Cloudflare Magic Transitでハイブリッドクラウドネットワークを保護する
ネットワークインフラをDDoS攻撃から保護するには、強さとスピードの独自の組み合わせが求められます。ボリュメトリック攻撃は、オンプレミスのハードウェアベースのDDoS保護装置や、帯域幅が制約されたインターネットリンクを簡単に圧倒することができます。
クラウドベースのDDoS保護ソリューションは、より機敏で効率的かつスケーラブルですが、市場に出回っているほとんどのソリューションは、良好なネットワークパフォーマンスを維持するために必要なグローバルネットワークのフットプリントとスクラビングセンターの密度が不足しています。このような欠点を持つDDoS保護ソリューションは、顧客のトラフィックを、元々ネットワークに取り込まれた場所から数千マイル離れたところにあるまばらに配置されたスクラビングセンターを経由してリダイレクトする必要があり、これが大幅なレイテンシを追加し、エンドツーエンドのネットワークパフォーマンスとスループットに不可避的に影響を与えます。
Cloudflare Magic Transitは、インターネットからの受信ユーザートラフィックを提供するすべてのインターネット向けネットワークに対して、クラウドネイティブなインラインDDoS保護とトラフィック加速を提供します。これにより、オンプレミス、クラウド、またはその両方の組み合わせ(すなわち、ハイブリッドアーキテクチャ)に展開されているかにかかわらず、保護されます。数百の都市にわたるデータセンターと、DDoS緩和能力が数百Tbpsに達するMagic Transitは、攻撃の発生源に近い場所で、世界中で3秒以内に攻撃を検出し、緩和することができます。
Magic Transitの動作方法や、さまざまなユースケースに対するアーキテクチャについての詳細は、この文書の最後にある関連リソースに記載されています - Cloudflare Magic TransitおよびMagic Transitリファレンスアーキテクチャ。
この文書では、いくつかの一般的なシナリオにおける、Magic Transitを使用してハイブリッドクラウドベースのネットワークインフラを保護するためのリファレンスアーキテクチャに特に焦点を当てます。
このシナリオでは、Magic Transitによって保護される必要がある複数の/24またはそれ以上のネットワークプレフィックスがあります。これらのネットワークは、オンプレミスのロケーションと複数のクラウドプロバイダーのリージョンに展開されています。
説明のために、以下はインターネット向けネットワークのロケーションとそれぞれのIPプレフィックスの例リストです。
AWS VPC: 192.0.2.0/24GCP VPC: 198.51.100.0/24Azure vNet: 203.0.113.0/26オンプレミスデータセンター1: 203.0.113.64/26オンプレミスデータセンター2: 203.0.113.128/25
- ボーダーゲートウェイプロトコル(BGP ↗)を使用して、Cloudflareは顧客の保護されたIPプレフィックスをCloudflareのグローバルデータセンターからインターネットに広告し、IP Anycast ↗を有効にします。これにより、これらの保護されたIPプレフィックスに向けられたインターネットトラフィックは、常にトラフィックの発生源に最も近いCloudflareデータセンターにルーティングされます。
同時に、オンプレミスネットワークおよびクラウドプロバイダーネットワークは、それぞれのオンプレミス境界ルーターおよびクラウド境界ルーターから同じ正確なプレフィックスを広告するのを停止します。これにより、Magic Transitによって保護されたIPプレフィックスに向けられたすべてのインターネットトラフィックがCloudflareネットワークを経由してルーティングされることが保証されます。
代わりに、境界ルーターからインターネットに対して、より具体性の低いIPプレフィックスを広告することができます。この方法では、Magic Transitサービスが非常にまれなイベントで障害を経験した場合でも、トラフィックをインターネットからネットワークのロケーションに迅速に再ルーティングできます。
- インターネットから発生し、保護されたIPプレフィックスに向けられたトラフィックは、Cloudflareネットワークにグローバルに取り込まれます。
- すべてのトラフィックはスクラビングされ、すなわち、DDoS攻撃トラフィックは除去され、すべてのCloudflareデータセンターで高度で自動化されたDDoS緩和技術を使用してインラインで緩和されます。
- DDoS緩和を通過したトラフィックは、含まれているMagic Firewallサービスを使用して、追加のネットワークファイアウォールフィルタリングを受けます。
- クリーンでフィルタリングされたトラフィックは、Cloudflare Network Interconnect(CNI)と呼ばれるプライベート接続を介して、またはGREやIPsecトンネルなどの標準IPトンネルを使用して、保護されたネットワークにルーティングされます。Magic Transit IPトンネルに関するより具体的な詳細は、Magic Transitトンネルとカプセル化のドキュメントで確認できます。
