セキュリティ
今日、すべてのものとすべての人が常にどこでもすべてに接続される必要があり、すべてが安全でなければなりません。しかし、多くの企業はこの現実を支えるインフラストラクチャの上に構築されていません。歴史的に、従業員はオフィスで働き、ほとんどのビジネスシステム(ファイルサーバー、プリンター、アプリケーション)はプライベートオフィスネットワーク上にあり、そこからのみアクセス可能でした。外部の脅威から保護するために、ネットワークの周囲にセキュリティの境界が作られましたが、その多くは公共のインターネットから来ていました。
しかし、インターネットの帯域幅が増加し、より多くの人々がオフィスの外で作業する必要が生じると、VPNにより従業員はインターネット接続が可能な場所から内部システムにアクセスできるようになりました。アプリケーションはオフィスネットワークを超えて、SaaSアプリケーションやIaaSプラットフォームにホストされる形でクラウドに移行し始めました。企業はネットワークへのアクセスを拡大し、常に進化するセキュリティの状況を検出、保護、管理するための新しい動的な方法に投資することに急いでいました。しかし、これにより多くの企業は複雑なポリシーと脆弱なネットワークを抱え、異なるアクセスポイントを保護するための多くのポイントソリューションが存在する状態になりました。
2010年以降、Cloudflareは、組織が接続性を向上させ、公共およびプライベートネットワーク、アプリケーション、ユーザー、データをより良く保護できるようにする一連のセキュリティサービスを運営するユニークで大規模なネットワークを構築してきました。この文書は、このネットワークとプラットフォームがセキュリティの観点からどのように設計され、運用されているか、そして企業が自らのセキュリティの課題に対処するために利用できるサービスについての洞察を提供します。この文書は主に2つのセクションで構成されています。
- Cloudflareがどのようにして安全なグローバルネットワークを構築し、運営しているか。
- Cloudflareのサービスを使用してビジネスインフラストラクチャと資産をどのように保護するか。
この文書は、Cloudflareを使用してビジネスの側面を保護しようとしているITおよびセキュリティの専門家を対象としています。主に、組織の全体的なセキュリティプログラムを担当する最高情報セキュリティ責任者(CSO/CISO)とその直接のチームを対象としています。この文書はCloudflareプラットフォーム全体のセキュリティをカバーしているため、特定のサービスについての詳細には踏み込んでいません。特定のサービスや製品に関する情報は、アーキテクチャセンター ↗をご覧ください。
Cloudflareの基礎的な理解を深めるために、以下のリソースをお勧めします。
あらゆるクラウドセキュリティソリューションは、高速で常に利用可能である必要があります。当社のネットワークは、インターネットのウェブプロパティの20%以上を保護し、320以上の都市で運営され、インターネットに接続された人口の95%に対して50msの距離にあります。各データセンターの各サーバーはすべてのサービスを実行し、トラフィックは一度の通過で検査され、エンドユーザーに近い場所で処理されます。これらのサーバーは、280 Tbpsの総ネットワーク容量を持つ13,000以上のネットワークピアリング関係で接続されています。Cloudflareのネットワークは、インターネットのどの部分からでもトラフィックをピアリングできるように、すべてのインターネットエクスチェンジ ↗(Microsoft、AWS、Googleよりも多い)に接続されています。
Cloudflareを利用する数百万の顧客がいる中、ネットワークは平均で5700万のHTTPリクエスト ↗を毎秒処理し、ピーク時には7700万を超えるHTTPリクエストを処理します。私たちはこのトラフィックを分析する中で、平均して2090億のサイバー脅威を毎日検出し、ブロック ↗しています。このネットワークは、この大規模なスケールで運営されており、当社のセキュリティ製品を利用する顧客が低遅延、高帯域幅へのアクセス、ビジネスの継続的なセキュリティを確保するための信頼性を体験できるようにしています。(注:メトリクスは2024年6月時点で正確です。)
Cloudflareのネットワークは、従来の企業ネットワークとは異なります。サービスの分離、最小特権、ゼロトラストアーキテクチャを使用して、ゼロから設計されています。公共向けのエッジサーバーと、それが存在するデータセンターは、接続性の広大な湖の中の島のように見えます — どのようなものも強力な資格情報と厳格なアクセスポリシーなしには信頼されません。
ネットワークのセキュリティアーキテクチャのユニークな側面は、anycastネットワーキングの使用方法です。すべてのデータセンターで、UDPおよびTCPの両方に対してCloudflareネットワーク範囲全体(IPv6およびIPv4)をブロードキャストします。ボーダーゲートウェイプロトコル ↗(BGP)は、インターネット全体のルーターが、トラフィックが検査される最寄りのCloudflareサーバーへの最短経路を提供することを保証します。セキュリティの観点から、これは非常に重要です。私たちのネットワークの背後にいる顧客に対する分散型サービス拒否(DDoS)攻撃の際、高帯域幅の容量と数千のローカルサーバーにリクエストを分散させることの組み合わせにより、私たちのネットワークはパフォーマンスを維持し、利用可能であり続けることができます。これは、インターネットの歴史の中で最も大規模な攻撃 ↗のいくつかの間でも同様です。
サーバーの更新(アクセスポリシー、レート制限、ファイアウォールルールなど)は、私たちのQuicksilverサービス ↗によって行われます。顧客の変更は数秒でネットワーク全体に反映され、顧客は変化するビジネス要件に迅速に対応でき、ポリシーが迅速にグローバルに実施されることを保証します。
ネットワークのすべてのレベルは、厳格なハードニングされたセキュリティコントロールに準拠しています。エッジで実行されるプロセスは、必要に応じて知ることができる基準で設計され、最小特権で実行されます。私たちはハードウェアセキュリティモジュール(HSM)を多用し、それらの中で維持されるキーは、適切なアクセスが適切なタイミングで与えられることを保証します。ネットワークへの変更に対する厳密な制御と詳細な可視性を確保するために、すべてのインフラストラクチャはコードを介して管理されています(IaC ↗)。
Cloudflareは、ネットワーク内のすべてのサーバーを設計し、所有しています。主に2つのタイプがあります。
- プライベートコアサーバー: すべての顧客設定、ログ、およびその他のデータが存在する制御プレーン。
- パブリックエッジサーバー: インターネットおよびプライベートトンネルトラフィックがCloudflareネットワークに終端し、検査されてから目的地にルーティングされる場所。
サーバーハードウェアはCloudflareによって設計され、業界で評価の高い製造業者によって構築され、包括的なサプライチェーンとセキュリティレビューを完了しています。すべてのサーバーは同一のソフトウェアスタックを実行し、一貫したハードウェア設計を可能にします。エッジサーバーのオペレーティングシステムも単一の設計であり、高度に修正されたLinuxディストリビューションから構築され、私たちのプラットフォームのスケールと速度に合わせて調整されています。CloudflareはLinuxカーネルに大きく貢献しており、私たちのサーバーとサービス ↗を保護する方法についての情報を定期的に共有し、Linuxコミュニティやインターネット全体が私たちのエンジニアリング ↗の恩恵を受けられるようにしています。
すべてのサーバーは、顧客がネットワークやアプリケーションを保護するために使用するすべてのCloudflare製品とサービスを実行します。この文書の後半では、これらのサービスの概要を提供しますが、現時点ではソフトウェアの開発に関する洞察を提供することが重要です。すべての製品の初期設計から、エンジニアリングチームはセキュリティ、コンプライアンス、リスクチームと密接に連携し、サービスのすべての側面をレビューします。これらのチームは、エンジニアリングおよび製品チームの一部と見なすことができ、外部のグループではありません。彼らはCloudflareでのすべての開発に不可欠であり、業界で最も評価の高い専門家の一部です。コードは開発の各段階でセキュリティチームによってレビューされ、脆弱性を探すためにソフトウェアを分析する多くの自動化システムを実装しています。脅威モデリングやペネトレーションテストフレームワーク(OWASP ↗、STRIDE ↗、[DREAD](https://en.wikipedia.org/wiki/DREAD_\(risk_assessment_model\))など)は、設計、開発、リリースプロセス中に使用されます。 ↗
私たちの多くの製品は、サービスの分離における最新の技術を活用したサーバーレスランタイム環境で実行されます。この安全なランタイム環境は顧客にとって非常に価値があると予想したため、製品化し、顧客が私たちのネットワーク上で自分のアプリケーションを構築し、実行 ↗できるようにしました。このことについては、この文書の最後に詳しく説明します。
