制御するために、ユーザーはCloudflareのロードバランシングサービスと統合できます。信頼性のあるローカル接続を確保するために、組織はアプリケーションインフラストラクチャ全体にわたって複数のcloudflaredインスタンスを展開する必要があります。たとえば、Kubernetesクラスターで10台のフロントエンドWebサーバーが動作している場合、3つのKubernetesサービスを展開してcloudflaredレプリカを実行することができます。
トンネルが確立された後、ユーザートラフィックがアプリケーションまたはサービスに転送される方法には2つの方法があります。以下の各方法は、認証とアクセスを強制するZTNAサービスによって管理されるポリシーによって保護されています(これについてはこの文書の後のセクションで詳しく説明します)。
各公開ホスト名は、プライベートアプリケーションに関連付けられたアドレス、プロトコル、およびポートに特有であり、同じホスト上で複数のアプリケーションが動作している場合に特定のサービスへの狭いアクセスを可能にします。
たとえば、組織は公開ホスト名(mywebapp.domain.com)を定義して、https://localhost:8080で動作しているWebサーバーへのアクセスを提供し、ローカルKubernetesサービスへのアクセスを確保しないことができます。
主な機能:
- 公開DNSゾーンにホスト名が作成され、そのホスト名へのすべてのリクエストは最初にCloudflareネットワークにルーティングされ、構成されたセキュリティおよびアクセスポリシーに対して検査され、その後トンネルを介して保護されたプライベートリソースにルーティングされます
- 各トンネルごとに複数のホスト名を定義でき、各ホスト名は単一のアプリケーション(サービスアドレスとポート)にマッピングされます
- HTTP/HTTPSプロトコルのサポート
- リソースへのアクセスにはブラウザのみが必要
- Cloudflareのデバイスクライアントがユーザーデバイスに展開されている場合、ポリシーは追加のコンテキスト信号(例:デバイスが管理されているか、最新のOSを実行しているかを判断)を利用してポリシーの強制を行うことができます
- SSH/VNCサービスへのアクセスの場合、Cloudflareはブラウザ内でWebAssemblyを使用してSSH/VNCターミナルをレンダリングします
この方法で公開されたアプリケーションは、Cloudflareの先進的なDNS、CDN、DDoSサービス、さらにWebアプリケーションファイアウォール(WAF)、API、およびボットサービスのすべての利点を受けることができ、アプリケーションサーバーを直接インターネットに公開することはありません。
場合によっては、ユーザーがZTNAポリシーを利用して、全体のプライベートネットワーク上の多くのアプリケーションへのアクセスを提供したいと考えることがあります。これにより、クライアントが接続する方法やサービスが公開される方法に対して、より大きな柔軟性が得られます。また、HTTP以外のプロトコルを介してリソースとの通信も可能になります。このシナリオでは、ユーザーはCloudflareを介してアクセス可能にしたいプライベートネットワークのサブネットを指定します。
主な機能:
cloudflaredは、Cloudflareデバイスエージェントと組み合わせて、プライベートネットワークへのアクセスを提供し、任意のL4 TCP、UDP、またはICMP接続を可能にします- CIDR表記を使用して1つまたは複数のネットワークを構成できます(例:172.21.0.16/28)
- プライベートネットワーク上のリソースへのアクセスには、クライアントにCloudflareデバイスエージェントがインストールされている必要があり、接続ネットワークに少なくとも1つのCloudflareトンネルサーバーが必要です
両方の方法において、cloudflaredはプライベートアプリケーションまたはネットワークへのインバウンドトラフィックのみをプロキシします。これは、プロキシされるインバウンド接続に対してCloudflareへのゲートウェイや「オンランプ」にはなりません。つまり、Webサーバーが別のインターネットベースのAPIへの接続を開始した場合、その接続はCloudflareトンネルを介してルーティングされず、ホストサーバーのデフォルトルートおよびゲートウェイを介してルーティングされます。
これはほとんどのネットワークトポロジーにおいて望ましい結果ですが、ネットワークサービスがリモート接続されたユーザーや他のセグメント化されたネットワーク上のサービスと直接通信する必要がある場合もあります。
ユーザーがサーバーまたはネットワークから発信される接続をCloudflareを介してルーティングする必要がある場合、これを達成するための複数のオンランプがあります。これについては「ネットワークの接続」セクションでさらに説明します。
SaaSアプリケーションは本質的に常にパブリックインターネットに接続され、アクセスされます。その結果、前述のトンネルとアプリコネクタのアプローチは適用されません。代わりに、SASEアーキテクチャを持つ組織は、セキュアウェブゲートウェイ ↗(SWG)を介してインターネット向けのSaaSトラフィックを検査し、ポリシーを強制します。SWGは、クラウドネイティブなフォワードプロキシとして機能します。
SWGには、アウトバウンドトラフィックリクエストとインバウンドコンテンツレスポンスを検査して、ユーザー、デバイス、またはネットワークロケーションがインターネット上のリソースにアクセスできるかどうかを判断するポリシーが含まれています。組織はこれらのポリシーを使用して、承認されたSaaSアプリケーションへのアクセスを制御し、承認されていないアプリケーション(シャドウIT ↗としても知られる)の使用を検出してブロックすることができます。
一部のSaaSアプリケーションでは、リクエストの送信元IPアドレスに基づいてアプリケーションへのアクセスを制限するIPアドレスの許可リストを構成することができます。Cloudflareを使用すると、組織は専用のエグレスIPアドレスを取得でき、これをネットワークを離れるすべてのトラフィックの送信元アドレスとして使用できます。SaaSアプリケーションの許可リストと組み合わせることで、組織はユーザーがCloudflareに接続している場合にのみアプリケーションにアクセスできることを保証できます(このアプローチの詳細は、ユーザーデバイスの接続に関する後のセクションで説明されています)。
SaaSアプリケーションへのアクセスを保護する別の方法は、シングルサインオン(SSO)を構成してCloudflareがアイデンティティプロキシとして機能することです。これは、認証および承認プロセスの一部としてアイデンティティプロバイダー(IDP)として機能します。
主な機能:
- 自己ホストアプリケーションとSaaSアプリケーションの両方に一貫したアクセスポリシーを適用
- 認証プロセスにデバイスのセキュリティ姿勢をレイヤー化(例:ユーザーは、最新のオペレーティングシステムを実行し、すべてのエンドポイントセキュリティチェックに合格した管理されたデバイスのみがSaaSアプリケーションにアクセスできることを確認できます)
- アクセスに使用される特定のネットワークルートを確保(例:ユーザーは、デバイスエージェントを使用してCloudflareに接続されているデバイスを要求でき、これによりSaaSアプリケーションへのトラフィックをフィルタリングし、保護されたデータのダウンロードを防ぐことができます)
- SSOアプリケーションをCloudflareに集中化し、CloudflareからIDPへの1つのSSO統合を作成 — インフラストラクチャとアクセスポリシーをSSO非依存にする(例:ユーザーは、どのIDPを使用して認証するかに関係なく、MFAが使用されている場合にのみ重要なアプリケーションへのアクセスを許可できます)
Cloudflareがアプリケーションに対するSSOサービスとして機能する場合、ユーザー認証は組織の既存のアイデンティティプロバイダーによって処理されますが、Cloudflareを介してプロキシされ、追加のアクセス制限が適用されることがあります。以下の図は、典型的なリクエストフローの高レベルの例です:
SaaSアプリケーションをCloudflareのSASEアーキテクチャに接続する最後の方法は、APIベースのクラウドアクセスセキュリティブローカー ↗(CASB)を使用することです。Cloudflare CASBは、人気のSaaSスイート(Google Workspace、Microsoft 365、Salesforceなど)とAPIを介して統合され、これらのアプリケーションの誤設定、未承認のユーザーアクティビティ、その他のセキュリティリスクを継続的にスキャンします。
Cloudflareのデータ損失防止 ↗(DLP)サービスとのネイティブ統合により、CASBは不適切な権限で保存されている可能性のある機密または規制対象のデータをスキャンできます。これにより、漏洩や不正アクセスのリスクがさらに高まります。CASBは、ITチームに次のような項目を警告する発見を報告します:
- 適切なMFAがない管理アカウント
- 公開アクセス権限で保存されている会社の機密データ
- アプリケーション設定の欠如(例:SPF/DMARCレコードが欠落しているドメイン)
さて、これは組織がCloudflareサービスと統合した後の典型的なアーキテクチャの例です。Cloudflareは、次の方法で組織の既存のアプリケーションとサービスを保護するように設計されています:
- すべての自己ホスト型アプリケーションとサービスはCloudflareを通じてのみアクセス可能であり、Cloudflare ZTNAによって定義されたポリシーによって制御されます
- SaaSアプリケーショントラフィックはCloudflare SWGを介してフィルタリングおよび保護されます
- SaaSサービスはCloudflare CASBを介してスキャンされ、データの構成と権限を確認します
組織のアプリケーションとサービスが統合されたら、Cloudflareを既存のネットワークに接続する時です。地域オフィス、企業本社、小売店舗、データセンター、クラウドホスティングインフラストラクチャはすべて、新しい企業SASEネットワークにトラフィックを転送する必要があります。
すべてのトラフィックがCloudflareを通過すると、SASEサービスは次のアクションを実行します:
- アプリケーションアクセスの付与
- 一般的なインターネット向けトラフィックのフィルタリング(例:マルウェアをホストするサイトへのアクセスをブロック)
- ユーザーをゼロデイまたは未知の有害なインターネットコンテンツから保護するためのウェブサイトの隔離
- DLPポリシーで定義されたデータを特定するためのトラフィックのフィルタリング — その後、そのデータの不正なデバイスやアプリケーションへのダウンロード/アップロードをブロック
- 承認されていないアプリケーションの使用状況を可視化し、管理者がその使用をブロックまたはポリシーを適用できるようにする
ネットワークをCloudflareに接続するためのいくつかのアプローチがあり、これにより組織がSASE保護リソースへのアクセスを提供する方法にさらなる柔軟性をもたらします:
- ソフトウェアエージェントを使用してホストマシンからCloudflareへのトンネルを作成します。これは通常、自分のサーバーとアプリケーションを所有するユーザーに好まれる方法です。
- ネットワークルーターやファイアウォールからIPsecまたはGREトンネルを設定してCloudflare WANサービスに接続します。これは、ネットワーク管理者が全体のネットワークへのトラフィックを転送したいときに使用するアプローチです。
- ネットワークをCloudflareに直接接続します。この方法は、組織のネットワークがサポートされているデータセンターに存在する場合に最適です。通常、Cloudflareのデータセンターと同じ場所にあります。
これらの方法は、次のセクションでさらに説明されます。
ネットワークに接続するための2つのソフトウェアベースの方法があります。これは、ネットワーク上に現在存在するアプリケーションの種類によって異なります。
前のセクションで説明したように、cloudflaredはプライベートネットワーク上のアプリケーションとサービスへのリクエストをプロキシします。これはプライベートネットワーク内のサーバーにインストールされ、インターネットを介してCloudflareへの安全なトンネルを作成します。これらの接続は、信頼性のために複数のCloudflareデータセンターにバランスされ、複数のコネクタを介して行うことができ、トンネルの容量を増やすのに役立ちます。
cloudflaredを使用すると、Cloudflare Tunnelはトンネルを介してクライアントからサーバーへの接続をサポートします。トンネルの背後で実行されているサービスやアプリケーションは、アウトバウンド接続を開始する際にデフォルトのルーティングテーブルを使用します。
このモデルは、外部ユーザーが双方向での通信を必要としないプライベートネットワーク内のリソースにアクセスする必要がある大多数のシナリオに適しています。
双方向またはメッシュ接続の場合、組織はWARPコネクタを使用する必要があります。
WARPコネクタは、サイト間、双方向、メッシュネットワーキング接続のための軽量ソリューションで、基盤となるネットワークルーティングインフラストラクチャの変更を必要としません。WARPコネクタソフトウェアは、組織のネットワーク内のLinuxサーバーにインストールされ、Cloudflareへのトラフィックをオンランプする必要がある他のローカルネットワークのゲートウェイとなります。
これにより、MicrosoftのSystem Center Configuration Manager(SCCM)、Active Directoryサーバーの更新、VOIPおよびSIPトラフィック、複雑なCI/CDパイプラインの相互作用を持つ開発者のワークフローなどのサービスをサポートするための軽量ソリューションが提供されます。これは、cloudflaredおよびMagic WANの補完的に実行することも、Cloudflareネットワークへのスタンドアロンのリモートアクセスおよびサイト間コネクタとして使用することもできます。
WARPコネクタは、ユーザーからネットワークへの接続とネットワーク間接続の両方をプロキシすることができ、Carrier Grade NAT(CGNAT ↗)アドレス付きエンドポイントのオーバーレイネットワークを確立するために使用することもできます。これにより、CGNAT IP範囲を使用して確立されたリソースへの安全で直接的な接続が提供されます。これにより、重複するネットワークIP範囲の課題、ポイントソリューションアクセスの問題、またはより大きな基盤システムに影響を与えずにネットワーク設計を変更するプロセスに対処できます。
cloudflaredを介したCloudflare Tunnelは、プライベートネットワーク上のアプリケーションとサービスへのユーザー接続のための主要な方法です。これは、多くのアプリケーションオーナーにとって、よりシンプルで、より細かく、よりアジャイルなソリューションです(IPsec ↗やGRE ↗のようなIPトンネルベースの接続技術と比較して)。WARPコネクタを介したCloudflare Tunnelは、メッシュまたは他のソフトウェア定義ネットワーキングのための推奨方法です。これらのほとんどは双方向接続を必要とし、組織が基盤となるネットワークルーティングやエッジインフラストラクチャに変更を加えたくない場合に適しています。
ソフトウェアエージェントをインストールすることが最適でない場合や不可能な場合、ネットワークは既存のネットワーク機器(ルーターやネットワークファイアウォールなど)を使用してCloudflareに接続することもできます。これを行うために、組織はCloudflareのクラウドネイティブなMagic WAN ↗サービスに接続するIPsecまたはGREトンネルを作成します。Magic WANを使用すると、既存のネットワークハードウェアは、a)インターネット上の安全なIPsecベースのトンネルを介して、またはb)Cloudflare Network Interconnect ↗(CNI)を介して、各ネットワークロケーションからCloudflareにトラフィックを接続およびルーティングできます。CNIは、既存のネットワークロケーションを最寄りのCloudflareデータセンターにリンクするプライベートで直接的な接続です。
CloudflareのWANサービスは、「ライトブランチ、ヘビークラウド」アーキテクチャを使用しており、これはソフトウェア定義WAN(SD-WAN)接続の進化を表しています。Magic WANでは、以下のネットワークアーキテクチャ図に示すように、Cloudflareのグローバルネットワークが中央管理された接続ハブとして機能し、すべての既存のネットワークロケーション間でトラフィックを安全かつ効率的にルーティングします:
前述のように、Cloudflareはanycast ↗と呼ばれるルーティング技術を使用して、Cloudflareネットワーク上のすべてのサービスとエンドポイントをグローバルに広告します。これにはWAN IPトンネルのエンドポイントも含まれます。