- 保護されたIPプレフィックスからインターネットユーザーへのサーバー返却トラフィックは、ハイブリッドクラウドロケーションからインターネットに直接ルーティングされ、Cloudflareネットワークをバイパスします。これを直接サーバー返却(DSR)と呼びます。
Magic Transitサービスは、Cloudflareネットワーク上でグローバルに運用される単一の統合されたクラウドネイティブネットワーク保護ソリューションであるため、グローバルなハイブリッドクラウドベースのインターネット向けネットワークは、展開されている環境にかかわらず、DDoSやその他の悪意のある攻撃から十分に保護されています。
このような統合されたクラウドネイティブネットワーク保護ソリューションを使用するもう一つの利点は、インターネット向けネットワークをさまざまなハイブリッドクラウド環境間で簡単に移行または再配置できることです。これにより、これらのネットワークへの保護を失うことなく、Magic Transit構成のルートを変更してトラフィックを新しいロケーションにルーティングするだけで済みます。
/24以上のネットワークプレフィックスを所有していないが、Magic Transitを使用してネットワークを保護したい場合、CloudflareからIPをリースして、これらの小さなネットワークに割り当てることができます。以下の図は、そのような展開のアーキテクチャを示しています。前のシナリオと同様に、これらの顧客ネットワークは、オンプレミスのロケーションと複数のクラウドプロバイダーのリージョンに展開されています。
説明のために、以下はインターネット向けネットワークのロケーションとそれぞれのIPプレフィックスの例リストです。
AWS VPC: 192.0.2.0/28GCP VPC: 192.0.2.16/28Azure vNet: 192.0.2.32/28オンプレミスデータセンター1: 192.0.2.48/28オンプレミスデータセンター2: 192.0.2.64/28
- ボーダーゲートウェイプロトコル(BGP)を使用して、Cloudflareはインターネットに対して所有するIPプレフィックスを広告し、これにはリースしたIPアドレスが含まれます。
[ステップ2から5は、上記のシナリオ1と同じです]
- リースしたCloudflare IPアドレスをソースIPアドレスとするサーバー返却トラフィックは、さまざまなサイトの境界ルーターを介してインターネットに直接ルーティングすることはできません。このトラフィックは、Magic Transit Egress機能を使用して、インターネットに到達するためにCloudflareネットワークを経由して戻る必要があります。Ingressトラフィックが通過したのと同じCNIまたはIPトンネルを介してCloudflareネットワークに送信でき、サイトでポリシーベースのルーティング(PBR)などのルーティング技術を使用します。
- Magic Transit Egressトラフィックは、インターネットに向けてルーティングされる前にMagic Firewallフィルタリングを受けます。
このシナリオでは、より大きなオンプレミスネットワークと小さなクラウドベースのネットワークを展開できます。オンプレミスネットワークには独自の/24 IPプレフィックスを割り当て、クラウドベースのネットワークにはCloudflareからIPをリースします。
説明のために、以下はインターネット向けネットワークのロケーションとそれぞれのIPプレフィックスの例リストです。
AWS VPC: 192.0.2.0/28GCP VPC: 192.0.2.16/28Azure vNet: 192.0.2.32/28オンプレミスデータセンター1: 198.51.100.0/24オンプレミスデータセンター2: 203.0.113.0/24
- ボーダーゲートウェイプロトコル(BGP)を使用して、Cloudflareは顧客所有のIPプレフィックスとCloudflare所有のIPプレフィックスの両方をインターネットに広告します。
[ステップ2から5は、上記のシナリオ1と同じです]
- クラウドベースのネットワークからのサーバー返却トラフィックは、Magic Transit Egress機能を使用してインターネットに到達するためにCloudflareネットワークを経由して戻ります。Ingressトラフィックが通過したのと同じCNIまたはIPトンネルを介してCloudflareネットワークに送信でき、物理サイトでポリシーベースのルーティング(PBR)などのルーティング技術を使用します。
- このMagic Transit Egressトラフィックは、インターネットに向けてルーティングされる前にMagic Firewallフィルタリングを受けます。
- オンプレミスネットワークからインターネットユーザーへのサーバー返却トラフィックは、直接サーバー返却(DSR)され、Cloudflareネットワークをバイパスします。
注: 代わりに、顧客はポリシーベースのルーティングとMagic Transit Egress機能を介してオンプレミスネットワークのサーバー返却トラフィックをCloudflare経由でルーティングすることも選択できます。これにより、Magic Firewallフィルタリングによる出口トラフィックの追加のセキュリティと制御が追加されます。たとえば、疑わしいIPアドレスやサイト、禁止された宛先、または国に向けられたトラフィックをブロックできます。