Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

Cloudflare GatewayでのHTTP/3の検証

Loading...

HTTP/3 inspection on Cloudflare Gateway

本日は、当社の包括的なセキュアWebゲートウェイであるCloudflare Gatewayを介したHTTP/3の検証のサポートを公開します。HTTP/3は現在インターネットの25%で使われており、セキュリティを損なうことなく、より高速なブラウジングを実現しています。これまで、HTTP/3対応のWebサイトやAPIをフィルタリングして検証しようとする管理者は、HTTP/2にフォールバックすることでパフォーマンスについて妥協するか、検証をバイパスすることで可視性を失うかのどちらかを選択する必要がありました。Cloudflare GatewayのHTTP/3サポートにより、すべてのトラフィックを完全に可視化し、最速のブラウジング体験をユーザーに提供できます。

なぜWebはHTTP/3に移行しているのか?

HTTPは、インターネットを支える最も古い技術の1つです。1996年当時、セキュリティとパフォーマンスは後回しにされ、暗号化はトランスポート層に任されていました。このモデルは、現代のインターネットにおけるパフォーマンスのニーズに対応できないことから、HTTPはHTTP/2、そして現在ではHTTP/3にアップグレードされています

HTTP/3は、デフォルトで常に暗号化された最新のトランスポートプロトコルであるQUICを使用することにより、ブラウジング体験を加速させます。ユーザーとWebサーバー間のラウンドトリップを削減することで、より高速のパフォーマンスを提供し、信頼性の低い接続を利用するユーザーのパフォーマンスを向上させます。HTTP/3のパフォーマンスの優位性について詳しくは、こちらから以前のブログをご覧ください。

HTTP/3の開発と導入

Cloudflareのミッションは、より良いインターネットの構築を支援することです。私たちは、HTTP/3がインターネットをより高速かつ安全にするための重要な構成要素であると考えています。IETFと密接に連携し、HTTP/3およびQUICの標準のドキュメント作成作業を重ねてきました。この取り組みに加えて、ChromeやFirefoxなどの一般的なブラウザがQUICをデフォルトで有効にしたことにより、HTTP/3は現在、全Webサイトの25%以上で使用されており、さらに徹底した分析につながっています。

Cloudflareは過去数年にわたり、HTTP/3の提唱を広く行ってきました。私たちはまず、2018年9月に基盤となるトランスポート層QUICのサポートを導入し、そこから翌年の2019年9月には、自社のリバースプロキシサービスにHTTP/3サポートを導入しました。それ以降も取り組みを続け、現在ではRFC 9114に準拠する最終的な「h3」識別子を使用して、HTTP/3の最新リビジョンをサポートしています。

HTTP/3の検証のハードル

HTTP/3には多くの利点がありますが、自社ネットワーク上のHTTPトラフィックをフィルタリングおよび検証しようとする管理者にとっては、導入することで複雑さとセキュリティのトレードオフが生じます。HTTP/3では、おなじみのHTTPリクエストと応答のセマンティクスが提供されていますが、QUICの使用は「ネットワーク上の」外観と動作に変化をもたらします。QUICはUDP上で動作するため、従来のTCPベースのプロトコルとはアーキテクチャが異なり、従来のセキュアWebゲートウェイによるサポートも不十分です。この2つの要因が重なることで、管理者にとって、ユーザーの期待するパフォーマンスを維持し、インターネットトラフィックの可視性と制御を確保しながら、進化する技術的状況に対応していくことが難しくなっていました。

HTTP/3に対して適切なセキュアWebゲートウェイのサポートが提供されていないため、管理者はユーザー向けのセキュリティとパフォーマンスのいずれか、またはその両方について妥協するよう迫られていました。セキュリティのトレードオフには、UDPトラフィックの検証が行われないことに加えて、インラインのウイルスのスキャン、データ損失防止、ブラウザ分離、トラフィックのロギングなどの重要なセキュリティ機能を使用できないことが含まれます。セキュリティ意識の高い企業にとって、セキュリティや可視性を放棄することは受け入れがたい選択であるため、管理者はエンドユーザーのデバイスでHTTP/3を積極的に無効化するようになりました。この場合、ユーザーのWebブラウザ内でQUICサポートを無効にする必要があるため、デプロイが複雑になり、パフォーマンスに影響が及びます。

HTTP/3の検証を有効にする方法

今年後半に一部のブラウザでHTTP/3の検証のサポート提供が可能になると、ダッシュボードからHTTP/3の検証を有効にすることができるようになります。Zero Trustダッシュボードにログインしたら、プロキシをオンに切り替え、UDPトラフィックのボックスをチェックし、 [Settings] > [Network] > [Firewall]でTLSの復号化を有効にする必要があります。これらの設定を有効にすると、HTTPポリシーを介して、組織のすべてのプロキシされたHTTPトラフィックにAVスキャン、リモートブラウザの分離、DLP、HTTPフィルタリングを適用できます。

得られるメリット

管理者は、進化する技術的状況に根ざしているセキュリティのトレードオフを考える必要がなくなり、組織とチームを保護することに集中できるようになります。HTTP/3の検証が利用可能になった時点で、Cloudflare Oneのすべてのお客様に連絡いたします。これにより、管理者はセキュアWebゲートウェイのデプロイを簡素化できるようになります。

HTTP/3トラフィックの検証は、すべてのプランタイプの管理者が利用できるようになります。サインアップがお済みでない場合は、ここをクリックして開始してください。

Cloudflareは 企業のネットワーク全体 を保護し、お客様が インターネット規模のアプリケーションを効率的に 構築するためのお手伝いをします。また、すべての Webサイトまたはインターネットアプリケーション を迅速化し、 DDoS攻撃を軽減して、 ハッカーを封じ込めます 。さらに、 Zero Trustを始める、あるいは導入のあらゆるフェーズにいる お客様を支援します。

インターネットを高速化し、安全性を高めるには、ご使用のデバイスから 1.1.1.1 にアクセスすることで、Cloudflareの無料アプリをご利用いただけます。

より良いインターネットの構築を支援するというCloudflareの使命について詳しくは、 こちら をご覧ください。新たなキャリア形成をお考えの方は、 求人情報 にアクセスしてください。

Cloudflare One Week (JP) Cloudflare Gateway (JP) HTPP3 (JP) Cloudflare One (JP) Cloudflare Zero Trust (JP)

Follow on Twitter

Ankur Aggarwal |@Encore_Encore
Cloudflare |Cloudflare

Related Posts

June 20, 2022 2:28PM

Area 1の脅威指標をCloudflare Zero Trustで利用可能に

Area 1が持つフィッシング攻撃のTTP(戦術、テクニック、手順)に関する膨大なデータセット、シードインフラ、脅威モデルと、Cloudflareが持つ大規模ネットワーク、DNS、メール、Webトラフィックの送信元に関するグローバルな洞察を合わせて利用できるようになりました...

June 20, 2022 2:14PM

メールゲートウェイをCloudflare Area 1 に置き換えるには?

従来のSEGアーキテクチャは、昔のメール環境を念頭に構築されたものです。クラウドネイティブで先制的なメールセキュリティへ、シームレスに移行する方法を学びましょう...

June 20, 2022 1:57PM

メールリンクのブラウザ分離で最新のフィッシング攻撃を阻止

Area 1を当社の幅広いZero Trustスイートに統合するエキサイティングな行程の一環として、Cloudflare Gatewayをご利用のお客様はまもなくメールリンクのリモートブラウザ分離を有効化できます。Email Link Isolationで、メールベースの巧妙なマルチチャネル攻撃に対する比類ないレベルの防御を実現しましょう...