anycast IPsec ↗またはanycast GREトンネルを使用すると、組織のネットワークデバイス(例:エッジルーター、ファイアウォールアプライアンスなど)から構成された各トンネルは、数百のグローバルCloudflareデータセンターに接続されます。組織のネットワークロケーションから発信されたトラフィックは、これらのトンネルを介して直接送信され、常に最も近いアクティブなCloudflareデータセンターにルーティングされます。最も近いCloudflareデータセンターが利用できない場合、トラフィックは自動的に次に近いデータセンターに再ルーティングされます。
ネットワークのレジリエンシーをさらに高めるために、Magic WANはCloudflareネットワークと組織のネットワークロケーション間でEqual Cost Multi-Path(ECMP)ルーティングもサポートしています。ECMPを使用すると、トラフィックは複数のanycast IPトンネルに負荷分散され、スループットを増加させ、ネットワークの信頼性を最大化します。1つ以上のトンネルのネットワークパスが失敗した場合、トラフィックは自動的に残りの健全なトンネルにフェイルオーバーされます。
既存のネットワークロケーションをMagic WANサービスにオンランプする最もシンプルで簡単な方法は、CloudflareのMagic WANコネクタ ↗を展開することです。これは、物理的またはクラウドネットワークに展開できるプラグアンドプレイの完全にクラウド管理されたネットワークデバイスです。WANコネクタがネットワークにインストールされると、自動的にCloudflareネットワークとの通信を確立し、関連する構成をダウンロードおよびプロビジョニングし、堅牢なIPsecトンネルを確立し、接続されたサイトネットワークトラフィックをCloudflareにルーティングします。
WANコネクタは、ハードウェアまたは仮想アプライアンスとして展開できるため、オンプレミス、仮想、またはパブリッククラウドなど、さまざまなユーザーネットワーク環境に対応できます。WANコネクタの管理、構成、可視性、ソフトウェアの更新は、CloudflareのダッシュボードまたはCloudflare APIを介して中央管理されます。2023年現在、WANコネクタは小規模および中規模のネットワーク(例:小規模オフィスや小売店)をCloudflareに接続するのに最適です。
WANコネクタの展開が実行可能でない場合や望ましくない場合、組織は既存のIPsec対応ネットワークデバイス(WANまたはSD-WANルーター、ファイアウォール、クラウドVPNゲートウェイなど)からIPsecトンネルを構成することにより、サイトネットワークをCloudflareに安全に接続できます。最新の検証済みIPsecデバイスの例については、Cloudflareのドキュメントを参照してください。
ネットワーク層の暗号化が必要ない場合もあります。たとえば、サイトのWAN向けトラフィックがすでにアプリケーション層(TLS経由)で暗号化されている場合や、IPsecネットワークデバイスがIPsecトラフィックを暗号化および復号化する際に非常に限られたスループット性能を提供する場合です。このような状況では、組織はGREトンネルを使用してCloudflareネットワークに接続できます。
組織は、Cloudflare Network Interconnect ↗(CNI)を介して、ネットワークロケーションをCloudflareネットワークに直接接続することもできます。Cloudflareは、ネットワークをCloudflareに接続するためのさまざまなオプションをサポートしています:
- Magic WANおよびMagic Transit用のExpress CNI
- Magic Transit用のClassic CNI
- Magic WANおよびMagic Transit用のCloud CNI
- インターネットエクスチェンジまたはプライベートネットワークインターコネクト(PNI)を介ったピアリング
以下の表は、ネットワークをCloudflareに接続するためのさまざまな方法を要約しています:
| ユースケース | 推奨 | 代替ソリューション |
|---|---|---|
| ゼロトラストモデルのプライベートネットワーク上のアプリケーションに接続するリモートユーザー(例:ほとんどのVPN置き換えシナリオ) | Cloudflare Tunnel(cloudflared使用) | Magic WAN 環境に適さない場合の代替オプション |
| 支店、本社、データセンター間のサイト間接続 | Magic WAN | Cloudflare Tunnel(WARP Connector使用) 周辺でルーティング変更ができない場合の代替オプション |
| 物理サイトまたはクラウド環境からクラウドセキュリティ検査への出口トラフィック(例:最も一般的なSWGおよび支店ファイアウォール置き換えシナリオ) | Magic WAN | 該当なし |
| リモートユーザーとのサービス起動通信(例:ADまたはSCCMの更新、DevOpsワークフロー、VOIP) | Cloudflare Tunnel(WARP Connector使用) | Magic WAN インバウンドソースIPの忠実性が必要ない場合の代替オプション |
| メッシュネットワーキングおよびピアツーピア接続 | Cloudflare Tunnel(WARP Connector使用) | 該当なし |
これらの接続およびトラフィックルーティングの方法は、任意の場所から同時に展開できます。以下の図は、異なる接続方法が単一のアーキテクチャでどのように使用できるかを示しています。
以下のトラフィックフローに注意してください:
- WARP Connectorまたはデバイスエージェントを介して接続されたすべてのトラフィックは、メッシュネットワーク上で相互に通信できます
- 自宅で作業している開発者は、クラウド内の本番およびステージングサーバーと通信できます
- 小売店舗の従業員や自宅の開発者は、ノートパソコンでVOIP通話を受けることができます
- AWSのHPCクラスターは、サードパーティのソフトウェアエージェントをインストールできない独自のソリューションを表しており、その結果、Magic WANへのIPsec接続を使用します
- 小売店舗では、Magic WAN ConnectorがすべてのトラフィックをIPsecトンネルを介してCloudflareにルーティングします
- デバイスエージェントを実行している従業員のノートパソコンは、IPsecトンネルを介してルーティングされるCloudflareへの独自のセキュア接続を作成します
- レポーティングシステムのアプリケーションオーナーは、
cloudflaredを使用してCloudflareへの接続を維持し、従業員にアプリケーションを公開するためのネットワーキングの支援を必要としません
cloudflaredは、アプリケーションオーナーによって任意の場所に展開され、アプリケーションへのホスト名ベースの接続を提供します。
ネットワーク、アプリケーション、ユーザーデバイスがCloudflareに接続されると、接続方法や使用されるデバイスに関係なく、すべてのトラフィックはCloudflare SASEサービスによって検査、認証、フィルタリングされ、目的の宛先に安全にルーティングされます。さらに、すべてのトラフィックに一貫したポリシーを適用できます。
これが、企業ネットワークトラフィックがどこからでもCloudflareに転送され、処理されるSASEアーキテクチャの例です。このアーキテクチャでは、任意のリモートロケーション、オフィスロケーション、またはデータセンターからネットワーク接続を行い、SaaSインフラストラクチャ、クラウドホストインフラストラクチャ、または組織自身のオンプレミスデータセンターに存在するアプリケーションやサービスに接続できます。
前のセクションでは、自己ホストアプリケーションへのアクセスを保護するためにZTNAを使用し、インターネット向けのトラフィックを検査およびフィルタリングするためにSWGを使用する方法を説明しました。ユーザーがCloudflareの接続クラウドに接続された任意の企業ネットワークのデバイスで作業している場合、そのすべてのトラフィックは検査され、ポリシーが適用され、ユーザーのワークフローを中断することなく処理されます。しかし、ユーザーは常に(または決して)オフィスにいるわけではありません。彼らは自宅、移動中、または他の公共ネットワークで作業しています。内部アプリケーションへの信頼できるアクセスを確保するにはどうすればよいでしょうか?作業場所に関係なく、インターネットブラウジングが安全であることをどう確保しますか?
