Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

SaaSプロバイダー向けセキュリティ

Loading...

Security for SaaS Providers

「サービスとしてのソフトウェア(SaaS)」の最大手プロバイダー数社が、Cloudflareを基礎インフラとして使用し、高速の読み込み、比類ない冗長性、最強のセキュリティを実現しています。その根底にあるのが、当社のCloudflare for SaaS 製品です。本日、Cloudflareをご利用いただいているSaaSプロバイダーに、顧客アプリケーションのセキュリティ強化に役立つ新ツールをご提供します。

Enterpriseプランのお客様には、顧客ごとのニーズに応じた、WAFルールセットを簡単に作成してデプロイできるWAF for SaaSをご提供します。これにより、SaaSプロバイダーは、セキュリティ要件に応じ、さまざまな形で顧客をグループ分けできます。

また、開発中のアプリケーションがリリース間近な開発者向けとして、Freeプラン、Proプラン、Businessプランのお客様に、Cloudflare for SaaS製品の無料枠をご用意しました。この新たなサービスにより、ご利用のアカウントでカスタムホスト名を100個、無料で取得できるようになり、プロビジョニングやテストにご利用いただけます。さらに、アプリケーションをスケールしやすいよう、カスタムホスト名の使用料金を月額2ドルから10セントへ引き下げます。

しかし、それだけではありません。Cloudflareでは、セキュリティはすべての人が利用できるものであるべきだと考えています。そこで、新しいWAFルールセットをFreeプランのお客様にも拡大適用し、すべてのお客様がご自身のアプリケーションと顧客アプリケーションの両方を保護できるようにします。

SaaSインフラを誰でも利用可能に

Cloudflareにとって、無料枠の設定はこだわりのひとつでもあります。すべてのお客様が安全にオンラインの環境を確保できるよう、すべてのお客様に当社ネットワークを活用していただくことがその根底にあります。当社では本日から、新たなSaaSサービスの構築を目指すお客様にもこのサポートを拡大し、Cloudflare for SaaSの無料枠をご利用いただけるようにします。これにより、ご利用開始時点から100個のカスタムホスト名を無料で利用可能になります。この100個のカスタムホスト名は、Cloudflare for SaaSの新規および既存のお客様に自動で割り当てられます。さらに、カスタムホスト名の使用料も月額2ドルから10セントへと引き下げることで、アプリケーションのリリースやスケールに尽力するSaaSプロバイダーを支援します。Cloudflare for SaaSをすでにお使いのお客様については、次回のご請求サイクルからカスタムホスト名の新料金が反映されます。

Cloudflare for SaaSは、SaaSプロバイダー向けのTLS証明書発行製品として始まりました。現在は、お客様が顧客の安全性とセキュリティを維持するために一層のセキュリティを提供できるよう支援しています。

WAF for SaaSの紹介

SaaSプロバイダーの顧客層は、家族経営のスモールビジネスから老舗銀行まで多様です。規模を問わずどのような顧客に対しても、SaaSプロバイダーとして最高の保護を提供できることが重要です。

Cloudflareでは最高のWebアプリケーションファイアウォールを作り上げるため、長年にわたり尽力してきました。高度なゼロデイ脆弱性保護を提供するマネージドルールから、一般的な手口の攻撃をブロックするOWASPルールまで、当社はお客様がご自身を保護するための最善のツールを提供してきました。そして今度は、顧客の安全とセキュリティの確保に責任を負うSaaSプロバイダーにも同じツールを提供したいと考えています。

Cloudflare for SaaSのメリットの一つは、SaaSプロバイダーが自身のSaaSゾーンでセキュリティルールの作成や設定を行い、それをそのプロバイダーの顧客が自動的に引き継げることです。そうとはいうものの、一つのルールですべてをカバーできるわけではありません。そこで当社は、Enterpriseプランのお客様がさまざまなWAFルールセットを作成し、それを顧客向けに拡張して個別のセキュリティパッケージとして提供できるようにします。それにより、エンドユーザーのニーズに合わせて、レベルの異なる保護を提供できるようになります。

利用開始

WAF for SaaSの設定は簡単です。以下に、さまざまな顧客に合わせて多様なバケットのWAFルールを設定する方法を例示します。

作成できるルールセットの数に制限はありませんので、顧客向けの設定をいくつか作成することも、顧客ごとに個別のルールセットをデプロイすることもできます。お客様の用途に合わせて、ご自由にお使いください。

エンドツーエンドの例

ステップ1 - カスタムホスト名の定義

Cloudflare for SaaSのお客様は、カスタムホスト名を作成することで、顧客のドメインを定義します。カスタムホスト名は、どのドメインをSaaSプロバイダーのオリジンにルーティングする必要があるかを示します。カスタムホスト名は、example.comのように特定のドメインを定義することも、*.example.comのようにワイルドカードに拡張して、example.comのサブドメインがSaaSサービスにルーティングされるようにすることもできます。WAF for SaaSは、両タイプのカスタムホスト名をサポートしているため、SaaSプロバイダーは保護範囲を柔軟に選択することができます。

最初のステップは、カスタムホスト名を作成して顧客ドメインを定義することです。これはダッシュボードかAPIを通じて行います。

curl -X POST "https://api.cloudflare.com/client/v4/zones/{zone:id}/custom_hostnames" \
     -H "X-Auth-Email: {email}" -H "X-Auth-Key: {key}"\
     -H "Content-Type: application/json" \
     --data '{

"Hostname":{“example.com”},
"Ssl":{wildcard: true}
}'

ステップ2 - カスタムメタデータをカスタムホスト名に関連付ける

次に、カスタムホスト名(顧客ドメイン)と、それに付けるファイアウォールルールセットの関連付けを行います。

これは、JSON blobをカスタムホスト名に関連付けることで行います。当社製品のCustom Metadataであれば、API を介して簡単に関連付けることができます。