私たちは、最も安全なネットワークとプラットフォームを提供するために常に革新を続けています。新しい技術は、ますます増加するセキュリティの脅威や課題を解決するために作成される必要があります。Cloudflareは、RPKI ↗を使用してBGPをさらに安全にするなど、多くのイニシアチブをリードしており、一般的なインターネットセキュリティプロトコルに関する多くのIETFグループに定期的に貢献しています。私たちは、IPv6の採用 ↗を増加させ、監視することに努めており、これは本質的により安全なインターネットを作り出します。また、量子コンピュータからの計算能力の増加が既存の暗号技術を脅かす前に、ポスト量子暗号 ↗などの技術を展開することで、将来の課題に先んじています。
ネットワークの設計だけでなく、その運用と維持も安全である必要があります。私たちは大規模に運営しており、サーバーの共通設計はソフトウェアのデプロイメントと監視を最適化するのに役立ちます。ネットワークを維持するためのアクセス権を定義することは完全に自動化されており、インフラストラクチャ・アズ・コードのプラクティスに従い、役割ベースのアクセス制御(RBAC)と最小特権の制御があらゆる場所で使用されています。
顧客は、私たちの製品やサービスに機密情報を送信します。Cloudflareのコンプライアンスチームの使命は、これらのサービスを支える基盤となるインフラストラクチャが、FedRAMP、SOC II、ISO、PCI認証、C5、プライバシー、規制フレームワークなどの業界のコンプライアンス基準 ↗を満たしていることを保証することです。コンプライアンスチームは、これらの要件を私たちの作業方法の一部として統合するために、すべてのエンジニアリング組織と協力しています。コンプライアンスの観点から、私たちの焦点は以下の領域にあります。
- 顧客データのプライバシーとセキュリティ
- コンプライアンスの検証の維持
- 顧客のコンプライアンス支援
- 規制環境の変化の監視
- 規制機関へのフィードバックの提供
私たちはまた、バグバウンティプログラム ↗を運営しており、コミュニティが脆弱性を見つけて報告するためのインセンティブを提供しています。
要約すると、Cloudflareはネットワークを保護するための適切な技術を構築しただけでなく、適切なプロセスが作成され、遵守され、監視されることを保証するために十分な人員を持った成熟したチームを持っています。Cloudflareは過去10年間にわたり成長してきた中で、業界で最高のセキュリティ知識を蓄積しており、それがトップタレントを引き寄せる要因となっています。この効果は年々積み重なり、私たちのセキュリティスキルと知識をさらに高めています。また、Cloudflareがどのようにネットワークを運営し、保護しているかについて非常に透明性があり、私たちのプロセスや進化するセキュリティアプローチについて頻繁にブログ ↗を更新しています。
Cloudflareネットワークが存在する理由は、顧客が自らの資産(ユーザー、アプリケーション、データなど)を保護するためのサービスを提供することです。以下のセクションでは、これらのサービスが何であるか、その基本的なアーキテクチャ、そして顧客がどのように使用しているかについて詳述します。このセクションでは、各サービスの詳細には踏み込んでいません。特定の製品、サービス、またはソリューションについての理解を深めるには、アーキテクチャセンター ↗や製品ドキュメントを参照してください。この文書の目的は、利用可能なセキュリティサービスの全体的なセットと、それらが設計されている一般的なユースケースについての情報を提供することです。そのため、興味のあるセクションにジャンプできるように目次を提供します。
- 公開およびプライベートリソースの保護
- 公共リソースの保護
- プライベートリソースの保護
- 可観測性
- 開発者プラットフォーム
一般的に、顧客が増大する脅威の幅と複雑さに効果的に対抗し、保護するために必要なのは、可視性、分析、検出、緩和を運用上一貫して効率的に提供する統合セキュリティソリューションです。Cloudflareは、これらのニーズにいくつかの方法で対応しています。
- 運用の一貫性:Cloudflareは、すべての管理タスクに対して単一のダッシュボード/UIを提供します。
- 運用のシンプルさ:Cloudflareは、手動設定やUIワークフローを最小限に抑えた設計のユーザーインターフェースで運用の複雑さを最小限に抑えることで知られています。さらに、製品間の統合により、設定やポリシーの自動化が可能です。
- 継続的な革新:Cloudflareは、CAPTCHAの代替製品であるTurnstileや業界初のAPIシーケンス緩和機能など、独自の差別化機能を持つ広範なセキュリティポートフォリオで革新を続けています。
- ワークロードの場所に依存しない:Cloudflareは、パフォーマンスとセキュリティサービスを中心に構築されました。そのため、マルチクラウドが本質的に主要なユースケースであるように、ワークロードの場所に依存しないようにゼロから構築されています。顧客は、複数のクラウドやオンプレミスにワークロードを展開し、同じ運用の一貫性を得ることができます。
- パフォーマンスとスケール:すべてのCloudflareサービスは、すべてのデータセンターのすべてのサーバーで実行され、最大のパフォーマンスを提供します。これにより、グローバルな到達性とレイテンシ、スケールアウトの能力を最大限に活用し、Cloudflareのグローバルインフラストラクチャの完全な能力を利用できます。
- APIファースト:CloudflareはAPIファーストです。UI/ダッシュボードから利用可能なすべての設定と機能は、APIからも利用可能です。Cloudflareは、顧客のワークフロー/プロセスの自動化をサポートするためにTerraformで簡単に構成できます。
ネットワーク、アプリケーション、デバイス、ユーザー、データを保護するCloudflareのセキュリティサービスは、以下のカテゴリにグループ化できます。
このリストはセキュリティに焦点を当てており、コンテンツ配信ネットワーク(CDN)、負荷分散、ドメイン名サービス(DNS)などの製品は含まれていません。
顧客が保護しようとしているリソースには、主に2つのタイプがあります。
- 公共リソースは、ブランドのウェブサイト、eコマースサイト、APIなど、一般のインターネットにアクセス可能なインターフェースを持つコンテンツ、資産、またはインフラストラクチャとして定義されます。また、匿名ユーザーやアクセスを得るために自分を登録する人々がアクセスできるという事実によっても定義されます。例としては、ソーシャルメディアウェブサイト、ビデオストリーミングサービス、銀行サービスなどがあります。
- プライベートリソースは、特定のユーザーセットが単一の会社、組織、または顧客に制約されているコンテンツ、資産、またはインフラストラクチャとして定義されます。これらのサービスは通常、アクセスを得るためにアカウントと資格情報を必要とします。例としては、会社のHRシステム、ソースコードリポジトリ、小売支店ネットワーク上のPOSシステムなどがあります。これらのリソースは通常、従業員、パートナー、および他の信頼できる既知のアイデンティティによってのみアクセス可能です。
公共およびプライベートリソースには、サーバーのようなインフラストラクチャレベルのコンポーネントや、ウェブサイトやAPIエンドポイントのような消費されるリソースも含まれる場合があります。ネットワークやインターネットを介した通信は、以下のオープンシステム相互接続(OSI)モデル図に示すように、異なる段階とレベルで行われます。
CloudflareはOSIモデルの複数のレイヤーで保護を提供でき、この文書では主にレイヤー3、4、および7でのリソース保護に関心があります。
- レイヤー3は「ネットワーク層」と呼ばれ、異なる2つのネットワーク間のデータ転送を促進する役割を担っています。ネットワーク層は、送信者のデバイスでトランスポート層からのセグメントを小さな単位(パケット)に分割し、受信者のデバイスでこれらのパケットを再構成します。ネットワーク層では、データが目的地に到達するための最適な物理パスを見つけるルーティングが行われます。
- レイヤー4は「トランスポート層」と呼ばれ、2つのデバイス間のエンドツーエンド通信を担当します。これには、セッション層からデータを取得し、それを「セグメント」と呼ばれるチャンクに分割してからレイヤー3に送信することが含まれます。
L3およびL4セキュリティに使用できるCloudflareのセキュリティ製品には、Magic Transit、Magic Firewall、Magic WAN、Magic Network Monitoring、およびSpectrumが含まれます。
- レイヤー7は「アプリケーション層」と呼ばれ、ユーザーが対話するソフトウェアアプリケーションの表面下または背後で発生するデータ処理の最上層です。HTTPおよびAPIリクエスト/レスポンスはレイヤー7のイベントです。
Cloudflareには、Webアプリケーションファイアウォール(WAF)、レート制限、L7 DDoS、APIゲートウェイ、ボット管理、およびページシールドを含むアプリケーションセキュリティ製品のスイートがあります。
