新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

Cloudflare GatewayでのHTTP/3の検証

2022-06-24

3分で読了
この投稿はEnglish한국어Español简体中文でも表示されます。

本日は、当社の包括的なセキュアWebゲートウェイであるCloudflare Gatewayを介したHTTP/3の検証のサポートを公開します。HTTP/3は現在インターネットの25%で使われており、セキュリティを損なうことなく、より高速なブラウジングを実現しています。これまで、HTTP/3対応のWebサイトやAPIをフィルタリングして検証しようとする管理者は、HTTP/2にフォールバックすることでパフォーマンスについて妥協するか、検証をバイパスすることで可視性を失うかのどちらかを選択する必要がありました。Cloudflare GatewayのHTTP/3サポートにより、すべてのトラフィックを完全に可視化し、最速のブラウジング体験をユーザーに提供できます。

HTTP/3 inspection on Cloudflare Gateway

なぜWebはHTTP/3に移行しているのか?

HTTPは、インターネットを支える最も古い技術の1つです。1996年当時、セキュリティとパフォーマンスは後回しにされ、暗号化はトランスポート層に任されていました。このモデルは、現代のインターネットにおけるパフォーマンスのニーズに対応できないことから、HTTPはHTTP/2、そして現在ではHTTP/3にアップグレードされています

HTTP/3は、デフォルトで常に暗号化された最新のトランスポートプロトコルであるQUICを使用することにより、ブラウジング体験を加速させます。ユーザーとWebサーバー間のラウンドトリップを削減することで、より高速のパフォーマンスを提供し、信頼性の低い接続を利用するユーザーのパフォーマンスを向上させます。HTTP/3のパフォーマンスの優位性について詳しくは、こちらから以前のブログをご覧ください。

HTTP/3の開発と導入

Cloudflareのミッションは、より良いインターネットの構築を支援することです。私たちは、HTTP/3がインターネットをより高速かつ安全にするための重要な構成要素であると考えています。IETFと密接に連携し、HTTP/3およびQUICの標準のドキュメント作成作業を重ねてきました。この取り組みに加えて、ChromeやFirefoxなどの一般的なブラウザがQUICをデフォルトで有効にしたことにより、HTTP/3は現在、全Webサイトの25%以上で使用されており、さらに徹底した分析につながっています。

Cloudflareは過去数年にわたり、HTTP/3の提唱を広く行ってきました。私たちはまず、2018年9月に基盤となるトランスポート層QUICのサポートを導入し、そこから翌年の2019年9月には、自社のリバースプロキシサービスにHTTP/3サポートを導入しました。それ以降も取り組みを続け、現在ではRFC 9114に準拠する最終的な「h3」識別子を使用して、HTTP/3の最新リビジョンをサポートしています。

HTTP/3の検証のハードル

HTTP/3には多くの利点がありますが、自社ネットワーク上のHTTPトラフィックをフィルタリングおよび検証しようとする管理者にとっては、導入することで複雑さとセキュリティのトレードオフが生じます。HTTP/3では、おなじみのHTTPリクエストと応答のセマンティクスが提供されていますが、QUICの使用は「ネットワーク上の」外観と動作に変化をもたらします。QUICはUDP上で動作するため、従来のTCPベースのプロトコルとはアーキテクチャが異なり、従来のセキュアWebゲートウェイによるサポートも不十分です。この2つの要因が重なることで、管理者にとって、ユーザーの期待するパフォーマンスを維持し、インターネットトラフィックの可視性と制御を確保しながら、進化する技術的状況に対応していくことが難しくなっていました。

HTTP/3に対して適切なセキュアWebゲートウェイのサポートが提供されていないため、管理者はユーザー向けのセキュリティとパフォーマンスのいずれか、またはその両方について妥協するよう迫られていました。セキュリティのトレードオフには、UDPトラフィックの検証が行われないことに加えて、インラインのウイルスのスキャン、データ損失防止、ブラウザ分離、トラフィックのロギングなどの重要なセキュリティ機能を使用できないことが含まれます。セキュリティ意識の高い企業にとって、セキュリティや可視性を放棄することは受け入れがたい選択であるため、管理者はエンドユーザーのデバイスでHTTP/3を積極的に無効化するようになりました。この場合、ユーザーのWebブラウザ内でQUICサポートを無効にする必要があるため、デプロイが複雑になり、パフォーマンスに影響が及びます。

HTTP/3の検証を有効にする方法

今年後半に一部のブラウザでHTTP/3の検証のサポート提供が可能になると、ダッシュボードからHTTP/3の検証を有効にすることができるようになります。Zero Trustダッシュボードにログインしたら、プロキシをオンに切り替え、UDPトラフィックのボックスをチェックし、 **[Settings] > [Network] > [Firewall]**でTLSの復号化を有効にする必要があります。これらの設定を有効にすると、HTTPポリシーを介して、組織のすべてのプロキシされたHTTPトラフィックにAVスキャン、リモートブラウザの分離、DLP、HTTPフィルタリングを適用できます。

得られるメリット

管理者は、進化する技術的状況に根ざしているセキュリティのトレードオフを考える必要がなくなり、組織とチームを保護することに集中できるようになります。HTTP/3の検証が利用可能になった時点で、Cloudflare Oneのすべてのお客様に連絡いたします。これにより、管理者はセキュアWebゲートウェイのデプロイを簡素化できるようになります。

HTTP/3トラフィックの検証は、すべてのプランタイプの管理者が利用できるようになります。サインアップがお済みでない場合は、ここをクリックして開始してください。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
Cloudflare One WeekCloudflare GatewayHTTP3Cloudflare OneCloudflare Zero Trustゼロトラスト

Xでフォロー

Ankur Aggarwal|@Encore_Encore
Cloudflare|@cloudflare

関連ブログ投稿

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

2024年10月15日 13:00

Protect against identity-based attacks by sharing Cloudflare user risk scores with Okta

Uphold Zero Trust principles and protect against identity-based attacks by sharing Cloudflare user risk scores with Okta. Learn how this new integration allows your organization to mitigate risk in real time, make informed access decisions, and free up security resources with automation....