コンテンツにスキップ

クライアントエージェントを展開せずにプライベートアプリへのアクセス

はじめに

Cloudflareを使用してプライベートリソース(アプリケーション、サーバー、インターネットに直接公開されていないネットワークなど)にアクセスする場合、通常はデバイスに(エージェント)を展開し、次にサーバーサイドエージェント(cloudflaredWARP Connector)を使用してプライベートネットワークまたはアプリケーションをCloudflareに接続します。この文書では、ユーザーのデバイスにソフトウェアを展開する必要を排除する代替アプローチについて説明します。これにより、契約者やパートナーなどの第三者アクセスを容易にすることができます。

通常、内部リソースへのアクセスを提供するために、Cloudflare Zero Trust Network Access ZTNAを使用します。これは、ユーザーデバイスがプライベートリソースにアクセスする方法として2つのメソッドをサポートしています。

  • 公開DNSのCNAMEが、内部アプリケーションへのリクエストをプロキシするCloudflareトンネルを表すホスト名に解決されます。

  • Cloudflareトンネルによって公開されたIPアドレスが、再びそのIPアドレスに直接トラフィックをプロキシします。

プライベートアプリケーションへのアクセス

一部の組織は、内部サービスを参照する公開DNSレコードのアイデアを好まないことがあります。ZTNAサービスは強力なアクセスセキュリティを提供しますが、時には公開DNSにサービス名が存在すること自体が望ましくない場合があります。ユーザーに直接IPアドレスを公開することも悪いアイデアです。IPアドレスは覚えにくく、変更される可能性があります。公開DNSレコードを介してプロキシを通じてWebアプリケーションにアクセスするのとは異なり、プライベートIPアドレスを介して公開されたアプリケーションは、ユーザーがデバイスにエージェントをインストールしてトラフィックをCloudflareにキャプチャし、アプリケーションにルーティングする必要があります。このエージェントのインストールは、パートナーや契約者などの第三者にとっては課題となることがあります。

では、公開DNSレコードを作成せず、ユーザーにデバイスにソフトウェアをインストールさせることなく、プライベートリソースへのアクセスをどのように許可するのでしょうか?Cloudflareは、内部DNSサービスを使用できるResolver Policiesでこの課題を解決しました。エージェントレスのRemote Browser Isolationと組み合わせることで、最新のWebブラウザのみでプライベートWebアプリケーションへのZero Trustアクセスを作成することが可能です。アプリへのアクセスを制御するポリシーは、当社のSecure Web Gateway (SWG)サービスにnetwork firewallポリシーとして記述されます。この方法はHTTPベースのアプリケーションをサポートしますが、CloudflareはSSHおよびVNCサービス用のブラウザレンダリングサービスも提供しています。

クライアントエージェントを展開せずにプライベートWebベースのリソースへの安全なアクセスを構成する方法については、このチュートリアルを参照してください。

図1: リモートアクセス内部ホスト名

  1. ユーザーは、Cloudflare Browser Isolationサービスに認証することでアクセスを開始します。これはCloudflareのエッジネットワーク上で実行されるブラウザであるため、すべてのリクエストはデフォルトでCloudflareによって処理されます。コンテンツは、HTTPSおよびWebRTCチャネルを使用した安全な暗号化ベクトルストリームを介してユーザーのブラウザにレンダリングされます。
  2. ユーザーがリモートブラウザに認証すると、内部DNSサービスのレコードである内部ホスト名にリクエストを送信します。例: https://app.company.internal
  3. Cloudflareはresolver policiesを使用して内部ホスト名を検索し、内部DNSサーバーからプライベートIPアドレスを取得します。このDNS解決はCloudflareネットワーク内で行われ、ユーザーのデバイスでDNSクライアントの変更は必要ありません。
  4. Cloudflareはネットワークファイアウォールポリシーを評価し、ユーザーが宛先アドレスに到達する権限を持っているかどうかを確認します。
  5. リクエストがポリシーを通過すると、安全なQUICトンネルを介してCloudflaredコネクタに送信され、アプリケーションサーバーにリバースプロキシされます。すべてのデータは、暗号化されたベクトルストリームを介してCloudflareを通じてユーザーのブラウザに安全に送信されます。

関連リソース

Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings