Cloudflareでは常識を覆すようなアイデアを尊重します。「セキュリティはすべての人が利用できるべきもの」という根本にある信念とそうしたアイデアを組み合わせたことで、あらゆる人々のためにより良い、安全なインターネットへとつながりました。
これはよもやま話ではありません。たとえば、2014年のことですが、CloudflareはUniversal SSLを発表しました。その翌日、100万件を超えるインターネットプロパティにSSL/TLSの暗号化機能を提供しました。このサービスはすべて無料で、証明書の設定も不要でした。これは、Cloudflareのお客様にとって有益であっただけでなく、Webを利用するすべての人に価値あるものとなりました。
2017年、定額制のDDoS軽減を発表しました。お客様にDDoSの帯域幅分をご請求することが適切と考えたことはありませんでした。そのため、お客様にその費用の負担をお願いしたことはありません。しかし、有料・無料を問わず、すべてのお客様に定額制の軽減をご提供できるネットワーク規模に到達するのに時間がかかりました。
ところが、これの実現方法について、今でも問い合わせを受けます。実際にこれはとてもシンプルです。私たちは自在にスケール可能な高度で効率的なテクノロジーを構築することにより、これを実現します。それがコストを低く抑えることにもつながります。
本日、Cloudflare WAF(Webアプリケーションファイアウォール)のマネージドルールセットをCloudflareの全プランに無料で提供することで、再びこれを実現します。
Cloudflareがこの取り組みを実施する理由は?
注目度の高い脆弱性は、あらゆる規模の組織に影響を与えながらインターネット上で深刻な影響を及ぼします。 最近では「Log4J」がこれに該当しますが、それ以前にも「Shellshock」や「Heartbleed」といった深刻な脆弱性がインターネット上に傷跡を残しています。
小規模なアプリケーションの所有者やチームは、セキュリティ関連のパッチを迅速に適用するだけの時間がないため、多くのアプリケーションが危険にさらされたり、不正な目的で使用されたりすることがあります。
Cloudflareのプロキシの背後には何百万ものインターネット資産が存在しているため、当社にはWebの安全を守るための支援をする義務があります。Log4Jの対応では、FREEゾーンを含むすべてのトラフィックに緩和ルールの展開を実施しました。当社では現在、新しいWAFエンジン上のすべてのプランにCloudflare Freeマネージドルールセットを提供することで、当社のコミットメントを正式なものにしていきます。
Cloudflareがこの取り組み参加するメリットは?
FREEプランをご利用の方は、すでに保護を受けています。また、今後数ヶ月の間にすべてのFREEゾーンプランのユーザーは、ダッシュボードからCloudflare WAFのユーザーインターフェースにアクセスして新しいルールセットの導入・設定が可能になります。このルールセットには、「Shellshock」や「Log4J」などの良く知られた脆弱性に対する緩和ルールの提供が予定されています。
より広範なWAFルールセット(Cloudflare管理ルール、Cloudflare OWASPコアルールセット、Cloudflare資格情報漏えいチェックルールセット)と高度なWAF機能をご利用いただくには、PRO以上のプランへのアップグレードが必要です。
課題
Cloudflareのグローバルネットワークでは、毎秒3200万以上のHTTPリクエストがプロキシされており、すべてのリクエストに対してWAFを実行することは容易ではありません。
WAFは、悪意のあるペイロードを表す特定のパターンを探す一連のルール(シグネチャとも呼ばれる)を実行することによって、ボディを含むすべてのHTTPリクエストのコンポーネントを保護します。これらのルールは複雑さが異なり、ルールが多いほどシステムを最適化するのが難しくなります。また、多くのルールで正規表現機能を採用しているため、複雑なマッチングロジックを適用したルールを作成することができます。
セキュリティにパフォーマンス上のマイナス要素があってはなりません。多くのアプリケーションオーナーからは、パフォーマンスの利点を求めてCloudflareをご利用いただいているため、これらはすべてレイテンシへの影響を無視できる程度に抑える必要があります。
新しいWAFが構築された基盤である新しいEdge Rules Engineを活用することで、利用者が快適性を感じるレベルのパフォーマンスとメモリのマイルストーンが達成でき、これによって、すべての人に優れた基本的なWAF保護を提供することができるようになりました。新しいCloudflare Freeマネージドルールセットの登場です。
無料のCloudflareマネージドルールセット
このルールセットは、Cloudflareの新規ゾーンに自動的に導入され、非常に幅広い種類のトラフィックに対して誤検知を最小限に抑えるよう特別に設計されています。お客様は、必要に応じてこのルールセットを無効にしたり、トラフィックフィルタや個々のルールを設定したりすることができます。本日現在、このルールセットには以下のルールが含まれています。
- URIとHTTPヘッダーのペイロードにマッチさせるLog4Jのルール。
- Shellshockのルール。
- 非常に一般的なWordPressのエクスプロイトにマッチさせるルール。
ルールが一致すると、「セキュリティの概要」タブ内にイベントが生成され、リクエストを検査できるようになります。
デプロイとコンフィグレーション
新しいFREEゾーンはすべて、ルールセットが自動的に導入されます。ルールはCloudflareネットワーク上でバトルテストが実施されており、ほとんどのアプリケーションにそのまま安全に導入することができます。お客様は、いずれの場合も次の方法でルールセットをさらに設定することができます。
- すべてのルールをLOGまたは他のアクションに上書きする。
- LOGまたは他のアクションにのみ特定のルールを上書きする。
- ルールセットまたは特定のルールを完全に無効する。
すべてのオプションは、ダッシュボードから簡単にアクセスできますが、APIを介して実行することもできます。ルールセットの設定方法に関するドキュメントは、UIでの提供後、当社の開発者サイトへの掲載を予定しています。
次は何が起きるでしょう?
Cloudflare Freeマネージドルールセットは、広範囲に及ぶ関連する脆弱性発見の都度、Cloudflareによる更新を予定しています。ルールセットの更新は、当社の変更ログで公開され、お客様は新しいルールの最新情報を入手することができるようになります。
私たちは、クールで新しい技術を作ることをこよなく愛しています。しかし、それを広く普及させること、より簡単に使えるようにすることに対しても同じように愛を持っています。当社では、お金をかけずに使えるWAFで、すべての人のWebをより安全なものにできることを嬉しく思います。ご興味をお持ちいただけましたら、こちらからFREEプランにご登録ください。