以下の例では、2つのフィールド(「customer_id」と「security_level」)を持つJSON blobが、*.example.comexample.comの各リクエストに関連付けられます。

カスタムメタデータには、あらかじめ決められたスキーマはありません。フィールド名や構造は、お客様のニーズに合わせて自由にカスタマイズすることができます。この例では、「security_level」というタグを選択し、3つの値(低、中、高)を割り当てることを想定しています。これによって、3つの異なるルールセットが起動されます。

curl -sXPATCH "https://api.cloudflare.com/client/v4/zones/{zone:id}/custom_hostnames/{custom_hostname:id}"\
    -H "X-Auth-Email: {email}" -H "X-Auth-Key: {key}"\
    -H "Content-Type: application/json"\
    -d '{
"Custom_metadata":{
"customer_id":"12345",
“security_level”: “low”
}
}'

ステップ3 - タグに基づいてセキュリティ製品を起動

最後に、カスタムホスト名に基づいてルールを起動します。カスタムメタデータのフィールド、たとえば「security_level」は、WAFが稼働するルールセットエンジンにあります。この例では、「security_level」を使って、WAF、Firewall Rules、Advanced Rate Limiting、Transform Rulesなどの製品のさまざまな設定を起動することが可能です。

ルールは、以下のようにダッシュボードまたはAPIを介して作成できます。ここでは、「security_level」をに設定し、トラフィックに対するレート制限ルールを起動します。

curl -X PUT "https://api.cloudflare.com/client/v4/zones/{zone:id}/rulesets/phases/http_ratelimit/entrypoint" \
    -H "X-Auth-Email: {email}" -H "X-Auth-Key: {key}"\
    -H "Content-Type: application/json"\
    -d '{

"rules": [
              {
                "action": "block",
                "ratelimit": {
                  "characteristics": [
                    "cf.colo.id",
                    "ip.src"
                  ],
                  "period": 10,
                  "requests_per_period": 2,
                  "mitigation_timeout": 60
                },
                "expression": "lookup_json_string(cf.hostname.metadata, \"security_level\") eq \"low\" and http.request.uri contains \"login\""
              }
            ]
          }}'

Advanced Rate Limitingについては、Cloudflareのドキュメントに詳細を記載しています。

まとめ

当社は、SaaSを提供するお客様のインフラニーズを満たすプロバイダーであることを嬉しく思います。カスタムドメインからTLS証明書、Webアプリケーションファイアウォールまで、当社でお手伝いできます。Cloudflare for SaaSを今すぐ使い始めましょう。Enterpriseを既にお使いのお客様であれば、担当のアカウントチームに連絡してWAF for SaaSの利用を開始してください。

Cloudflareは 企業のネットワーク全体 を保護し、お客様が インターネット規模のアプリケーションを効率的に 構築するためのお手伝いをします。また、すべての Webサイトまたはインターネットアプリケーション を迅速化し、 DDoS攻撃を軽減して、 ハッカーを封じ込めます 。さらに、 Zero Trustを始める、あるいは導入のあらゆるフェーズにいる お客様を支援します。

インターネットを高速化し、安全性を高めるには、ご使用のデバイスから 1.1.1.1 にアクセスすることで、Cloudflareの無料アプリをご利用いただけます。

より良いインターネットの構築を支援するというCloudflareの使命について詳しくは、 こちら をご覧ください。新たなキャリア形成をお考えの方は、 求人情報 にアクセスしてください。

セキュリティウィーク SaaS (JP) SaaSセキュリティ

Follow on Twitter

Dina Kozlov |@dinasaur_404
Cloudflare |Cloudflare

Related Posts

March 25, 2021 1:01PM

Page Shield:ブラウザ上のユーザーデータを保護する

本日、新たにクライアント側のセキュリティ製品であるPage Shieldをご紹介いたします。この製品は、お客様側で、エンドユーザー側のブラウザで発生した攻撃を検出するためにご利用いただく製品です。...

March 18, 2022 1:00PM

Zero Trustへの架け橋

本日、従来のネットワークアーキテクチャからZero Trustへの移行を支援するパズルのピースをもう一つ発表できることを嬉しく思います。それが、軽量ローミングエージェント( WARP )をインストールしたユーザーデバイスからのトラフィックを、マジックIP層トンネル(エニーキャストGRE 、 IPsec 、またはCNI )に接続された任意のネットワークにルーティングすることができる機能です...

March 16, 2022 12:59PM

Cloudflare APIゲートウェイを発表

本日は、CloudflareAPIゲートウェイを発表します。既存のゲートウェイをわずかな費用で完全に置き換えることができます。また、当社のソリューションでは、Workers、ボット管理、Access、および変換ルールの背後にあるテクノロジーを使用した、市場で最も高度なAPIツールセットを提供します...

March 30, 2021 4:14PM

エンドユーザーセキュリティ:Cloudflareでのアカウント乗っ取り対策

エンドユーザーアカウントのセキュリティは常に最優先事項ですが、解決するのは難しい問題です。さらに厄介なことに、ユーザーの認証は困難です。 認証情報のデータセットの流出が一般的になり、Webをクローリングする高度なボットがクレデンシャルスタッフィング攻撃が仕掛けられる中で、認証エンドポイントの保護や監視をすることは、セキュリティに重点を置いたチームにとって課題となります。これに加えて、多くの認証エンドポイントは依然として正しいユーザー名とパスワードを提供することだけに依存しているため、検出されないクレデンシャルスタッフィングが、悪意のある行為者によるアカウントの乗っ取りにもつながります。...