SaaSアプリケーションは、公共およびプライベートの両方と見なされる場合があります。たとえば、Salesforceは直接インターネットに面してアクセス可能ですが、非常にプライベートな情報を含んでおり、通常はITによってプロビジョニングされた従業員アカウントのみがアクセス可能です。この文書の目的上、SaaSアプリケーションはプライベートリソースと見なします。
これらは一般的なガイドラインです。Cloudflareを使用すると、非常に敏感な内部アプリケーションが公開アクセス可能なリモートアクセスサービスによって保護されることが可能です。この文書を通じてさらに詳しく説明します。
企業は、日常のeコマース取引やブランド認知のために公共のウェブサイトやAPIエンドポイントに依存しており、しばしばビジネス全体がオンラインサービスです。高い可用性、パフォーマンス、セキュリティは最優先事項であり、顧客はCloudflareを使用してビジネスを継続的に運営できるようにしています。Cloudflareのセキュリティサービスは、詐欺、データ流出、責任を生じさせる攻撃、損失やブランドの損害を引き起こす攻撃、ビジネスを遅らせたり停止させたりする攻撃を防ぐのに役立ちます。
公共資産は、複数のフロントとさまざまな攻撃から保護する必要があるため、複数の異なるセキュリティ機能を実装する必要があります。さらに、顧客は実装するソリューションの運用効率に取り組む必要があります。異なる攻撃を緩和するために複数のポイント製品を管理したり、会社のセキュリティ目標や要件を満たすために複数のベンダーを持つことは、多くの運用上の非効率や問題を引き起こします。たとえば、複数のUI/ダッシュボード、トレーニング、製品間の統合の欠如などです。
以下の図は、公共資産に対する典型的なリクエストがCloudflareネットワークを通過する様子を示しています。私たちのセキュリティサービスは多くの機能の一部であり、Cloudflareはリクエストが最も近いデータセンターにルーティングされるリバースプロキシとして機能し、そのリクエストが目的地にルーティングされる前にパフォーマンスとセキュリティサービスが適用されます。これらのサービスは、ワークロードがどこに展開されていても簡単に統合され、一緒に使用できます。操作と実装は一貫しています。注:図はCloudflareのすべてのサービスを詳細に示しているわけではありません。
この図は以下の点を強調しています:
- 世界で最も速いDNSサービス ↗が公共ホスト名の迅速な解決を提供します
- データの検査と保存のために地理的な場所を選択する ↗ことでデータコンプライアンスを確保します
- Spectrumは、Cloudflareのセキュリティ機能をすべてのUDP/TCPアプリケーションに拡張します
- セキュリティサービスは、リクエストを一度のパスで検査します
- アプリケーションパフォーマンスサービスも同じパスでリクエストに作用します
- スマートルーティングは、Cloudflareと公共の宛先間の最も低いレイテンシパスを見つけます
Cloudflareの幅広い製品ポートフォリオは、さまざまな攻撃から保護します。以下に、いくつかの一般的な攻撃を詳しく説明し、特定の攻撃を緩和するために使用されるCloudflare製品への参照を含めます。
分散型サービス拒否(DDoS)攻撃 ↗は、ターゲットとするサーバー、サービス、またはネットワークの可用性を妨害する悪意のある試みであり、ターゲットまたはその周辺インフラストラクチャをトラフィックの洪水で圧倒します。目的は、プログラム、サービス、コンピュータ、またはネットワークを遅くしたりクラッシュさせたりすること、または容量を埋め尽くして他の誰もサービスを使用できないようにすることです。DDoS攻撃はL3、L4、またはL7で発生する可能性があり、Cloudflareはこれらの異なるレイヤーで保護を提供します。
CloudflareのL7 DDoS保護は、レイヤー7でのサービス拒否を防ぎ、Spectrumはレイヤー4で保護し、Magic Transitはレイヤー3で保護します。DDoS専用のセキュリティ製品に加えて、Cloudflareは非常に詳細なリクエストデータ(ヘッダー情報やAPIトークンを含む)に基づいてトラフィックを制限するための高度なレート制限機能を提供します。Cloudflareのボット管理機能も、ボットトラフィックを効果的に緩和することでサービス拒否攻撃を制限できます。
製品:L7 DDoS、Spectrum、Magic Transit
ゼロデイエクスプロイト(ゼロデイ脅威とも呼ばれる)は、修正が行われていないセキュリティの脆弱性を利用する攻撃です。この脆弱性が発見されると、開発者や組織には「ゼロ日」の解決策を考える時間しかありません。
Webアプリケーションファイアウォール(WAF)管理ルールを使用すると、以下に対する即時保護を提供する事前構成された管理ルールセットを展開できます:
- ゼロデイ脆弱性
- トップ10攻撃技術
- 盗まれた/公開された資格情報の使用
- 機密データの抽出
WAFは、受信するウェブリクエストをチェックし、エッジで展開されたルールセットに基づいて望ましくないトラフィックをフィルタリングします。これらの管理ルールセットはCloudflareによって維持され、定期的に更新されます。Cloudflareは、グローバルネットワーク全体から得られた広範な脅威インテリジェンスを使用して、脅威を迅速に検出し分類できます。新しい攻撃/脅威が特定されると、Cloudflareは自動的にWAFルールを顧客にプッシュし、最新のゼロデイ攻撃から保護されるようにします。
さらに、CloudflareはWAF攻撃スコアを提供しており、これはCloudflare管理ルールを補完し、攻撃のバリエーションを検出します。これらのバリエーションは、通常、悪意のある行為者によってファジング技術を使用して実現され、既存のセキュリティポリシーを回避する方法を特定しようとします。WAFは、機械学習アルゴリズムを使用して各リクエストを分類し、リクエストが悪意のあるものである可能性に基づいて1から99の攻撃スコアを割り当てます。これらのスコアを使用して、アプリケーションに許可されるトラフィックを決定するルールを作成できます。
不正アクセスは、認証の欠陥やアクセス制御の欠陥、認証の脆弱性、弱いパスワード、または簡単に回避できる承認によって引き起こされる可能性があります。CloudflareのmTLS(相互TLS)およびJWT(JSON Webトークン)検証を使用して、認証を強化できます。有効な証明書またはJWTを持たないクライアントやAPIリクエストは、セキュリティポリシーによってアクセスを拒否される可能性があります。顧客は、CloudflareダッシュボードまたはAPIからmTLS証明書を作成および管理できます。CloudflareのWAFおよび露出した資格情報チェック管理ルールセットを使用して、認証リクエストで使用される侵害された資格情報を検出できます。WAFポリシーは、異なるリクエスト基準に基づいてアプリケーション/パスへのアクセスを制限するためにも使用できます。
製品: SSL/TLS - mTLS、APIゲートウェイ(JWT検証)、WAF
Magecart ↗のようなクライアント側攻撃は、サードパーティのライブラリを侵害したり、ウェブサイトを侵害したり、脆弱性を悪用して攻撃者が制御するドメインに機密ユーザーデータを流出させることを含みます。Page Shieldは、Cloudflareのネットワーク内でのリバースプロキシとしての位置を利用して、ブラウザから直接情報を受け取ります:
- 読み込まれているJavaScriptファイル/モジュール
- 行われたアウトバウンド接続
- アプリケーションで使用されるクッキーのインベントリ(2024年後半に利用可能予定)
Page Shieldは、悪意のあるJavaScriptドメインやURLの脅威フィード検出を使用します。さらに、JavaScriptソースファイルをダウンロードし、機械学習分類器を通じて実行して悪意のある動作や活動を特定します。その結果、JavaScriptファイルが悪意のあるものであるかどうかを示すJS整合性スコアが得られます。Page Shieldは、JavaScriptファイルの変更も検出できます。新しいリソースの特定、コードの変更、悪意のあるコード/ドメイン/URLなど、さまざまな基準に基づいて、メール、Webhook、PagerDutyを使用してアラートを設定できます。
Page Shield コンテンツセキュリティポリシーを作成して適用することで、特定の種類の攻撃を検出および軽減するのに役立つ追加のセキュリティレベルを追加できます。これには以下が含まれます:
- コンテンツ/コードの注入
- クロスサイトスクリプティング(XSS)
- 悪意のあるリソースの埋め込み
- 悪意のあるiframe(クリックジャッキング)
製品: Page Shield
データ流出は、悪意のある戦術や誤って構成されたサービスを通じて機密データを取得するプロセスです。Cloudflareの機密データ検出は、一般的なデータ損失の脅威に対処します。WAF内では、これらのルールは特定の機密データのダウンロードを監視します — 例えば、財務情報や個人を特定できる情報です。機密データの特定のパターンが一致し、ログに記録されます。機密データ検出はAPIゲートウェイとも統合されており、顧客は機密データの一致を返すAPIレスポンスに対してアラートを受け取ります。