Cloudflareで保護されたネットワークに接続されていないユーザーデバイスからのトラフィックがCloudflareを介して転送され、保護されることを確保するためのいくつかのアプローチがあります。
デバイストラフィックがCloudflareに転送されることを確保するための推奨方法は、デバイスエージェント(Cloudflare WARPとも呼ばれる)をインストールすることです。エージェントはWindows、macOS、Linux、iOS、Android/ChromeOSで動作し、すべての非ローカルトラフィックが送信されるCloudflareへのセキュアな接続を作成します。CloudflareのAnycastネットワーキングの使用により、デバイスエージェントは常にユーザーにとって最良のパフォーマンスを確保するために最寄りのCloudflareサーバーに接続します。デバイスエージェントは、ローカルマシンおよびネットワーク情報を収集し、Cloudflareのポリシーを強化するためにリクエストに送信します。
異なるデバイスやユーザーが接続する方法に柔軟性を持たせるために、複数の展開モードがあります:
- 完全なL4トラフィックプロキシ
- L7 DNSプロキシ
- L7 HTTPプロキシ
- デバイスの姿勢情報を収集する機能
たとえば、組織には既存のDNSフィルタリング ↗サービスを引き続き使用しているオフィスがある場合、エージェントを構成してネットワークおよびHTTPトラフィックのみをプロキシすることができます。
エージェントは、オフィスのプリンター向けのトラフィックがCloudflareネットワークに送信されず、代わりにローカルネットワークにルーティングされるシナリオを可能にする柔軟なルーティング制御で構成することもできます。これらのスプリットトンネル構成は、ユーザーのグループ、デバイスのオペレーティングシステムの種類、またはネットワークに特化して行うことができ、デフォルトでは、すべてのプライベートIPv4およびIPv6範囲 ↗に向けたトラフィックはデバイスのデフォルトゲートウェイに送信されます。ユーザーが到達しようとしているアプリケーションがパブリックDNSにない場合、ホスト名とドメインをローカルDNSサービスで解決するように構成できるため、デバイスエージェントはCloudflare DNSを使用してこれらを解決しようとしません。
エージェントは単なるネットワークプロキシ以上のものであり、オペレーティングシステムが完全に最新であるか、ハードディスクが暗号化されているかなど、デバイスのセキュリティ姿勢を検査することができます。CloudflareのCrowdStrike ↗、SentinelOne ↗などの他のサードパーティサービスとの統合により、デバイスのセキュリティ姿勢に関する追加データも提供されます。これらの情報はすべて各リクエストに関連付けられ、したがって、会社のポリシーで使用可能です — 「統一管理」セクションで説明されています。
エージェントは、手動または既存のエンドポイント管理(UEM)技術を使用してデバイスに展開できます。エージェントを使用して、ユーザーは統合されたアイデンティティプロバイダーを使用してデバイスをCloudflareに登録および認証します。アイデンティティ情報は、ローカルデバイスに関する情報と組み合わされて、SWGおよびZTNAポリシー(これらのCloudflareサービス全体で共有されるインラインCASB機能を含む)で使用されます。
デバイスにソフトウェアをインストールできない場合、エージェントレスのアプローチがあります。
1つのオプションは、ブラウザまたはOSでプロキシサーバーの詳細を設定することによって、HTTPリクエストをCloudflareに転送するようにブラウザを構成することです。これは手動で行うこともできますが、組織がインターネットホストされたプロキシ自動構成 ↗(PAC)ファイルを使用してブラウザプロキシ設定の構成を自動化することが一般的です。ブラウザは、PACファイルの場所をいくつかの方法で特定します:
- MDMソフトウェアがブラウザの設定を構成する
- Windowsドメインでは、グループポリシーオブジェクト(GPO)がブラウザのPACファイルを構成できます
- ブラウザはWebプロキシ自動発見 ↗(WPAD)を使用できます
そこから、ブラウザがすべてのHTTPリクエストを送信するプロキシエンドポイントを構成します。この方法を使用する場合は、以下に注意してください:
- HTTPSトラフィックのフィルタリングには、デバイスにCloudflareルート証明書をインストールして信頼する必要があります。
- プロキシエンドポイントは、管理者が指定する必要がある、サイトのNATゲートウェイで使用される公的IPアドレスのプールなど、既知のIPアドレスから発信されたトラフィックのみをプロキシします。
デバイストラフィックをCloudflareに送信することを確保する別のオプションは、リモートブラウザアイソレーション ↗(RBI)を使用することです。リモートユーザーがウェブサイトを訪問しようとすると、対応するリクエストとレスポンスは、ユーザーデバイスのローカルブラウザの「クローン」として機能するCloudflareネットワーク内で実行されるヘッドレスリモートブラウザによって処理されます。これにより、ユーザーデバイスは、訪問するウェブサイトからダウンロードされる可能性のある有害なコンテンツやコード実行から保護されます。
RBIは、受信したコンテンツを隔離された安全なクラウド環境でレンダリングします。ウェブコンテンツをローカルで実行するのではなく、ユーザーデバイスは、すべてのHTML5準拠のブラウザでサポートされる高度に最適化されたプロトコルを介して最終的にレンダリングされたウェブページを「描画」する方法に関するコマンドを受け取ります。リモートブラウザはCloudflareのサーバー上で実行されるため、SWGポリシーはすべてのブラウザリクエストに自動的に適用されます。
RBIでサイトへのアクセスを保護するためには、ローカルソフトウェアのインストールやユーザーのブラウザの再構成は必要ありません。これを達成するためのいくつかの方法は以下の通りです:
- 通常、リモートブラウザセッションはSWGポリシーの結果として開始されます — ユーザーは、リモートブラウザでコンテンツが読み込まれていることを通知されることなく、ウェブサイトをリクエストします。
- 組織は、ユーザーにリンクを提供して、RBIが常に各リクエストを処理することを自動的に確保することもできます。
- 組織は、ZTNAサービスを使用して、自己ホストアプリケーションからのすべてのトラフィックをRBIインスタンスを介してリダイレクトすることも選択できます。
リモートブラウザを介したすべてのリクエストはCloudflareのSWGを通過するため、ポリシーは特定のウェブサイトアクセス制限を強制できます。たとえば、ブラウザアイソレーションポリシーを設定して以下を行うことができます:
- リモートウェブページとユーザーのローカルマシン間のコピー/ペーストを無効にする; これにより、従業員が独自のコードをサードパーティのチャットボットに貼り付けるのを防ぐことができます。
- 機密情報を印刷することを防ぐために、リモートウェブコンテンツの印刷を無効にする
- 特定のウェブサイトからの機密会社データの送信またはダウンロードを防ぐために、ファイルのアップロード/ダウンロードを無効にする
- データが露出するのを制限するために、キーボード入力を無効にする(他のポリシーと組み合わせて); たとえば、誰かがフィッシングサイトにパスワードを入力することを防ぐことができます。
ウェブアプリケーションを隔離し、リスクのあるウェブサイトにポリシーを適用することで、組織はサイバー脅威やユーザーエラーからのデータ損失を制限できます。そして、Cloudflare Oneの多くの機能と同様に、RBIはSASEアーキテクチャの他の領域でも活用できます。たとえば、Cloudflareの email security ↗ サービスは、メール内の疑わしいリンクを自動的に書き換え、隔離することができます。この「メールリンク隔離」機能は、ユーザーを資格情報収集フィッシングなどの潜在的な悪意のある活動から保護します。
