Cloudflare Zero Trust〜VPN置き換えについて〜
Cloudflare Zero Trustを導入するときには、VPNの置き換えが基本になってきます。
今回は通常のVPNとの比較も交えて簡単にまとめてみようと思います。
基本情報として
・VPNとは?
VPNとは、「Virtual Private Network」の略語で、インターネット上に仮想的なプライベートネットワークを構築する技術のことです。
VPNを通してやり取りする通信は暗号化され、第三者からは解読できないようにデータを保護し、安全に通信することができます。
・VPNの種類
VPNは、使用回線別に大きく2つに分けられています。
- IP-VPN
- 通信事業者が独自に保有している閉域ネットワークを利用。
- インターネットVPN
- インターネット回線を利用。
また、インターネットVPNも接続方法の仕方で、2種類に分けられています。
- 拠点間VPN
- 離れた二つの拠点間をVPN機器同士で接続する方法。
- 接続にはインターネットを使用するため、固定のグローバルIPアドレスかダイナミックDNSを双方で使用する必要がある。
- リモートアクセスVPN
- 拠点とデバイスユーザーを接続する方法。
- デバイスユーザーの端末にクライアントアプリをインストールする必要がある。
Cloudflareに置き換えた場合のVPNは、使用回線はインターネットVPN、接続方法はリモートアクセスVPNでイメージしていただければわかりやすいと思います。
クライアントアプリとVPNプロトコル
・WARP
デバイスに、インストールを行うクライアントアプリが「WARP」です。
BoringTunを使用して、ユーザーのデバイスからのすべてのトラフィックを暗号化します。
暗号化したトラフィックをCloudflareのEdgeへ直接送信することで、誰にも盗み見られないようにしています。
Windows、macOS、Linux、iOS、AndroidOS、ChromeOSにインストールすることが可能です。
※Windows Serverにはインストールすることはできません。
WARPについての詳細は、公式ブログ記事のこちらをご確認ください。
・WireGuard
使用しているVPNプロトコルは「WireGuard」です。
WireGuardは、最先端の暗号化技術を採用したシンプルかつ高速なVPNプロトコルです。
通信はUDPのみで、クリプトアジリティを採用しないことで、シンプルさを実現しています。
※UDPが使えないネットワーク環境や、採用事項に「クリプトアジリティ必須」がある場合はご注意ください。
応答速度などの比較は、こちらを参照してみてください。
構成イメージ
Cloudflareに置き換えたVPNはどういう構成イメージになっているのか、確認していこうと思います。
通常のVPNの構成と大きく異なる点は、VPNクライアントの接続先が、VPN機器ではなくClaudflare上になるといった点です。
・通常のイメージ
よくイメージされるVPNの構成イメージ図は、上のようなものが多いと思います。
クライアントアプリがインストールされたデバイスの接続先が、VPN機器に繋がっており、デバイスとVPN機器間のやり取りが暗号化される構成になっています。
・Cloudflareに置き換えた場合
置き換えた場合は、VPN機器の部分をCloudflare上に置き換えてVPN接続を行います。
イメージだと上のような感じになります。
VPN機器にあたる部分が、Cloudflare上のEdgeやPOP(ポイント・オブ・プレゼンス)と呼ばれている部分に置き換えられます。
比較
通常のVPN機器に接続した場合と、Cloudflare上に置き換えた場合とではどう違うのか、気になった部分をいくつか比較していきたいと思います。
⚪︎ コスト(導入時のみ)
- 通常
- 最初の機器購入時のみ。
- 冗長化を行う場合や人数が増えてきてしまった場合は、追加で購入が必要。
- Cloudflare
- 必要な人数分のみ購入を行う。
- 購入後に数を減らしたり、増やしたりすることも可能。
- ランニングコストがかかる。
どちらを使用しても、同じくらいの負担になることがほとんどです。
⚪︎ 管理する部分
- 通常
- VPN機器やデバイスなどの端末のアップデートや管理は、委託しなければ基本自分たちで行う。
- Cloudflare
- 接続されるEdgeの部分のアップデートや管理は、Cloudflare側が行う。
- デバイスなどの端末は自分たちで行う。
VPN機器のメンテナンスなど行う場合、アップデートを行なっている間は、VPN機能が使用できないことがあります。(冗長化していれば問題なし)
置き換えた場合、接続先のEdgeやPOPと呼ばれる部分の管理は、すべてCloudflare側が行ってくれます。
⚪︎ 障害発生時
- 通常
- 障害が直るまで使用できない。
- 冗長化を行なっていれば問題ない。(機械のメンテナンス時も同じ)
- Cloudflare
- ピンポイントでの障害発生時は、近くにある他のPOPに接続されるので使用可能。
- Cloudflare全体の障害の場合は使用できないこともある。
VPN機器の場合、使用率が高くなってくると速度が遅くなったり、そのまま使い続けると故障するといったことがあります。
冗長化を行なっていて、1つのみ故障をした場合は問題ありませんが、機器を使用する場合は、使用率やバージョンなどに注意が必要です。
置き換えた場合、もし障害が発生して現在接続している部分が使用できなくなったとしても、すぐに近場のPOPに切り替えられ、継続して使用が可能になります。
まとめ
Cloudflare Zero Trust導入時に行うVPNの置き換えについて、簡単にまとめてみました。
通常のVPN機器を使用しての接続と比較することで、イメージしやすいのではないかなと思います。
今回は詳しく説明しませんでしたが、「WARP」や「WireGuard」などのアプリやプロトコルの部分は、またご紹介できればと思います。
コストの細かい部分に関しては、お問い合わせください。