本日は、当社の包括的なセキュアWebゲートウェイであるCloudflare Gatewayを介したHTTP/3の検証のサポートを公開します。HTTP/3は現在インターネットの25%で使われており、セキュリティを損なうことなく、より高速なブラウジングを実現しています。これまで、HTTP/3対応のWebサイトやAPIをフィルタリングして検証しようとする管理者は、HTTP/2にフォールバックすることでパフォーマンスについて妥協するか、検証をバイパスすることで可視性を失うかのどちらかを選択する必要がありました。Cloudflare GatewayのHTTP/3サポートにより、すべてのトラフィックを完全に可視化し、最速のブラウジング体験をユーザーに提供できます。
なぜWebはHTTP/3に移行しているのか?
HTTPは、インターネットを支える最も古い技術の1つです。1996年当時、セキュリティとパフォーマンスは後回しにされ、暗号化はトランスポート層に任されていました。このモデルは、現代のインターネットにおけるパフォーマンスのニーズに対応できないことから、HTTPはHTTP/2、そして現在ではHTTP/3にアップグレードされています。
HTTP/3は、デフォルトで常に暗号化された最新のトランスポートプロトコルであるQUICを使用することにより、ブラウジング体験を加速させます。ユーザーとWebサーバー間のラウンドトリップを削減することで、より高速のパフォーマンスを提供し、信頼性の低い接続を利用するユーザーのパフォーマンスを向上させます。HTTP/3のパフォーマンスの優位性について詳しくは、こちらから以前のブログをご覧ください。
HTTP/3の開発と導入
Cloudflareのミッションは、より良いインターネットの構築を支援することです。私たちは、HTTP/3がインターネットをより高速かつ安全にするための重要な構成要素であると考えています。IETFと密接に連携し、HTTP/3およびQUICの標準のドキュメント作成作業を重ねてきました。この取り組みに加えて、ChromeやFirefoxなどの一般的なブラウザがQUICをデフォルトで有効にしたことにより、HTTP/3は現在、全Webサイトの25%以上で使用されており、さらに徹底した分析につながっています。
Cloudflareは過去数年にわたり、HTTP/3の提唱を広く行ってきました。私たちはまず、2018年9月に基盤となるトランスポート層QUICのサポートを導入し、そこから翌年の2019年9月には、自社のリバースプロキシサービスにHTTP/3サポートを導入しました。それ以降も取り組みを続け、現在ではRFC 9114に準拠する最終的な「h3」識別子を使用して、HTTP/3の最新リビジョンをサポートしています。
HTTP/3の検証のハードル
HTTP/3には多くの利点がありますが、自社ネットワーク上のHTTPトラフィックをフィルタリングおよび検証しようとする管理者にとっては、導入することで複雑さとセキュリティのトレードオフが生じます。HTTP/3では、おなじみのHTTPリクエストと応答のセマンティクスが提供されていますが、QUICの使用は「ネットワーク上の」外観と動作に変化をもたらします。QUICはUDP上で動作するため、従来のTCPベースのプロトコルとはアーキテクチャが異なり、従来のセキュアWebゲートウェイによるサポートも不十分です。この2つの要因が重なることで、管理者にとって、ユーザーの期待するパフォーマンスを維持し、インターネットトラフィックの可視性と制御を確保しながら、進化する技術的状況に対応していくことが難しくなっていました。
HTTP/3に対して適切なセキュアWebゲートウェイのサポートが提供されていないため、管理者はユーザー向けのセキュリティとパフォーマンスのいずれか、またはその両方について妥協するよう迫られていました。セキュリティのトレードオフには、UDPトラフィックの検証が行われないことに加えて、インラインのウイルスのスキャン、データ損失防止、ブラウザ分離、トラフィックのロギングなどの重要なセキュリティ機能を使用できないことが含まれます。セキュリティ意識の高い企業にとって、セキュリティや可視性を放棄することは受け入れがたい選択であるため、管理者はエンドユーザーのデバイスでHTTP/3を積極的に無効化するようになりました。この場合、ユーザーのWebブラウザ内でQUICサポートを無効にする必要があるため、デプロイが複雑になり、パフォーマンスに影響が及びます。
HTTP/3の検証を有効にする方法
今年後半に一部のブラウザでHTTP/3の検証のサポート提供が可能になると、ダッシュボードからHTTP/3の検証を有効にすることができるようになります。Zero Trustダッシュボードにログインしたら、プロキシをオンに切り替え、UDPトラフィックのボックスをチェックし、 [Settings] > [Network] > [Firewall]でTLSの復号化を有効にする必要があります。これらの設定を有効にすると、HTTPポリシーを介して、組織のすべてのプロキシされたHTTPトラフィックにAVスキャン、リモートブラウザの分離、DLP、HTTPフィルタリングを適用できます。
得られるメリット
管理者は、進化する技術的状況に根ざしているセキュリティのトレードオフを考える必要がなくなり、組織とチームを保護することに集中できるようになります。HTTP/3の検証が利用可能になった時点で、Cloudflare Oneのすべてのお客様に連絡いたします。これにより、管理者はセキュアWebゲートウェイのデプロイを簡素化できるようになります。
HTTP/3トラフィックの検証は、すべてのプランタイプの管理者が利用できるようになります。サインアップがお済みでない場合は、ここをクリックして開始してください。