製品: WAF - 機密データ検出
資格情報の詰め込みは、あるサービスのデータ侵害から取得した資格情報を使用して、別の無関係なサービスにログインしようとするサイバー攻撃です。通常、自動化ツールやスクリプトを使用して、大量の盗まれた資格情報をループ処理し、アカウントの乗っ取りを達成するために追加のデータで強化されることがあります。
Cloudflareのボット管理を使用して、潜在的に悪意のあるボットを検出できます。Cloudflareのチャレンジを使用して、疑わしいリクエストに対してチャレンジを行い、自動化されたアクセス試行を停止することもできます。WAFポリシーは、特定のリクエスト基準を使用して攻撃を防ぐために使用できます。さらに、CloudflareのWAFおよび露出した資格情報チェック管理ルールセットを使用して、認証リクエストで使用される侵害された資格情報を検出できます。レート制限は、リクエストを制限し、悪意のある資格情報の詰め込み技術の効果を抑えることもできます。
ブルートフォース攻撃は、パスワードや手がかりを推測しようとし、ランダムな文字を使用することがあり、時には一般的なパスワードの提案と組み合わせられます。通常、自動化ツールやスクリプトを使用して、短時間で膨大な数の可能性をループ処理します。
Cloudflareのボット管理を使用して、潜在的に悪意のあるボットを検出できます。Cloudflareのチャレンジを使用して、疑わしいリクエストに対してチャレンジを行い、自動化されたブルートフォース攻撃を停止することもできます。WAFおよびレート制限ポリシーは、特定のリクエスト基準を使用して、アプリケーションのログインページに対して詳細なポリシーを適用し、トラフィックをブロックまたは制限するために使用できます。
クレジットカードスキミングは、ウェブサイトから支払い情報を盗む詐欺的な手法です。Page Shieldは、悪意のあるJavaScriptライブラリを使用しているクライアントや、既知の悪意のあるドメインやURLに接続しているクライアントを検出するために使用できます。Page Shieldは、サイトで使用されているファイル/コードの変更を検出し、コードが悪意のあるものであるかどうかを評価するJS整合性スコアをJavaScriptファイルに付与します。コンテンツセキュリティポリシー(CSP)を展開して、ポジティブなセキュリティモデルを強制することができます。これらの機能は、侵害されたコードがクレジットカードスキミングなどの悪意のある動作を実行するのを防ぐことができます。
製品: Page Shield
インベントリの蓄積は、悪意のあるボットがオンラインで大量の製品を購入し、正当な消費者がそれらを購入できないようにすることです。これにより、人工的な希少性を生み出し、価格を引き上げ、正当な顧客のアクセスを妨げるなど、企業に多くの問題を引き起こす可能性があります。Cloudflareのボット管理を使用して、潜在的に悪意のあるボットを検出できます。Cloudflareのチャレンジを使用して、疑わしいリクエストに対してチャレンジを行い、自動化されたプロセスを停止することもできます。WAFポリシーは、特定のリクエスト基準を使用して攻撃を防ぐために使用できます。
ファジング ↗は、悪意のある行為者によって使用される自動化テスト手法で、無効、不正な、または予期しない入力をシステムに注入するためにさまざまなデータとパターンの組み合わせを使用します。悪意のあるユーザーは、発見された欠陥や脆弱性を悪用しようとします。CloudflareのWAFは、セキュリティポリシーを回避しようとするファジングベースの試みを検出するために機械学習を活用します。WAF攻撃スコアは、管理ルールを補完し、攻撃の可能性を強調します。
ボット管理は、脆弱性スキャンを自動化することによって潜在的に悪意のあるボットを検出できます。APIゲートウェイを使用すると、顧客はスキーマ検証とシーケンス緩和を実施して、APIでの自動スキャンやファジング技術を防ぐことができます。
クロスサイトスクリプティング(XSS)攻撃は、悪意のあるスクリプトがウェブサイトに注入され、エンドユーザーのブラウザによってセッショントークン、クッキー、その他の情報などの機密ユーザー情報にアクセスするために使用される注入攻撃の一種です。
CloudflareのWAFは、セキュリティポリシーを回避しようとする試みを検出するために機械学習を活用し、リクエストがXSS攻撃である可能性に対して特定のWAF攻撃スコアを提供します。
製品: WAF
リモートコード実行(RCE)攻撃では、攻撃者が組織のコンピュータやネットワーク上で悪意のあるコードを実行します。攻撃者が制御するコードを実行する能力は、追加のマルウェアを展開したり、機密データを盗んだりするなど、さまざまな目的に使用される可能性があります。
CloudflareのWAFは、セキュリティポリシーを回避しようとする試みを検出するために機械学習を活用し、リクエストがRCE攻撃である可能性に対して特定のWAF攻撃スコアを提供します。
製品: WAF
構造化クエリ言語インジェクション(SQLi)は、SQLデータベースからデータを変更または取得するために使用されるコードインジェクション技術です。特殊なSQL文を入力フィールドに挿入することにより、攻撃者はデータベースからデータを取得したり、機密データを破壊したり、その他の操作を実行することができます。
CloudflareのWAFは、セキュリティポリシーを回避しようとする試みを検出するために機械学習を活用し、リクエストがSQLi攻撃である可能性に対して特定のWAF攻撃スコアを提供します。
製品: WAF
マルウェアは、ウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェア、アドウェア、その他の有害なソフトウェアを指すことがあります。マルウェアの重要な特徴は、意図的に悪意のあるものである必要があることです。意図せずに害を引き起こすソフトウェアは、マルウェアとは見なされません。
アップロードされたコンテンツスキャンが有効になっている場合、コンテンツスキャンは、アップロードされたファイルなどの項目を検出し、マルウェアのような悪意のある署名をスキャンしようとします。スキャン結果と追加のメタデータは、WAFカスタムルールで利用可能なフィールドとして公開され、顧客が詳細な緩和ルールを実装できるようにします。
この文書では、一般的な攻撃と、それぞれの脅威を検出および軽減するために使用されるCloudflare製品のいくつかをカバーしました。以下では、Cloudflareのアプリケーションおよびネットワークセキュリティポートフォリオ全体にわたる各製品の追加の詳細を強調し提供します。
セキュリティ分析は、Cloudflareのすべてのセキュリティ検出機能を1つのダッシュボードに統合します。顧客は、軽減されたトラフィックと軽減されていないトラフィック、攻撃トラフィック、ボットトラフィック、悪意のあるコンテンツのアップロード試行、レート制限分析およびアカウント乗っ取り分析に関する詳細を迅速に確認できます。検出された脅威を表示するダッシュボードから、ボタンをクリックするだけで、顧客は軽減のためのポリシーを実施するためのアクションを取ることができます。
CloudflareのWAFを使用することで、顧客は非常に詳細なリクエスト基準に基づいてカスタムルールを展開し、特定の脅威を軽減したり、特定のHTTP異常を持つリクエストをブロックしたりできます。さらに、顧客はCloudflare管理ルールを展開して、ゼロデイ攻撃、一般的なOWASPトップ10攻撃、既知の漏洩した資格情報を使用するリクエスト、機密データを抽出するリクエストを軽減できます。
WAF管理ルールを使用すると、顧客は事前に構成された管理ルールセットを展開し、以下に対して即時の保護を提供します:
- ゼロデイ脆弱性
- トップ10攻撃手法
- 盗まれた/露出した資格情報の使用
- 機密データの抽出
レート制限は、ボリューム攻撃、資格情報の詰め込み、ウェブスクレイピング、DoS攻撃など、さまざまな攻撃を軽減するために使用できます。Cloudflareのレート制限を使用すると、顧客は式に一致するリクエストのレート制限を定義し、それらのレート制限が達成されたときに実行するアクションを指定できます。レート制限は、特定のリクエストまたはヘッダー基準に基づいて詳細に設定でき、セッションやAPIトークンに基づいても設定できます。顧客は、指定されたレートを超えた場合のアクションとして、ログ記録、ブロック、チャレンジを構成できます。
顧客は、制限を超えた後にスロットルまたはブロックを決定するためのカウンターとして使用されるリクエスト基準を構成することもできます。顧客は、レート制限に対して2つの異なる動作を実装できます:
- 選択した期間ブロック。レートが超過されると、WAFはカウンターがリセットされる前に選択した期間中、すべてのリクエストをブロックします。
- 最大構成レートを超えるリクエストをスロットル。WAFは、構成されたレートを超えるリクエストをブロックし、残りのリクエストは許可されます。この動作のアナロジーは、スライディングウィンドウ効果です。
CloudflareのHTTP DDoS攻撃保護管理ルールセットは、Cloudflareのグローバルネットワーク上でレイヤー7(アプリケーション層)の既知のDDoS攻撃ベクトルに一致するために使用される事前構成されたルールのセットです。これらのルールは、既知の攻撃パターンやツール、疑わしいパターン、プロトコル違反、大量のオリジンエラーを引き起こすリクエスト、オリジン/キャッシュに対する過剰なトラフィック、アプリケーション層での追加の攻撃ベクトルに一致します。Cloudflareは、管理ルールセット内のルールのリストを定期的に更新します。
API Gateway は、Cloudflare の API 管理およびセキュリティ製品です。API Gateway は、API 発見と分析を通じて可視性を提供し、エンドポイント管理を行い、ポジティブセキュリティモデルを実装し、API の悪用を防ぎます。
API Gateway の API 発見は、機械学習を使用して顧客の環境内のすべての API エンドポイントを学習するために使用されます。このステップの後、顧客はエンドポイントをエンドポイント管理に保存し、追加の API パフォーマンスとエラー情報を収集し、セキュリティポリシーを適用できます。
顧客は、mTLS、JWT 検証、スキーマ検証を使用してポジティブセキュリティモデルを有効にし、レート制限やボリュメトリックな悪用保護、シーケンス緩和、GraphQL 保護を通じて追加の API 悪用から保護できます。
ボット管理 は、ウェブスクレイピング、価格スクレイピング、在庫の蓄積、資格情報の詰め込みなど、さまざまな悪意のある活動を軽減するために使用されます。Cloudflare には、ヒューリスティック、機械学習、異常検出、JS フィンガープリンティングを含む多層のボット軽減機能があります。ボット管理は、すべてのリクエストにボットスコアを割り当てることもできます。ボットスコアに基づいて WAF ルールを作成することで、非常に詳細なセキュリティポリシーを作成できます。
さらに、Cloudflare は、望ましくないボット活動が疑われる場合にクライアントに挑戦するアクションを取ることができます。Cloudflare は、リクエストの特性に基づいて適切なタイプのチャレンジを動的に選択する Managed Challenge プラットフォームを提供しています。これにより、顧客体験を損なう CAPTCHA を回避できます。
リクエストの特性に応じて、Cloudflare は適切なタイプのチャレンジを選択します。これには、以下が含まれる場合がありますが、これに限定されません:
- 非対話型チャレンジページ(現在の JS チャレンジに似ています)。
- カスタム対話型チャレンジ(ボタンをクリックするなど)。
- プライベートアクセス トークン(最近の Apple オペレーティングシステムを使用)。
Turnstile を使用することで、Cloudflare は完全に CAPTCHA から移行しました。Turnstile は、Cloudflare のスマート CAPTCHA の代替品です。これは、トラフィックを Cloudflare 経由で送信することなく、任意のウェブサイトに埋め込むことができ、訪問者に CAPTCHA を表示することなく機能します。Turnstile を使用すると、サイトのどこでもチャレンジを実行でき、より侵入的でない方法で Cloudflare の Managed Challenge プラットフォームと通信するために API を使用します。
ページシールド は、ウェブサイト訪問者のブラウザ環境の安全性を確保し、Magecart のようなクライアント側攻撃から保護します。ブラウザから情報を収集するためにレポート専用ディレクティブで展開されたコンテンツセキュリティポリシー (CSP) を使用することで、ページシールドはスクリプトなどの読み込まれたリソースを追跡し、ブラウザによって作成される新しいリソースや接続を検出します。さらに、ページシールドは、悪意のあるドメインや URL からのスクリプトや、ブラウザから悪意のあるドメインや URL への接続を検出した場合に顧客に警告します。
ページシールドは、JavaScript ソースファイルをダウンロードし、機械学習分類器を通じて実行して悪意のある動作や活動を特定できます。その結果、JavaScript ファイルが悪意のあるものであるかどうかを示す JS インテグリティスコアが得られます。
Cloudflare の SSL/TLS は、顧客の暗号化要件と証明書管理ニーズを満たすための多くの機能を提供します。SSL/TLS 証明書は、ウェブサイトやアプリケーションが安全な接続を確立することを可能にします。SSL/TLS を使用すると、クライアント(ブラウザなど)は、接続しているサーバーの信頼性と完全性を確認し、情報を交換するために暗号化を使用できます。
Cloudflare のグローバルネットワークは、Cloudflare が提供するいくつかの製品やサービスの中心にあります。SSL/TLS に関しては、1 つのリクエストに 1 つの証明書だけでなく、実際には 2 つの証明書が関与する可能性があります:エッジ証明書とオリジン証明書です。
エッジ証明書は、顧客のウェブサイトやアプリケーションを訪問するクライアントに提示されます。オリジン証明書は、Cloudflare と顧客のウェブサイトやアプリケーションのオリジンサーバーの間のネットワークの反対側でのセキュリティと認証を保証します。SSL/TLS 暗号化モード は、Cloudflare がこれらの証明書をどのように使用するかを制御し、さまざまなモードの中から選択できます。
顧客は、ホスト名や API エンドポイントのセキュリティを強化するために 相互トランスポート層セキュリティ (mTLS) を有効にし、有効な証明書を持つデバイスのみがアクセスできるように強制できます。認証済みオリジンプル のような追加のセキュリティ機能を構成して、オリジンサーバーへのリクエストが Cloudflare ネットワークから来ることを保証できます。Keyless SSL は、セキュリティを重視するクライアントが独自のカスタム証明書をアップロードし、TLS プライベートキーを公開することなく Cloudflare の利点を享受できるようにします。Cloudflare for SaaS を使用すると、顧客は自社の顧客向けに証明書を発行および検証することもできます。
Cloudflare セキュリティセンター は、IT 資産をインベントリし、潜在的なセキュリティ問題を列挙し、フィッシングやなりすましのリスクを制御し、セキュリティチームが数回のクリックで脅威を調査し軽減できる攻撃面管理 (ASM) を提供します。セキュリティセンターは、セキュリティアナリストがすべてのアプリケーション/ドメインにわたるすべての潜在的な問題をグローバルに把握するための素晴らしい出発点です。
提供される主な機能:
- ドメイン、ASN、IP などの IT インフラストラクチャ資産をインベントリし、レビューします。
- Cloudflare IT 資産の誤設定やリスクの常に最新のリストを管理します。
- Cloudflare ネットワークから収集された脅威データを照会して、セキュリティリスクを調査し、対応します。
- DMARC 管理を使用して、組織の名義で誰がメールを送信するかを完全に制御します。
自社の SaaS 製品を構築およびホストしている場合、Cloudflare for SaaS が興味深いかもしれません。これにより、顧客は独自のカスタムまたはバニティドメインを介して Cloudflare のネットワークのセキュリティとパフォーマンスの利点を顧客に拡張できます。Cloudflare for SaaS は、複数の構成オプションを提供します。以下の図では、カスタムホスト名が「フォールバックオリジン」と呼ばれるデフォルトのオリジンサーバーにルーティングされます。
マジックトランジット は、DDoS 攻撃から全 IP サブネットを保護し、サブ秒の脅威検出を提供し、ネットワークトラフィックを加速します。Cloudflare のグローバルネットワークを使用して攻撃を軽減し、BGP、GRE、IPsec などの標準ベースのネットワーキングプロトコルを使用してルーティングとカプセル化を行います。
すべてのネットワーク資産は、オンプレミスまたはプライベートまたはパブリックホストされたクラウド環境にかかわらず、Cloudflare ネットワークの背後に座って広告を出すことで簡単に保護できます。これにより、280 Tbps を超えるネットワーク容量が提供されます。
マジック WAN を使用すると、顧客はデータセンター、オフィス、デバイス、クラウドプロパティなど、任意のトラフィックソースを Cloudflare のネットワークに安全に接続し、ビットを必要な場所に送信するためのルーティングポリシーを構成できます。マジック WAN は、Anycast GRE や IPsec トンネル、Cloudflare ネットワークインターコネクト、Cloudflare トンネル、WARP、さまざまなネットワークオンランプパートナーなど、さまざまなオンランプをサポートしています。マジック WAN は、従来の SD-WAN アプライアンスへの依存を終わらせ、Cloudflare のグローバルネットワークを介してユーザー、オフィス、データセンター、ハイブリッドクラウドを安全に接続します。