Cloudflareネットワークを介してトラフィックを保護するための別のオプションは、デバイスを設定してDNSトラフィックをCloudflareに転送し、検査およびフィルタリングを行うことです。まず、DNS locationsを作成し、異なるネットワークロケーションに基づいてポリシーを適用できるようにします。これらは、リクエストの送信元IPアドレスによって決定されるか、または「DNS over TLS ↗」や「DNS over HTTPS ↗」を使用することができます。
送信元IPアドレスを使用する場合、デバイスにどのDNSサーバーを使用するかを指示する必要があるか、デバイスが接続されているネットワークのローカルDNSサーバーがすべてのDNSクエリをCloudflareに転送する必要があります。DNS over TLSまたはHTTPSのサポートには、デバイスの設定が必要で、サポートはさまざまです。私たちの推奨は、より広範なオペレーティングシステムのサポートがあるDNS over HTTPSを使用することです。
上記のすべての方法は、DNSリクエストのみがCloudflareに送信される結果となります — すべてのトラフィックではありません。SWG DNSポリシーは、このレベルで実装され、企業ネットワークリソースへのアクセスを管理します。
以下の表は、Cloudflareへのトラフィック転送のさまざまな方法に対するSWG機能をまとめたものです(2023年10月現在):
| IPトンネルまたはインターコネクト(Magic WAN) | デバイスエージェント(WARP)*1 | リモートブラウザ | ブラウザプロキシ | DNSプロキシ | |
|---|---|---|---|---|---|
| 転送されるトラフィックの種類 | TCP/UDP | TPC/UDP | HTTP | HTTP | DNS |
| ポリシーの種類 | |||||
| DNS | はい | はい | はい | いいえ | はい |
| HTTP/S*2 | はい | はい | はい | はい | N/A |
| ネットワーク(L3/L4パラメータ) | はい | はい | はい | はい | いいえ |
| ポリシーで利用可能なデータ | |||||
| アイデンティティ情報 | いいえ | はい | はい | いいえ | いいえ*3 |
| デバイスポスチャー | いいえ | はい | いいえ | いいえ | いいえ |
| 機能 | |||||
| リモートブラウザ隔離 | はい | はい | はい | はい | N/A |
| イーグレスIPの強制 | はい | はい | はい | はい | N/A |
ノート:
- DNS over HTTPモードでデバイスエージェントを実行すると、ユーザーアイデンティティ情報が提供され、DNS経由で接続するのと同じ機能が得られます。
- HTTPSトラフィックをフィルタリングするには、Cloudflareの certificate を各デバイスにインストールする必要があります。これはデバイスエージェントを使用する際に自動化できます。
- DNS over HTTPSを構成する場合、リクエストにサービストークンを注入することが可能で、これによりクエリが認証されたユーザーに関連付けられます。
ネットワーク全体または個々のデバイスを接続することで、組織はユーザートラフィックをCloudflareにルーティングし、プライベートホストされたアプリケーションへの安全なアクセスと公共インターネットへの安全なアクセスを実現できます。
すべてのユーザーデバイスからのトラフィックがCloudflareネットワークに転送されると、組織は高レベルのSASEアーキテクチャを再検討する時が来ます:
SASEアーキテクチャを実装するこの段階で、組織はユーザーのデバイスからブラウザでリクエストが行われるポイントから、Cloudflareのネットワークを通じて企業がホストするプライベートアプリケーション/サービスまたは公共インターネットまで、トラフィックをルーティングし、保護する能力を持っています。
しかし、組織がそのアクセスを管理するためのポリシーを定義する前に、誰がリクエストを行っているのかを知り、デバイスのセキュリティポスチャーを判断する必要があります。
アクセス決定の最初のステップは、誰がリクエストを行っているのかを特定すること — つまり、ユーザーを認証することです。
Cloudflareは、組織の従業員、契約者、パートナー、およびその他のユーザーのリソースへの安全なアクセスを管理するアイデンティティプロバイダーと統合します。これには、任意のSAMLまたはOpenID Connect(OIDC)準拠のサービスとの統合が含まれます。Cloudflare Oneには、Okta、Microsoft Azure AD、Google Workspaceなどの事前構築された統合も含まれています。また、Facebook、GitHubやLinkedInなどの消費者向けIdPもサポートしています。
複数のIdPを統合することができ、組織は内部および外部の幅広いユーザーにポリシーを適用できます。ユーザーがCloudflareで保護されたアプリケーションやサービスにアクセスしようとすると、統合されたIdPのいずれかを介して認証するようにリダイレクトされます。デバイスエージェントを使用する場合、ユーザーは組織が設定したIdPのいずれかにも認証する必要があります。
ユーザーが認証されると、Cloudflareはそのユーザーの情報(ユーザー名、グループメンバーシップ、認証方法(パスワード、MFAが関与しているかどうか、その種類)、およびその他の関連属性(ユーザーの役割、部門、オフィスの場所など)を受け取ります。このIdPからの情報は、ポリシーエンジンで利用可能になります。
ユーザーのアイデンティティに加えて、ほとんどの企業ディレクトリには、これらのアイデンティティがメンバーであるグループも含まれています。Cloudflareはグループ情報のインポートをサポートしており、これはポリシーの一部として使用されます。グループメンバーシップは、単一のアイデンティティを集約するための重要な部分であり、ポリシーをよりシンプルにすることができます。たとえば、営業部門のすべての従業員がSalesforceにアクセスできるポリシーを設定する方が、営業組織内の各ユーザーを特定するよりもはるかに簡単です。
Cloudflareは、通常は人間のユーザーに関連付けられないデバイスの認証もサポートしています — たとえば、工場での気象条件を監視するIoTデバイスなどです。これらの安全な接続のために、組織はサービストークンを生成したり、相互TLS ↗(mTLS)証明書を作成して、そのようなデバイスやマシンアプリケーションに展開することができます。
ユーザーのアイデンティティを確認するだけでなく、ユーザーのデバイスのセキュリティポスチャーも評価する必要があります。デバイスエージェントは、Cloudflareが包括的なセキュリティポリシーを構築するために使用するさまざまなデバイス情報を提供できます。
以下の組み込みポスチャーチェックが利用可能です:
- アプリケーションチェック: 特定のアプリケーションプロセスが実行されているかを確認します
- ファイルチェック: ファイルの存在を確認します
- ファイアウォール: ファイアウォールが実行されているかを確認します
- ディスク暗号化: どのディスクが暗号化されているかを確認します
- ドメイン参加: デバイスがMicrosoft Active Directoryドメインに参加しているかを確認します
- OSバージョン: 実行中のOSのバージョンを確認します
- ユニーククライアントID: MDMツールを使用する場合、組織はモバイル、デスクトップ、またはラップトップデバイスに検証可能なUUIDを割り当てることができます
- デバイスシリアル番号: デバイスシリアルが会社のデスクトップ/ラップトップコンピュータのリストと一致するかを確認します
