HOME  /Cloudflare
2024年04月06日

 

このページのコンテンツは改定中です

 

Cloudflare社は2010年に『より良いインターネット環境の構築をサポートする』事を目標に設立された米国の企業です。

よってCloudflare社の各種サービスは、無料でも利用できるのが大きな特徴です。

私の自宅は、このCloudflareを利用する事により、より簡単に、より安全にインターネットを利用できる環境に移行する事が出来ました。

ここではこのCloudflareが無償で提供している『DNS』、『CDN』及び『ZTNA』の利用方法を解説していきます。

1.パブリックDNSリゾルバーを利用する

DNSとはアクセスするURLに対するIPアドレスを返すものでインターネットアクセスには不可欠なものです。

このDNSは複数のサーバから構成されており、どの様な構造になっているのか?は下記参照して下さい

Cloudflareが提供するDNSとは

 

下記にCloudflareが無償で提供する[1.1.1.1]の登場の背景と利用方法を解説しています。

パブリックDNSリゾルバ [1.1.1.1]とは

 

Cloudflare社は上記の[1.1.1.1]以外にマルウェア等のサイトをブロックする[パブリックDNSリゾルバー]も提供しています。

下記に利用方法と確認方法を解説しています。

パブリックDNSリゾルバ [1.1.1.2]とは

 

更にCloudflare社は青少年が利用する[パブリックDNSリゾルバー]も提供しています。

これを利用するとマルウェア等のサイトをブロックするのに加えて、ブラウザにセフティサーチ機能を強制する事ができます。

下記に利用方法と確認方法を解説しています。

パブリックDNSリゾルバ [1.1.1.3]とは

 

以上の様にCloudflare社はアジア地区のIPアドレスの元締めの APNIC と共同で一般のユーザでも安心してインターネットを利用できるような活動を進めています。

但し、Cloudflare社が提供しているZTNAすなわちゼロトラストに移行すると、上記の様な汎用のインターネットアクセスポリシーでなく、ユーザがカスタマイズしたポリシーでインターネットアクセスができる様になります。

 

2.CDNを利用する

CloudflareのCDN(Contents Delivery Network)を利用するとコンテンツキャッシュ以外にWebサーバをインターネットの脅威からどの様に守るかの機能も追加されます。

具体的にどの様な機能があるかは下記ドキュメントを参照して下さい。

Cloudflareが提供するDNS+CDNとは

CloudflareのCDNを利用したDDoS対策の注意点を下記ドキュメントで解説しています。

DDoS対策はCloudflareのCDNだけで大丈夫か?

以上までがCloudflareのCDNの概論で以降は具体的なCloudflareのCDNの利用方法を解説していきます。

 

CloudflareのCDNを利用する為にはドメインを取得する必要があり、私はXServerから取得しました。

Cloudflareで利用するドメインをXServerから取得する

下記ドキュメントはXServerから取得したドメインでcloudflareをセットアップする方法を解説しています。

Cloudflareのアカウントの作成から各種の設定

以上でCloudflareのDNSとCDNが利用できるようになり次はWebサーバの登録です。

下記ドキュメントではWebサーバをトンネルと接続する方法とこれを利用する事によるセキュリティ強化策を解説しています。

CloudflareのCDNにWebサーバを接続する方法とセキュリティ対策

 

3.ZTNAを利用する

インターネットアクセスは1項で説明したパブリックDNSリゾルバ[1.1.1.2]を使うと最低限のセキュリティ対策はできるが最近話題の有名人を語った投資詐欺の様なコンテンツはブロックできない。

 

WebサーバはCloudflareとトンネル接続するとファイアウオールで総てのポートをブロックする事により社内をネットワークを守れるが外出先からは利用できない。

 

等々のまだまだ不便な状況です。

これを解決するのがCloudflareのZTNA(Zero Trust Network Access)です。

 

下記ドキュメントは今後、改定していきます

 

最近大手企業がゼロトラストを導入した等がニュースで流れていますが、

Cloudflareのゼロトラストは50名までの企業は無料、50名以上で自分たちが中心に構築する場合は7ドル/月、Cloudflareのサポート付は個別見積もり/年払いで構築できます。

 

 

 

上記の2項でのCloudFlareの利用方法は、CDN機能を利用したWebサイトの公開と外出先から自宅内リソースへのアクセス方法という従来の考え方に基づく接続方法でした。

 

しかしCloudFlareは[Zero trust]というセキュリティ空間も無償で提供しています。

この[Zero trust]を利用した私の自宅のネットワーク構成は下図になります。

自宅や企業のネットワークをインターネットの脅威から守る最大のポイントは

・自宅や企業のグローバルIPをインターネットから見えなくする

事が最大のポイントでCloudflareのDNSプロキシーはこれを行ってくれていました。

 

これに加えてCloudFlareの[Zero trust]を導入すると考え方は下記の様に変わります。

①CloudFlareの高速ネットワーク上に自宅や企業のセキュリティ空間を構築する。

このセキュリティ空間に入る為の認証システムの導入と利用者管理の設計を行う。

②PCやスマートデバイスはWARPを使ってこのセキュリティ空間に接続する。

③利用しているローカルネットワークもトンネル機能を使ってこのセキュリティ空間に接続する。

④このセキュリティ空間からのインターネットアクセスは[Gateway]機能の設定で各種の脅威から守る。

⑤社内リソースや公開Webサーバのセキュリティ対策は[Access]機能の設定で行う。

以上を行う事により下記の事が可能となります。

 

①セキュリティ空間からインターネットアクセスはCloudflareが通信を総て分解しマルウェア等の危険なサイトのブロック、ファイルのダウンロードはウィルスチェックを行ってから返してくれる。

このコンテンツが充実すると将来的にはクライアントに入れるウィルスチェック等のセキュリティツールは不要になる可能性も出てきました。

②PCやスマホが社内/自宅/外出先のいずれにあっても、総てローカル環境になる。

よってファイアーウォールやVPN接続等の概念は無くなります。

③内部にあるWebサーバの公開はA/AAAA以外に、トンネル経由での公開も可能となる。

いずれの方法でもWAF対策、DDOS対策が自動で行われる。

④更に公開サイトでも利用者の制限、管理者モードのアクセス制限、phpMyAdmin等へのアクセス禁止等の細かなセキュリティ対策が行えるようになる。

セキュリティ対策用の余分なプラグイン等も不要になる。

 

今までこのサイトではSynologyの色々な使い方に合わせて各種のセキュリティ対策を紹介してきたが、今までのテクニックは何だったのかと思える程、CloudflareのZero trustはすごいです。

 

どの様に構築したら良いかを知りたい方は[お問い合わせ]から相談して下さい。

当初はこのサイトの中で紹介する事を考えましたが、個人や企業の現在の環境によってかなり構築方法が異なりますので「まずは何を行いたいのか?」をお聞きした後、判る範囲でお答えします。

尚、ご自分でできそうな場合は構築方法を記載した利用者限定のサイトに招待します。

このサイトには広告は表示されない上にコンテンツの書き方がGoogleを意識しない書き方となりますので見易いと思いますが、このサイトの利用にはGmailアドレスが必須となります。