マジックファイアウォール は、Cloudflare のファイアウォールとしてのサービスソリューションで、Cloudflare のグローバルネットワークから提供され、マジックトランジットおよびマジック WAN と統合されています。これにより、顧客の WAN 全体にわたって一貫したネットワークセキュリティポリシーを強制できます。顧客は、プロトコル、ポート、IP アドレス、パケット長、ビットフィールドマッチに基づいてグローバルにフィルタリングする詳細なルールを展開できます。
マジックネットワークモニタリング は、顧客にエンドツーエンドのネットワークトラフィックの可視性、DDoS 攻撃タイプの特定、ボリュメトリックトラフィックアラートを提供するクラウドネットワークフローモニタリングソリューションです。DDoS 攻撃が検出されると、メール、Webhook、または PagerDuty を介してアラートを受信できます。
スペクトル は、L4 DDoS 保護を提供するすべての TCP/UDP アプリケーションに Cloudflare の利点を拡張するリバースプロキシ製品です。スペクトルは、顧客がアプリケーションサーバーへのトラフィックを詳細に制御するために IP を拒否したり、IP 範囲を拒否したりすることを可能にする IP ファイアウォールも提供します。顧客は、特定の国からの訪問者をブロックするルールや、特定の自律システム番号 (ASN) をブロックするルールを構成することもできます。
プライベートリソースは通常、高度に機密性の高い企業の機密情報を含んでおり、法律や規制、またはデータの機密性の性質によって、アクセスははるかに制限されています。従来、プライベートアプリケーションは、ユーザーが物理的にアクセスできる会社の建物内のプライベートネットワークでのみアクセス可能でした。しかし、今日では、プライベートリソースへのアクセスはさまざまな場所から行う必要があり、逆説的に、プライベートアプリケーションは非常に公共の場所に存在することがあります。ほとんどの SaaS アプリケーションは、公共のインターネットに公開されています。
以下は、プライベートリソースの典型的な属性です:
- ユーザーは事前に承認され、プロビジョニングされています。彼らは単にサインアップすることはできません。リソースへの特定のアクセスを、証明書、グループメンバーシップ、または役割の割り当てなどのアクセス制御メカニズムを介して直接与えられる必要があります。
- 自己ホストされたリソースへのネットワークアクセスは、通常、管理されたプライベートネットワークルートを介して行われ、一般のインターネットを介してアクセスできません。
- プライベートリソースは、データセンター(物理的または仮想的)に存在し、企業がホストおよび管理するネットワークに接続されており、オンプレミスまたは公共クラウドインフラストラクチャで実行される仮想プライベートネットワークです。
前述のように、従来のプライベートリソースへのアクセスは、イーサネットを介して接続されたオフィスにいることでネットワークへの物理的アクセスを必要としました。リモートアクセスのニーズが高まるにつれて、企業はユーザーやデバイスがこれらのプライベートネットワークに「ダイヤルイン」できるようにするオンプレミスの VPN サーバーを設置しました。多くのアプリケーションはこれらのプライベートネットワークを離れ、代わりに SaaS アプリケーションに移行したり、公共クラウドインフラストラクチャにホストされたりしています。この従来のアプローチは、管理が難しく、コストがかかり、さまざまな技術がネットワーク接続とアクセス制御を提供しています。
もう一つ重要な点は、公共リソースのセキュリティと接続を提供するために使用される多くのサービスが、プライベートリソースにも使用できるということです。ここで最も明白なのは、マジック WAN とマジックファイアウォールです。顧客は、プライベートネットワークを介してのみアクセス可能なプライベートホストアプリケーションの前に WAF を使用することもあります。アイデアは、アプリケーションへのアクセスが信頼されたプライベート接続からのみであっても、攻撃者が信頼されているように見えるデバイスを侵害する可能性があるため、アプリケーションインジェクション攻撃やその他の脆弱性が、既存の信頼されたネットワークアクセスを持つデバイスによって悪用される可能性があるということです。これは、ゼロトラストセキュリティプログラムの考え方と一致しています。SASE プラットフォームを使用したゼロトラストへのアプローチについては、SASE リファレンスアーキテクチャで詳しく説明しています。
以下に説明する Cloudflare サービスを通じて、Cloudflare ネットワークとそれを自社のプライベートネットワークに接続する方法が、プライベートリソースへのアクセスに対してより高いセキュリティ、柔軟性、そしてより集中化された制御プレーンを提供することを学ぶことができます。以下の図は、典型的な顧客のプライベートインフラストラクチャを表す環境の種類を示しています。
内部リソースの保護は、以下の領域に分けることができます。
- ユーザーとアプリケーション/ネットワーク間の接続を確保すること。
- 認証を提供し、ユーザーのアイデンティティとグループメンバーシップを維持するアイデンティティシステム。
- アプリケーション/データへのユーザーアクセスを制御するポリシー。
- 機密性の高いデータを特定し保護するためのデータ保護コントロール。
- インターネットへのアクセスから発生する攻撃(マルウェア、フィッシングなど)からユーザーとデバイスを保護すること。
- ITおよびセキュリティチームへの運用可視性。
多くのプライベートホストされたアプリケーションやネットワークは、インターネットへの直接接続を持っていません。前述のように、アクセスは通常、2つの方法のいずれかによって有効にされます。1つは、ユーザーがプライベートリソースが存在する同じネットワークに物理的に接続する場合、つまりオフィスに入ってオフィスのWiFiに接続することです。もう1つは、インターネット経由で仮想プライベートネットワーク(VPN)接続を作成し、プライベート企業ネットワークに「ダイヤルイン」することです。
しかし、今日のニーズは依然として同じです。プライベートアプリケーションを持つプライベートネットワークがあり、リモートユーザーがアクセスする必要があります。Cloudflareを新しい企業ネットワークとして考慮すべきです。すべての認可されたユーザー(従業員、契約者、パートナー)がどこからでも任意のプライベートアプリケーションに接続できるようになります。これは、ネットワークトポロジーがCloudflareを中心に配置され、すべてのネットワーク間の接続を提供することを意味します。
上の図では、Cloudflareに接続されたさまざまなプライベートネットワークとエンドユーザーデバイスが表示されており、Cloudflareがそれらのネットワーク間のルーティングとアクセス制御を促進し、したがってアプリケーションやその他のリソースにアクセスできるようにしています。これは、東から西へのトラフィックと見なされることがよくあります。トラフィックは、プライベートに管理されたネットワークから発生し、プライベートに管理されたネットワークに向かっています。
すべてのネットワークトラフィックがCloudflareを経由するため、セキュリティコントロールは定義され、ネットワーク間を流れるすべてのトラフィックに適用されます。ネットワーク、デバイス、またはユーザーがCloudflareに接続されている限り、それを特定し、ポリシーを適用できます。また、データ保護のようなものも簡素化できます — 機密データの転送とアクセスを検出するための1つのルールを実装でき、ネットワーク全体に簡単に適用できます。
既存のプライベートインフラストラクチャは複雑な場合があります。Cloudflareは、企業がそのネットワークとユーザーデバイスをこの新しい企業ネットワークに接続するためのさまざまな方法を提供します。これらの方法を「オンランプ」と呼ぶことがよくあり、特定のネットワークまたはデバイスのトラフィックがCloudflareにルーティングされる方法を説明しています。以下の表は、これらの異なる方法を概説しています。
| Method | Description | Common Use |
|---|---|---|
| Magic WAN | ネットワーキングデバイスからCloudflareへのIPsecまたはGREトンネル、全ネットワークトラフィックをルーティングします。 | 既存のネットワークルーターをCloudflareに接続します。ネットワークへのすべてのトラフィックがCloudflareを経由するようにします。 |
| Magic WAN Connector | ネットワーキングデバイスからCloudflareへのアプライアンスベースのIPsecまたはGREトンネル、全ネットワークトラフィックをルーティングします。 | Magic WANと同じ技術を使用しますが、既存のネットワーキングデバイスの代わりに、専用のアプライアンスまたは仮想マシンを使用します — Magic WAN Connectorです。 |
| cloudflared | プライベートアプリケーションまたはネットワークへの着信接続のためのトンネルを作成するために、サーバー上またはKubernetesのようなサービスと一緒に展開されるソフトウェアエージェント。 | IT管理者やアプリケーションオーナーは、このトンネルソフトウェアを簡単にインストールして、アプリケーションをCloudflareネットワークに公開できます。 |