Cloudflare Oneは、Microsoft Endpoint Manager、Tanium、Carbon Black、CrowdStrike、SentinelOneなど、展開されたエンドポイントセキュリティソリューションと統合することもできます。これらの製品からのデータは、アクセス決定に使用するためにCloudflareに渡すことができます。
上記のすべてのデバイス情報は、ユーザーアイデンティティおよびデバイスが接続されているネットワークに関するデータと組み合わされ、企業ポリシーの一部としてCloudflareで利用可能です。たとえば、組織は、すべての条件が満たされている場合にのみ、管理者がサーバーにSSH接続できるようにすることを選択できます:デバイスが脅威から解放されていること、最新のオペレーティングシステムが実行されていること、会社のドメインに参加していること。
この情報はすべてのネットワークリクエストに対して利用可能であるため、デバイスポスチャーが変更されるたびに、そのデバイスが組織のリソースに接続できる能力に即座に影響を与えます。
メール — 多くの組織にとっての#1コミュニケーションツールであり、フィッシング攻撃が発生する最も一般的なチャネル — は、SASEアーキテクチャを介して保護すべきもう一つの重要な企業リソースです。フィッシングは、財務損失やブランド損害につながる90%以上の侵害の根本原因です。
Cloudflareのメールセキュリティサービスは、受信トレイに到達する前に悪意のあるコンテンツや添付ファイルの兆候をスキャンし、また攻撃者のインフラや攻撃配信メカニズムをインターネット上で積極的にスキャンし、計画的な攻撃の一部としてコンテンツをホストするために使用されるプログラムによって作成されたドメインを探します。私たちのサービスは、これらのデータを使用して、ビジネスおよびベンダーのメールの妥協(BEC ↗ / VEC ↗)からも保護します。これらは、ペイロードがないため、正当なメールトラフィックのように見えるため、検出が非常に困難です。
メールサーバーへのトラフィックを管理および制御するためにトンネルを展開する代わりに、Cloudflareはメールセキュリティのセットアップの2つの方法を提供します:
- インライン: MXレコードを変更することで、すべての受信メールトラフィックをCloudflareを介してユーザーの受信トレイに到達する前にリダイレクトします
- API: Microsoft 365やGmailなどのメールプロバイダーとCloudflareを直接統合します
MXレコードを変更する(インライン展開)ことで、すべての受信メールトラフィックが私たちのクラウドメールセキュリティサービスを通過し、スキャンされ、悪意のあるものと判断された場合は、ユーザーの受信トレイに到達するのをブロックします。このサービスはMXレコードレベルで機能するため、任意のSMTP準拠 ↗のメールサービスと一緒にメールセキュリティサービスを使用することが可能です。
組織は、APIを介してメールサービスと直接統合するメールセキュリティを選択することもできます。このアプローチには2つの欠点があることに注意してください。Cloudflareがサポートする統合が少なく、メールがサービスに配信されてからCloudflareがAPIを介してそれを検出するまでに常にわずかな遅延があることです。
上記のステップは、Cloudflare Oneを使用してSASEアーキテクチャに進化するための完全なビューを提供します。以下の図が示すように、すべてのプライベートアプリケーション、サービス、ネットワークへの安全なアクセスと、ユーザーの一般的なインターネットアクセスのセキュリティを確保することが、組織内のすべてのユーザーに適用されるようになりました。
使いやすさのために、Cloudflare Oneプラットフォーム全体はAPIを介して構成できます。また、CloudflareのTerraformプロバイダー ↗を使用することで、組織はインフラストラクチャの他の部分を自動化するために使用するのと同じツールを使用してCloudflareのグローバルネットワークを管理できます。これにより、ITチームは次のセクションで詳述するすべてのポリシーを含むCloudflare Oneインフラストラクチャをコードを使用して完全に管理できます。また、(2023年10月現在)500以上のGitHub ↗リポジトリがあり、その多くはITチームがCloudflareの展開を管理するためのツールを使用および構築できるようにしています。
すべてのユーザー、デバイス、アプリケーション、ネットワーク、およびその他のコンポーネントがSASEアーキテクチャ内でシームレスに統合された今、Cloudflare Oneは包括的な管理のための集中プラットフォームを提供します。Cloudflareは、ITインフラ全体にわたる可視性を持っているため、デバイス、ユーザー、ネットワークなどのさまざまなソースからの信号を集約できます。これらの信号は、組織リソースへのアクセスを管理するポリシーの作成に役立ちます。
Cloudflareに接続されたアプリケーション、サービス、ネットワークへのアクセスを管理するためにポリシーがどのように記述できるかの詳細に入る前に、CloudflareのSASEプラットフォームでアクセスを制御する2つの主要な強制ポイント、SWGとZTNAサービスを見ておく価値があります。これらのサービスは、単一の管理ダッシュボードを介して構成されており、SASE展開全体にわたるポリシー管理を簡素化します。
以下の図は、これらのサービスを通じてリクエストの流れを示しており、ポリシーの適用とこれらのポリシーのデータソースを含んでいます。以下の図では、ユーリクエストは要求されたサービスの種類に応じてSWGまたはZTNAを介して入ることができます。また、SWG HTTPポリシーを実装して、ZTNA Cloudflareトンネルの背後にあるプライベートホストアプリケーションに関連するトラフィックを検査するDLPサービスを使用するなど、両方のサービスを組み合わせることも可能です。この構成により、組織は外部アクセスが許可された内部アプリケーションからの機密データのダウンロードをブロックできます。
次のセクションでは、特定のユースケースを満たすためにさまざまなポリシーがどのように構成できるかの例を紹介します。これらの例は網羅的ではありませんが、Cloudflare Oneが組織がSASEアーキテクチャへの移行で直面する課題に対処するためにどのように構成できるかの一般的な方法を示すことが目的です。
IdPをCloudflareに接続することで、グループメンバーシップ、認証方法、特定のユーザー属性などの要因に基づいてアクセス決定を行う能力が提供されます。Cloudflareのデバイスエージェントは、オペレーティングシステムの評価や、会社が管理するデバイスに対してデバイスのシリアル番号を確認するなど、ポリシーの考慮に役立つ追加の信号も提供します。ただし、ユーザーが強力なポリシーを構築するために展開に追加データを組み込むことを可能にする機能もあります。
Cloudflareの広範なインテリジェントネットワークは、数十億のウェブ資産を継続的に監視し、私たちの脅威インテリジェンスとインターネットコンテンツに関する一般的な知識に基づいてカテゴリ分けします。特定のドメインに適用される可能性のあるカテゴリを調べるために、無料のCloudflare Radar ↗サービスを使用できます。ポリシーには、公共のインターネット上の既知および潜在的なセキュリティリスクをブロックするために、これらのカテゴリを含めることができます。
さらに、CloudflareのSWGは、カスタマイズされたデータのリストを作成および維持する柔軟性を提供します。これらのリストはCSVファイルを介してアップロードしたり、手動で維持したり、Cloudflare APIを使用して他のプロセスやアプリケーションと統合したりできます。リストには以下のデータを含めることができます:
- URLs
- ホスト名
- シリアル番号(macOS、Windows、Linux)
- メール
- IPアドレス
- デバイスID(iOS、Android)
たとえば、組織はすべてのリモートオフィスのIPアドレス、短期契約者のメールアドレス、または信頼された会社のドメインのリストを維持できます。これらのリストは、契約者のトラフィックが既知のオフィスIPアドレスから来ている場合に、特定のアプリケーションへのアクセスを許可するポリシーで使用できます。
