Cloudflare Zero Trust導入でよくあるネットワーク課題はどのように改善するのかまとめてみました。
Cloudflare Zero Trustに関しての記事では、各機能にフォーカスを当てたものが多くありました。しかし、実際に導入を考える際には「その機能を使えば本当に現状のネットワーク課題が解決するの?」という疑問を持つ方も多いのではないでしょうか?
そこで今回は、Cloudflare Zero Trustの様々な機能を使うと現状のネットワーク課題がどのように改善されるのかについてをご紹介していきます。
インターネットへの通信はVPNを使い一度DCへ集約しているが、リモートワークの増加や拠点拡大により、通信がひっ迫しているため速度が安定しない。
DC集約型でインターネットを使用している場合、VPNへ接続するユーザーが多くなると通信速度が低下してしまうという課題が出てきます。 例えば、「朝のメールチェックなど従業員のアクセスが集中する時間帯になると、繋がりにくくなってしまう」、「ZoomなどのWeb会議をすると良く止まってしまう。トラフィック節約のために社内の会議は基本的にカメラオフで使っている。」と言ったように、業務へに支障が出る場合もあり、何とかしたいと考える方も多いのではないでしょうか。
ただこれを改善するとなると、VPN環境を新しくするために手間や費用、時間がかなりかかるためなかなかすぐに対処することが出来ないというのが実情です。
こういった場合Cloudflare Zero Trustの導入し、インターネットへの通信はDCへ集めるのではなく、Cloudflareを通してあげるということが可能です。
CloudflareといえばCDNサービスのイメージがある方も多いかと思いますが、CDNでも使われている世界中にあるエッジを使用することにより、ユーザーは勤務地を問わずCloudflareのSWGに素早くたどり着くことが可能です。
また、このエッジまでは高速な次世代VPNと言われる「WireGuard」を使ってアクセスをします。WireGuardはUDP上で動作するプロトコルで、TCP上で動作するものより高速な通信を実現することが可能です。
これに加えてCloudflareの構築した世界最速のDNSリゾルバである1.1.1.1を使用しているという点も速度に関してCloudflareにの信頼がおける理由の一つです。
実際、弊社でもCloudflareのWARPを使用していますが、WARPのオンにしている状態でも、ストレスなく業務を進めることが可能です。また、WARPはモバイルに入れることも可能なので、外出時にモバイルからスケジュールの確認が必要な場合などでも問題なくアクセスが可能です。
以上の理由からVPNの通信速度の低下に悩んでいる場合は、ぜひ一度Cloudflare Zrro Trustの導入を考えてみてはいかがでしょうか。
ローカルブレイクアウト構成をとっているが、インターネットへの通信に関してのセキュリティに不安がある。
最初の課題は、通信速度の低下についてでしたが、テレワーク導入に際して、上記のような課題を回避するためにローカルブレイクアウトの構成をとった企業もあるかと思います。ローカルブレイクアウト構成をとることで通信は安定するかもしれませんんが、インターネットへ出る際にデータセンターに設置しているファイアウォールなどを通ることがなくなるため、セキュリティリスクが高まります。ここに関しては何かしら対策が必要になって来ます。
各拠点のプロキシをかませるといった解決策もありますが、導入コストや運用管理の負担が多いといった課題もあります。
セキュリティリスクの回避方法の一つとしてCloudflare Zero Trustの導入が挙げられます。
解決策として導入した場合の図としては1つ目の課題と同じになりますが、導入の目的が違うためこちらに関しては分けて記載しています。
Cloudflare Zero Trustが提供するインターネット通信の保護機能としては以下が挙げられます。
- DNSフィルタリング
- ネットワークフィルタリング
- HTTPフィルタリング
- SSL復号化
- アンチウィルス
- DLP(Data loss Privaention)
- ブラウザ分離
上記の機能の具体的な内容に関しては、弊社ブログの方で詳しく説明しているものがいくつもあるので、本ブログでは省きます。 各機能について詳しく知りたい方は下記からご覧ください。(現状でブログ化が済んでいない機能も今後ブログ化予定です。)
各フィルタリング機能を使った閲覧サイト制限や、ファイルのアップロードやダウンロードの制限、ブラウザ分離機能を活用することで通常のブラウジングと変わらないパフォーマンスを維持したまま安全なブラウジングを行う、といったことも可能です。
各拠点にセキュリティ機器をそれぞれ設置するよりも簡単にこれらの機能を導入し、運用負荷の削減も行うことが出来るというのがCloudflare Zero Trustを使うメリットの一つです。
現状VPNを使っているが、保守運用コストが高く困っている。VPNのセキュリティに不安がある。
拠点間VPNやリモートアクセスVPN等を使い、社内システムやアプリケーション等にアクセスしている企業はとても多いのではないでしょうか。しかしこのVPNの運用や保守、従業員や拠点が増えた時の考慮事項、拡張性についての課題などに頭を悩ませているという組織も少なくないと思います。
また、セキュリティ面についても、近年VPN機器の脆弱性を狙ったサプライチェーン攻撃などが大きな話題となっています。そのため、組織内から「うちのVPNのセキュリティは大丈夫なの?」といったセキュリティに対する不安の声が出てくるかもしれません。
パッチ運用などの整備はしている場合でも、ゼロデイ攻撃への対策や業務委託先のセキュリティ対策といった課題が残ったままになってしまっている組織も少なくないのではないでしょうか。
VPNを使用した従来の境界型防御の形では、一度内部ネットワークへの侵入を許してしまうと無条件に信頼された境界内からの攻撃を防ぐことが難しくなってきます。
これらの課題はVPNをCloudflare Zero Trustへと置き換えることで解決可能です。また、IdPとの統合を行うことで、ネットワークアクセス時の認証およびSSO(Single-sign-on)を実現することが出来ます。
上記の図のようにVPNの代わりCloudflare Zero Trustを置くことで、先に説明したインターネットへの出口に関しての問題もカバーしつつ、プライベートアプリケーションへのアクセスについてもセキュリティを担保することが可能です。
Cloudflare Tunnelを使ってCloudflareとサーバーの間にトンネルを張ることでWebサーバーのIPアドレスを秘匿することが可能です。また、Cloudflareを通っていない外部からのアクセスはブロックされオリジンサーバーへ到達出来ないようにするため、サーバーへの直接攻撃に効果的です。
現状自社で管理しているVPNの機能をCloudflareに任せてしまうことで、運用負荷の軽減やコスト削減につながる場合もあります。どんどん事業が拡大して、従業員が増えたとしても新しい機器の導入などは必要なくなります。
まとめ
今回はCloudflare Zero Trustがどのように現状のネットワーク課題を解決するのかについて3つの例に沿った形でご紹介しました。
Cloudflare Zero Trustの導入が少しイメージしやすくなっていただければ嬉しいです。ただ、実際の導入の際に疑問に思う部分はまだまだあると思いますので、導入時のよくある疑問についてはまた別途ブログにまとめようと思います。