| WARP Connector | プライベートアプリケーションまたはネットワークへの着信および発信接続のためのトンネルを作成するために、サーバー上に展開されるソフトウェアエージェント。 | cloudflaredに似ていますが、東から西へのトラフィックをサポートし、既存のデバイスからIPsecトンネルを作成する能力がない場合にMagic WANの代わりに使用されることがよくあります。 |
| WARP Desktop Agent | ユーザーデバイスに展開され、プライベートアプリケーションおよびネットワークとのトラフィックのためのトンネルを作成します。 | スマートフォンやノートパソコンなどのエンドユーザーデバイスをCloudflareネットワークの一部として接続します。 |
| Cloudflare Network Interconnect ↗ | あなたの物理ネットワークとCloudflareの間の直接接続。 | あなたのアプリケーションが私たちが運営する同じデータセンターにある場合、これらのネットワークをCloudflareに直接接続できます。 |
これらの方法がどのように機能するかの詳細については、私たちの SASEリファレンスアーキテクチャを参照してください。
上記のすべての方法は、ネットワークとアプリケーションをCloudflareに接続するためのものであり、一部のユーザーはそれらのネットワークに直接接続されたデバイス上にいます。彼らは企業本社にいるか、支店や小売店から働いているかもしれません。しかし、多くのユーザーは自宅で働いていたり、コーヒーショップに座っていたり、飛行機で働いていたりします。Cloudflareは、ユーザーをCloudflareに接続するための以下の方法を提供します。これは、ユーザーデバイスにVPNクライアントをインストールするという同じ概念ですが、接続は自社のVPNアプライアンスではなく、私たちのグローバルネットワークに行われます。
最高のユーザーエクスペリエンスと最大のアクセス制御を実現するために、私たちのデバイスエージェントをデバイスに展開することをお勧めします。Windows、macOS、Linux、iOS、およびAndroidでサポートされているこのエージェントは、主に2つの役割を果たします。まず、デバイスからCloudflareへのすべてのトラフィックをルーティングし、既存の接続されたプライベートネットワークとアプリケーションへのアクセスを可能にします。次に、エージェントはオペレーティングシステムのバージョン、暗号化されたストレージの状態、その他の詳細などのデバイスの姿勢情報を提供します。この情報は認証されたユーザーに関連付けられ、アクセス制御ポリシーの一部として使用できます。エージェントは手動でインストールできますが、ほとんどの企業はデバイス管理(MDM)ソフトウェアを使用して展開します。
エンドユーザーデバイスにソフトウェアをインストールできない場合があります。その場合、CloudflareはブラウザがトラフィックをCloudflareにオンランプするように構成できるプロキシエンドポイントを提供します。これは、エンドユーザーによって手動で行われるか、自動ブラウザ構成ファイルを使用して行われます。
場合によっては、エンドデバイスを何らかの方法で変更する能力がないことがあります。その場合、ユーザーが私たちのエッジネットワーク上で直接実行されるブラウザにアクセスできる機能を提供します。このブラウザアイソレーションサービスでは、ユーザーはCloudflareのURLを指し示す必要があり、それが私たちのエッジサーバーの1つでヘッドレスで安全なブラウザを実行します。安全なベクトルはHTTPSおよびWebRTC接続を介して使用されます。詳細については、このアーキテクチャを参照してください。
ユーザーは単にサインアップしてプライベートリソースにアクセスすることはできません。彼らのアイデンティティと関連する資格情報は通常、企業のアイデンティティプロバイダー(IdP)で作成および管理されます。Cloudflareは、企業および消費者ベースのアイデンティティサービスと統合し、ユーザーをメールアドレスのみで認証する必要がある場合に、シンプルなワンタイムパスワード(OTP)をメールで提供します。
Cloudflareは、同じタイプの複数のアイデンティティプロバイダーとの統合をサポートしています。したがって、従業員のためにOktaインスタンスを管理している場合でも、独自のOktaインスタンスを持つ別の会社を取得した場合でも、両方をCloudflareと統合できます。Cloudflareは、SSOプロセスのプロキシとして機能します。アプリケーションは、Cloudflareを認証に使用するようにSAMLおよびOIDCを使用して構成され、その後Cloudflareは統合されたIdPの認証フローを通じてユーザーをリダイレクトします。グループ情報もSCIMを介してCloudflareに同期され、アクセス制御ポリシーで使用されます。
アイデンティティを共通のアクセス制御層に集中させることで、ネットワーク全体に適用できる明確に定義された管理しやすいポリシーを構築できます。次に、1つのIdPから別のベンダーに移行することを決定した場合、Cloudflareとのアイデンティティ統合を1つ変更するだけで済み、すべての下流アプリケーションと既存のポリシーは引き続き機能します。
この文書の焦点はセキュリティに関するものであり、アプリケーション、デバイス、アイデンティティ、ネットワークがすべて接続されているため、ネットワーク上の任意のリソースへのすべてのリクエスト、およびインターネットへのリクエストは、Cloudflareのアクセス制御およびファイアウォールサービスの対象となります。ポリシーベースの制御をトラフィックに適用する2つのサービスがあります。
- ゼロトラストネットワークアクセス: 私たちのAccess製品は、プライベートと見なされる特定のネットワークまたはアプリケーションへのアクセスを管理します。既存のアイデンティティプロバイダーを介してユーザーの認証を強制するか、サービストークンまたはmTLSを介して他のアプリケーションの認証を強制します。
- セキュアウェブゲートウェイ: 私たちのGateway製品は、トラフィックを分析し、ポリシーを適用するために使用されます。これは、宛先に関係なく使用されます。最も一般的には、インターネットに向かうトラフィックを許可、ブロック、または隔離するために使用されます。これはSaaSアプリケーションへのアクセス制御を適用するために使用できますが、Cloudflareを経由するすべてのトラフィックはGatewayによって検査され、処理される可能性があります。したがって、非インターネットのプライベートトンネルアプリケーションに追加のアクセス制御を追加するためにも使用できます。
これらの2つの技術は、プライベートアプリケーションへの適切なアクセスを確保するために組み合わせることができます。私たちのデバイスエージェントがインストールされているユーザーの場合、ポリシーにはデバイスレベルの要件も含めることができます。アイデンティティデータと組み合わせると、次のようなポリシーを作成して、たとえば内部データベース管理ツールへのアクセスを制御できます。
- ユーザーは会社のIdPを介して認証され、認証の一部としてMFAを使用する必要があります。
- ユーザーはIdPの「データベース管理者」グループに所属している必要があります。
- ユーザーのデバイスはCrowdstrikeのリスクスコアが70以上である必要があります。
- ユーザーのデバイスはオペレーティングシステムの最新リリースである必要があります。
複数のポリシーに適用できるユーザーのアクセスグループを定義することが可能です。これにより、ITおよびセキュリティ管理者は、安全な管理者の定義を1つ作成し、それを多くのポリシーで再利用できるようになります。
すべてのトラフィックがCloudflareを経由して流れるため、すべてのデータもCloudflareを経由して流れます。これにより、そのトラフィックにデータコントロールを適用できます。通常、従業員は、デバイスエージェントがCloudflare証明書をインストールする管理されたデバイス上でのみ、機密アプリケーションやデータへのアクセスが許可されます。これにより、HTTPSウェブトラフィックの内容を検査でき、データを管理および保護するためのポリシーを作成できます。
Cloudflareには、機密データを特定するために使用できるプロファイルを定義するデータ損失防止(DLP)サービスがあります。これらのプロファイルは、特定のトラフィックに一致させて許可、ブロック、または隔離するためにGatewayポリシーで使用されます。
同じDLPプロファイルは、CloudflareがAPIを介してSaaSアプリケーションに統合されているCloud Access Security Broker(CASB)サービスでも使用できます。私たちは、そのアプリケーションのストレージと設定をスキャンし、誤設定や公開されている機密データを探します。