Cloudflareは、リクエストのさまざまな側面を考慮します。これには、ソースIP、要求されたドメイン、およびリクエストを開始した認証されたユーザーのIDが含まれます。Cloudflareは、機密コンテンツの存在に基づいてリクエストを検出およびブロックする能力を持つDLPサービスも提供しています。このサービスには、財務情報、個人を特定できる情報(PII)、APIキーなどの一般的なデータタイプのための組み込みDLPプロファイルがあります。
ソースコード用のプロファイルもあり、ユーザーはC++やPythonファイルの転送を検出してブロックできます。組織はカスタマイズされたDLPプロファイルを作成し、探しているデータのパターンを定義するために正規表現を使用できます。パターンを定義するのが難しいデータには、正確なデータ値に一致するデータセットを使用できます。これらのデータセットは、顧客アカウントIDや機密プロジェクト名のリストなど、一致させるためにアップロードされる任意のデータを一括でアップロードすることを可能にします。これらのプロファイルとデータセットは、機密顧客データを含む大きなファイルのダウンロードを防ぐためにポリシーに組み込むことができます。
誤検知のリスクを減らすために、内部ユーザーはプロファイルに対して一致カウントを設定するオプションがあります。これは、プロファイルがトリガーされる前に、データ内で特定の数の一致が必要であることを意味します。このアプローチにより、PIIやクレジットカード番号に似たランダムな文字列が不必要にプロファイルをトリガーするシナリオを防ぎます。一致カウントを実装することで、ポリシーは複数のデータ要素がプロファイルと一致することを要求し、その精度を大幅に向上させます。
組織は、コンテキスト分析を有効にすることでDLPプロファイルの精度をさらに向上させることができます。この機能は、一致の近くに特定の近接キーワードが存在することを要求します。たとえば、文字列「123-45-6789」は、「ssn」などのキーワードに近接している場合にのみ検出としてカウントされます。このコンテキスト要件は、検出プロセスの精度を強化します。
DLPサービスは、CloudflareのSWGおよびAPI駆動のCASBサービスとシームレスに統合されます。API CASBの場合、DLPプロファイルは各SaaSアプリケーションとの各統合のスキャンに選択されます。このカスタマイズにより、各アプリケーション内で保護したいデータの種類に基づいた検出基準が設定できます。
SWGサービスの場合、DLPプロファイルは、ゲートウェイを通過するリクエスト内の機密データの存在を検出するために任意のポリシーに含めることができます。この検出に関連する最も一般的なアクションは、リクエストをブロックすることであり、強力なセキュリティ層を提供します。
アクセスグループは、ZTNAサービスにおいてユーザーやデバイスを統合されたエンティティに集約するための強力なツールです。Cloudflare内では、複数の情報を単一のアクセスグループに組み合わせることができ、複数のポリシーでデータを効率的に再利用しながら、1つの集中管理された場所に保持できます。
重要なサーバーインフラへのアクセスを管理するために設計されたアクセスグループを考えてみましょう。同じアクセスグループは、管理者がCloudflareへの接続を無効にするのを防ぐデバイスエージェントポリシーで使用できます。このアプローチは、ポリシー管理を簡素化し、さまざまなポリシー実装間での一貫性を確保します。
以下は、「Secure Administrators」という名前のアクセスグループを特徴とする図で、セキュアな管理者の特性を定義するためにさまざまな属性を使用しています。この図は、「Secure Administrators」内に2つの他のアクセスグループが追加されていることを示しています。これらのグループには、最新のWindowsまたはmacOSで動作するデバイスが含まれ、デバイスにはFile VaultまたはBitlockerが有効である必要があります。
Cloudflareの全体的な柔軟性に一致して、アクセスグループはCloudflare APIまたはTerraformを使用して作成、更新、およびポリシーに適用できます。これにより、既存のITシステムやプロセスとのシームレスな統合が可能になり、アクセス管理への一貫したアプローチが確保されます。
すべての利用可能なコンポーネントをしっかりと理解したので、一般的なユースケースとそれらがどのように構成されるかを詳しく見ていきましょう。Cloudflareのポリシーエンジンは非常に強力で柔軟であるため、これらの例はCloudflareのSASEプラットフォームの機能の一端を示すものに過ぎません。
SASEアーキテクチャに移行する一般的な理由の1つは、既存のVPN接続をより柔軟で安全なソリューションに置き換えることです。Cloudflare One SASEアーキテクチャは、世界中のどこからでも自己ホストされたアプリケーションへの高性能で安全なアクセスを可能にします。ただし、次のステップは、リソースへのアクセスを制御するポリシーを定義することです。
この例では、データベース管理アプリケーション(例えばpgadmin ↗)と、データベースサーバー上で実行されているSSHデーモンの2つのサービスを考えてみましょう。以下の図は、トラフィックの流れを示し、ZTNAサービスを強調しています。他のすべてのサービスは、リクエストを検査する能力を保持していることに注意してください。たとえば、ドイツで個人の携帯電話を使用している契約者は、db管理ツールにのみアクセスできるべきですが、管理されたデバイスを使用している従業員は、db管理ツールとデータベースサーバーへのSSHにアクセスできます。
アクセスを可能にするポリシーは、2つのアクセスグループに依存しています。
- 契約者
- Oktaを介して認証され、Oktaグループ「Contractors」の一部であるユーザー
- 認証にはハードウェアトークンの使用が必要
- データベースおよびIT管理者
- Oktaを介して認証され、Oktaグループ「IT administrators」または「Database administrators」に所属するユーザー
- 認証にはハードウェアトークンの使用が必要
- ユーザーは「Managed Devices」リストにあるシリアル番号を持つデバイスである必要があります
これらのグループは、2つの異なるアクセスポリシーで使用されます。
- データベース管理ツールへのアクセス
- データベースおよびIT管理者はアクセスを許可されます
- 「Contractor」アクセスグループのメンバーはアクセスを許可されますが、各認証されたセッションにはユーザーが正当化リクエストを完了する必要があります
- 管理ツールはCloudflareのエッジネットワーク上の隔離されたブラウザで表示され、ファイルのダウンロードは無効化されています
- データベースサーバーSSHアクセス
- 「Database and IT administrators」グループはアクセスを許可されます
- 彼らのデバイスはCrowdstrikeのリスクスコアが80以上である必要があります
- アクセスは、デバイスエージェントを実行し、Cloudflareに接続されているデバイスから行われる必要があります
これらのポリシーは、契約者がデータベース管理ツールへのアクセスのみを許可され、サーバーへのSSHアクセスは許可されないことを示しています。ITおよびデータベース管理者は、デバイスがデバイスエージェントを介してCloudflareに安全に接続されている場合にのみSSHサービスにアクセスできます。アクセスグループとポリシーのすべての要素は、すべてのログインに対して評価されるため、侵害されたラップトップを使用しているIT管理者や、ハードウェアトークンで認証できない契約者はアクセスを拒否されます。
両方のユーザーグループは、Cloudflareのグローバルに分散されたネットワークの最も近くて速いアクセスポイントを介してCloudflareに接続し、どこにいてもすべてのユーザーに高品質な体験を提供します。