このセクションの多くは、プライベートネットワークやアプリケーションへのアクセスを保護することに焦点を当てていますが、企業は従業員とそのデバイスも保護する必要があります。私たちのセキュアウェブゲートウェイ(SWG)サービスは、Cloudflareに接続されたユーザーと、彼らがアクセスしようとしているリソース(公開およびプライベート)の間に位置します。ポリシーを作成して、従業員が高リスクのウェブサイトやマルウェアを配布する既知のサイトにアクセスするのを防ぐことができます。また、フィッシング攻撃を軽減するために、フィッシングキャンペーンの一部であることが知られているドメインやウェブサイトへのアクセスをブロックするポリシーも作成できます。インターネットの脅威からユーザーとそのデバイスを保護することは、同じユーザーやデバイスがプライベートリソースにアクセスする際の関連リスクを減少させます。
保護すべきもう一つの重要なプライベートリソースはメールです。これは、組織全体の機密通信を含むため、最もプライベートなリソースの一つです。また、フィッシング攻撃による一般的な攻撃対象でもあります。メールセキュリティ ↗(CES)は、従業員の受信トレイ内のすべてのメールを検査し、偽造、悪意のある、または疑わしいメールを検出し、それに応じて行動するように設定できます。CESは、ドメインMXレコードを変更し、すべてのメールをCloudflare経由でリダイレクトすることで統合できます。MicrosoftやGoogleの場合は、APIを介して統合し、ユーザーの受信トレイにすでにあるメールを検査することも可能です。疑わしいメールについては、メール内のリンクが書き換えられ、Cloudflareのブラウザアイソレーションサービスを活用して、ユーザーがそのウェブサイトにアクセスする際に、ローカルマシンがブラウザ内で実行される可能性のある悪意のあるコードから保護されます。
リソースがプライベートであろうとパブリックであろうと、何が起こっているのかを可視化することは重要です。Cloudflareの管理ダッシュボードには、迅速な概要を得るための幅広い組み込みダッシュボードとレポートがあります。重要なイベントについて管理者に通知するために、メールやPagerDutyなどのサービスを介して通知を設定することもできます。
すべてのCloudflareサービスは、アクティビティに関する詳細なログを提供します。これらのログは、ログシッピング統合を介して他のセキュリティ監視またはSIEMツールにエクスポートすることもできます。AWS、Datadog、Splunk、New Relic、Sumo Logicなどの一般的なサービス向けの組み込み統合があります。また、AzureやGoogleストレージ、Amazon S3およびS3互換サービスへのログの一般的な配布もサポートしています。
要約すると、以下の図はCloudflareのSASEサービスがどのように接続され、プライベートリソースへのアクセスを保護できるかを示しています。より詳細なレビューについては、私たちのSASEリファレンスアーキテクチャをお読みください。
Cloudflareの多くのセキュリティサービスは、V8 Isolates ↗に基づく高度に最適化されたサーバーレスコンピューティングプラットフォーム上に構築されています。すべてのサービスと同様に、サーバーレスコンピューティングワークロードは、私たちのグローバルネットワーク内のすべてのサーバーで実行されます。私たちのセキュリティサービスは幅広い機能を提供しますが、顧客は常に独自のカスタムソリューションを書くための究極の柔軟性を求めています。したがって、顧客はCloudflare Workersとその付随するサービス(R2、D1、KV、Queues)を使用して、リソースへのトラフィックの流れに対して相互作用し、複雑なセキュリティロジックを実装できます。
以下のユースケースは、私たちの顧客のセキュリティチームがどのように私たちの開発者プラットフォーム ↗を使用しているかを示しています:
- ZTNAサービスであるCloudflare Accessでは、プライベートリソースにアクセスするためのリクエストが行われると、そのリクエストにはユーザーに関するすべての情報を渡すCloudflare Workerへの呼び出しが含まれることがあります。アクセスを決定するためにカスタムビジネスロジックを実装できます。例えば:
- 従業員の勤務時間中のみアクセスを許可します。従業員システムへのAPI呼び出しをチェックします。
- PagerDutyでインシデントが宣言されている場合のみアクセスを許可します。
- ボット用のハニーポットを実装します:Workersは、Cloudflareで保護されたリソースの任意のルートに接続できるため、リクエストのボットスコアを調べ、正当なトラフィックでないと疑われる場合はリクエストをリダイレクトまたは変更できます。例えば、リクエストを実行しますが、応答を変更して情報を削除したり、データを保護するために値を変更したりします。
- 複雑なウェブアプリケーションファイアウォール(WAF)タイプのルールを書く:上記のように、私たちのWAFは公開アプリケーションを保護するために非常に強力です。しかし、Workersを使用すると、IncomingRequestCfPropertiesで提供される情報に基づいて非常に複雑なルールを書くことができます。これらのプロパティは、すべてのリクエストのメタデータを公開し、効果的なルール実装のためにコードとして表現できます。
- 追加のセキュリティ情報でトラフィックを強化します:下流のアプリケーションには、他のセキュリティ製品が前面にある場合や、特定のHTTPヘッダーが存在する場合に他のセキュリティを提供する場合があります。Workersを使用すると、アプリケーションへのリクエストを強化し、下流のアプリケーションがより大きなセキュリティコントロールを実装できるようにヘッダーを追加できます。
- 独自の認証サービスを書く:一部の顧客には極端な要件があり、Workersの力を利用して、私たちの製品スイートと同様に、完全な認証スタックを書くことができます。そのような顧客は実際にこれを行いました ↗。これは一般的ではありませんが、Cloudflareを使用する柔軟性の一例です。あなたが書いた複雑なコードと私たちの製品を組み合わせて、正確に適切なセキュリティ結果を微調整できます。
Workersを使用してセキュリティコントロールの一部を実装することには、以下の利点があります:
- 高度なロジックとテスト可能性:ユニットテストを通じて簡単にテストできる高度に洗練されたロジックの実装を可能にします。
- 開発者へのアクセス性:セキュリティ機能は、JavaScript、TypeScript、Rust、Pythonなどの言語でのネイティブサポートにより、より広いオーディエンスにアクセス可能です。
- 粒度と柔軟性:比類のない粒度を提供し、正規表現、JSON解析、Cloudflareによって強化されたリクエスト/レスポンスヘッダーおよびボディへの簡単なアクセスをサポートします。ポリシーは、リクエスト/レスポンスの任意の機能に基づいて設計できます。
- 応答の変更:従来のセキュリティスタックはリクエストにのみ焦点を当てることが多いですが、Workersは応答の変更を容易にします。例えば、冗長なエラーメッセージを隠してセキュリティを強化できます。
- DevSecOpsライフサイクルの実装:Workersは、バージョン管理、コード監査、自動テスト、段階的ロールアウト、ロールバック機能など、DevSecOpsのベストプラクティスに従うことを非常に簡単にします。
ただし、以下の点も考慮する必要があります:
- コスト:リクエストプロセスにWorkersを追加すると、追加のコストが発生します。ただし、重要なセキュリティ結果が非常に有益なシナリオでは、これは受け入れられるかもしれません。
- レイテンシ:最小限ではありますが、すべてのリクエストで独自のロジックを実行するため、トラフィックのレイテンシに影響があります。
- 開発者スキルセットが必要:これは明らかですが、言及する価値があります。Workersを使用するには、開発チームが実装されたコードを作成、テスト、維持する必要があります。
私たちのWorkersプラットフォームがセキュリティや認証のユースケースにどのように使用できるかのいくつかの例を確認できます。
Cloudflareネットワークの大規模さ、どのように保護され運用されているか、ビジネス資産を保護するために利用できる幅広いサービスについて、良い理解を得られたことでしょう。私たちはネットワーキングとセキュリティの未来を構築しており、ビジネスをより安全にするために私たちのサービスを利用することを検討するよう招待します。
要約すると、Cloudflareをビジネスのセキュリティに使用する利点は以下の通りです:
- 公開またはプライベートのすべてのビジネス資産を保護します。
- 単一のプラットフォーム上で包括的なセキュリティサービスの範囲を活用します。
- 高パフォーマンスと信頼性を備えた大規模なネットワークに依存します。
- 一度だけセキュリティコントロールを実装し、単一のダッシュボードでどこからでもトラフィックに影響を与えます。
- DevSecOpsチームに完全なAPIおよびTerraformサポートを提供します。
非常にシンプルなセルフサービスサインアップ ↗があり、多くのサービスを無料で評価できます。Cloudflareを評価するために私たちの専門チームと協力したい場合は、お問い合わせ ↗ください。