SASEソリューションを使用するもう一つの理由は、組織内のすべてのユーザー(従業員または契約者にかかわらず)がどこで働いていても、一貫して会社のセキュリティポリシーを適用することです。Cloudflare One SASEアーキテクチャは、デバイス上で直接ルーティングされるトラフィックでも、接続されたネットワークを通じてルーティングされるトラフィックでも、すべてのユーザートラフィックがCloudflareを通過することを示しています。CloudflareのSWGは、このトラフィックの検査を処理します。接続方法に応じて、ポリシーはHTTPまたはDNSリクエストのいずれかに適用できます。例えば:
これにより、すべてのユーザーを1つのポリシーで保護し、セキュリティを確保できます。Cloudflareは、ソーシャルメディアウェブサイトへのアクセスを許可しつつ、Cloudflareのネットワーク上でホストされるリモートブラウザ内のすべてのセッションを隔離する別のポリシーを作成できます。
この設定により、ソーシャルメディアウェブサイトへのすべてのリクエストは、以下のセキュリティ対策を確保します:
- ソーシャルメディアウェブサイト上の有害なコードを含むコンテンツは、ローカルデバイスでの実行を防止されます。
- 外部ユーザーは、マルウェアやスパイウェアに感染する可能性のあるコンテンツをサイトからダウンロードすることが制限されます。
Cloudflare Oneはすべてのネットワークリクエストを可視化できるため、Cloudflareはリクエスト内のデータに適用されるポリシーを作成できます。これは、DLPサービスを使用してアプリケーションからのコンテンツのダウンロードを検出し、特定のユーザー層に対してブロックできることを意味します。次のポリシーを見てみましょう。
このポリシーは、契約者が顧客アカウント情報を含むファイルをダウンロードするのを防ぎます。さらに、Cloudflareは、ユーザーのデバイスが特定のセキュリティポスチャ要件を満たさない場合に同じダウンロードをブロックする追加のポリシーを構成できます。これにより、共通のルールの一貫した施行が確保されます:敏感な顧客データは、必要なセキュリティ基準を満たさないデバイスにダウンロードできません。
DLPポリシーは、会社の機密文書が承認されていないクラウドストレージやソーシャルメディアにアップロードされないように、逆方向にも適用できます。
SASEの旅のこの時点で、ユーザーはITネットワークとセキュリティインフラストラクチャを再設計し、Cloudflare One SASEプラットフォームのすべての機能を最大限に活用しています。長期的なデプロイメントにおける重要な要素は、組織全体の完全な可視性を確立し、問題を診断し迅速に解決する能力を持つことです。
迅速な分析のために、Cloudflareはデプロイメントの運用状況の毎日の概要を提供する組み込みのダッシュボードと分析機能を提供します。トラフィックがCloudflareを通過する際、ダッシュボードは内部ユーザーに最も頻繁に使用されるSaaSアプリケーションを警告し、外部ユーザーによって不正にアクセスされた場合に迅速な対応を可能にします。さらに、すべてのCloudflare Oneサービスからのログ情報は、管理者のダッシュボードからアクセス可能で検索可能です。これにより、特定のブロックされたリクエストを効率的にフィルタリングでき、各ログにはユーザーのID、デバイス情報、ブロックをトリガーした特定のルールなどの有用な情報が含まれています。これは、ルールの調整が頻繁に必要なデプロイメントの初期段階で非常に便利です。
しかし、多くの組織は、インフラストラクチャのパフォーマンスに対する長期的な可視性を管理するために、既存の専用ツールに依存しています。これをサポートするために、Cloudflareはすべてのログ情報をそのようなツールにエクスポートすることを許可します。Cloudflare Oneのすべての側面はログに記録され、エクスポート可能です。Cloudflareは、AWS、Google Cloud Storage、SumoLogic、Azure、Splunk、Datadog、S3互換サービスなど、さまざまなプラットフォームへの小さなデータバッチの継続的な送信のための組み込み統合を提供しています。この柔軟性により、組織は既存のツールに組み込むデータの種類と量を制御するフィールドを選択的に選ぶことができます。
トラフィックやポリシーに関連するログに加えて、Cloudflareは管理活動も監査します。すべての管理アクションとCloudflare Tunnelsへの変更がログに記録されます。これにより、変更管理の監査が可能になり、他のすべてのログと同様に、より広範な変更管理監視ソリューションの一部として他のツールにエクスポートできます。
Cloudflareは、インターネットおよび接続されたネットワークとデバイスのパフォーマンスに関する深い洞察 ↗を持っています。この知識は、IT管理者にエンドユーザーの分単位の体験を可視化する力を与え、生産性に影響を与える問題を迅速に解決できるようにします。
デジタルエクスペリエンスモニタリング(DEM)サービスは、ITがユーザーのデバイスに対して常にテストを実行し、会社のリソースへの接続の質を判断できるようにします。これらのテストの結果はCloudflare Oneダッシュボードで利用可能で、IT管理者は特定のユーザーがアプリケーションにアクセスする際に困難に直面した場合の根本原因をレビューし特定できます。これらの問題は、ユーザーのローカルISPや特定のパフォーマンスが低いSaaSサービスプロバイダーに起因する可能性があります。このデータは、管理者が悪いユーザー体験を診断し対処するのに非常に貴重であり、問題解決を迅速化します。
ダッシュボードは、組織のすべてのデバイスのリアルタイムおよび履歴の接続メトリックを表示し、デバイス全体の包括的な概要を示します。IT管理者は、特定のデバイスにさらに分析を深めることができます。
CloudflareのSASEプラットフォームを包括的に理解したことで、既存のインフラストラクチャと統合する準備が整いました。このシステムは、デバイス上の初期リクエストから始まり、アプリケーションに至るまで、従業員と外部ユーザーの両方に対してアプリケーションへのアクセスを効率的に保護します。この強力な新しいモデルは、ネットワーク、アプリケーション、デバイス、ユーザーを保護するために、巨大なCloudflareネットワークに基づいて構築され、直感的な管理インターフェースを通じて管理されます。
この文書で説明されている多くの機能は、最大50ユーザーまで、時間制限なしで無料で使用できることに注意する価値があります。サインアップ ↗して、Zero Trust ↗セクションに移動してください。この文書はプラットフォーム全体の概要を提供しましたが、特定の領域に深く掘り下げたい方には、以下のリソースを探索することをお勧めします。
| トピック | コンテンツ |
|---|---|
| Cloudflare Tunnels | Cloudflare Tunnelの理解 - cloudflaredのオープンソースリポジトリ ↗ |
| WAN as a Service | Cloudflare Magic WANのドキュメント |
| Secure Web Gateway | Gatewayポリシーの構築方法 |
| Zero Trust Network Access | Accessポリシーの構築方法 |
| Remote Browser Isolation | ブラウザの隔離の理解 |
| API-Driven CASB | SaaSアプリケーションのスキャン |
| Email Security | Cloudflare Email Securityの理解 |
| VPNの置き換え | Cloudflareを使用してVPNを置き換える |
SASE要件について詳しく議論し、私たちのアーキテクトの一人とつながりたい場合は、https://www.cloudflare.com/cloudflare-one/ ↗を訪れて、相談をリクエストしてください。