今日は、管理者が専用のソースIPを使用し、Cloudflareでセキュリティポリシーを作成する方法を紹介します。従来のVPN、ファイアウォール、セキュアWebゲートウェイ(SWG)などのオンプレミスのアプライアンスにおいて、静的なソースIPに基づく許可リストポリシーに依存するのが便利でした。しかし、これらのハードウェアアプライアンスは、管理・拡張が難しく、固有の脆弱性があり、グローバルに分散したリモートワーカーからのトラフィックをサポートするのに苦慮する状況となっています。
今週は、こうしたレガシーなツールから、当社のSWGであるCloudflare Gatewayのようなサービスが提供するインターネットネイティブなZero Trustセキュリティに移行する方法について説明してきました。Cloudflare Gatewayは、当社の広範なZero Trustプラットフォームのその他の部分とネイティブに統合された重要なサービスとして、再帰的DNS、Zero Trustネットワークアクセス、リモートブラウザ分離、インラインCASBなどの機能のためのトラフィックフィルタリングとルーティングも可能にしています。
ただ、組織がクラウドベースのプロキシサービスに移行する際、管理者はソースIPの利便性を維持したいと考えるでしょう。本ブログでは、エグレストラフィックに専用IPを用意するアプローチについて説明し、管理者が行う制御をこれまで以上に強化する、今後の機能についても紹介しています。
Cloudflareの専用エグレスIP
インターネット上のアプリケーションやサードパーティの宛先にアクセスする際に、ソースIPは、トラフィックが既知の組織またはユーザーから発信されていることを確認する方法として、今でもよく使われています。企業がCloudflareを安全なウェブゲートウェイとして使用する場合、ユーザーのトラフィックは当社のグローバルネットワークを介してプロキシされ、ユーザーに最も近いデータセンターで、フィルタリングとルーティングのポリシーが適用されます。特にグローバルに分散しているワークフォースやローミングユーザーにとって大きな力となるでしょう。管理者はユーザーの移動に合わせて静的IPリストを更新する必要がなく、1つのロケーションがユーザートラフィックのボトルネックになってしまうことがありません。
現在、プロキシされるトラフィックのソースIPは、次の2つの選択肢のうちの1つとなっています。
デバイスクライアント(Warp)プロキシIP - Cloudflareは、すべてのZero Trustアカウントで共有されるデフォルトのIP範囲からのIPを使用して、ユーザーからのトラフィックをプロキシ転送します
専用エグレスIP - お客様は、Cloudflareが提供する複数のCloudflareネットワークロケーションに地理的に位置する専用IP(IPv4およびIPv6)またはIPの範囲が利用できるようになります
WarpプロキシのIP範囲は、Cloudflare Zero Trustのすべてのお客様にとってデフォルトのエグレス方法となっています。ユーザーのトラフィックは最も近いCloudflareネットワークロケーションに送信されるため、最高のパフォーマンスを誇るインターネット体験を保証し、お客様の組織のプライバシーを保護する素晴らしい方法なのです。しかし、このデフォルトのIP範囲に基づいてソースIPセキュリティポリシーを設定しても、管理者がユーザートラフィックをフィルタリングするために必要とする粒度が得られないことがしばしばあります。
専用エグレスIPは、管理者が永続的な識別子に基づいてトラフィックを許可リスト化したい場合に便利です。その名が示すように、この専用エグレスIPは割り当てられたお客様だけが利用でき、Cloudflareのネットワークを介してトラフィックをルーティングする他のお客様は利用できません。
さらに、これらの専用エグレスIPをCloudflareからリースすることで、組織独自のIP範囲から切り分ける際に発生するプライバシーに関する懸念も回避できます。さらに、オンプレミスのVPNアプライアンスに割り当てられたIP範囲を、DDoS攻撃などから保護する必要性も軽減されます。
専用エグレスIPは、Cloudflare Zero TrustのEnterprise契約のお客様であれば、アドオンで利用可能です。ご契約いただいたお客様は、専用エグレスに使用する特定のCloudflareデータセンターを選択でき、登録されたすべてのお客様は2つ以上のIPを受け取って開始することになります。そのため、ユーザートラフィックは常にパフォーマンスと耐障害性を確保するために、最も近いエグレス専用データセンターにルーティングされます。そして最後に、企業はCloudflareの専用IPを経由して、ご希望のオンランプでトラフィックをエグレスすることも可能です。これには、Cloudflareのデバイスクライアント(Warp)、プロキシエンドポイント、GREおよびIPsecオンランプ、あるいは主要ISPやクラウドプロバイダや企業など、1600以上のピアリングネットワーク拠点が含まれます。
最近のお客様のユースケース
Cloudflareの世界中のお客様は、Gatewayの専用エグレスIPを使用して、アプリケーションアクセスの効率化を実現しています。デプロイされているお客様の規模や業種はさまざまです。その中でも最も一般的な3つのユースケースを以下にご紹介します。
サードパーティからアプリへのアクセスを許可する: ユーザーは、サプライヤー、パートナー、その他のサードパーティ組織が管理するツールにアクセスする必要がある場合がしばしばあるでしょう。これらの外部組織は、トラフィックを認証するためにソースIPに今も依存していることが少なくありません。専用エグレスIPを使用することで、これらのサードパーティは、既存の制約に容易に適合することができます。
**SaaSアプリへのアクセスを許可する:**ソースIPは、ユーザーがSaaSアプリケーションにアクセスする際の深層防御として、多要素認証やIDプロバイダのチェックなどのより高度な措置とともに、依然として一般的に使用されています。
**VPN利用の非推奨:**ホストされたVPNは多くの場合、顧客がアドバタイズしたIP範囲内のIPが割り当てられます。VPNのセキュリティ上の欠陥、パフォーマンスの制限、管理の複雑さについては、最近のCloudflareブログで多く取り上げています。顧客の移行を容易にするために、ユーザーはしばしば現在行われているIP許可リストプロセスの維持を選択します。
これにより、管理者は固定された既知のIPでポリシーを構築する利便性を維持しながら、Cloudflareのグローバルネットワークを経由したルーティングにより、エンドユーザーのパフォーマンスを加速させることができます。
Cloudflare Zero Trustのエグレスポリシー
本日、Cloudflareの専用エグレスIPを使用した、よりきめ細かいポリシーを構築する今後の方法について発表します。Cloudflare Zero Trustダッシュボードで近日公開予定のエグレスIPポリシービルダーを使えば、管理者はID、アプリケーション、ネットワーク、ジオロケーションの属性に基づいて、エグレストラフィックに使用するIPを指定できます。
特定のアプリケーション、特定のインターネット宛先、特定のユーザーグループなど、特定のトラフィックのみを専用のエグレスIPにルーティングしたい状況は、管理者にとってよくあることです。まもなく管理者は、アプリケーション、コンテンツカテゴリー、ドメイン、ユーザーグループ、宛先IPなど、さまざまなセレクタに基づいて、好みのエグレス方法を設定できるようになります。この柔軟性によって企業はセキュリティに対して多層的なアプローチを取ることができ、同時に、特に重要な宛先に対して高いパフォーマンスを維持することができます(多くの場合、専用IPを使用します)。
さらに管理者は、エグレスIPポリシービルダーを使用して、Cloudflareの拠点がある国や地域へ地理的にトラフィックを割り当てることができるようになります。このジオロケーション機能は、グローバルに分散したチームにおいて、その地域に特化した体験を必要とする場合にとりわけ有効となります。
例えば、大手メディアコングロマリットのマーケティングチームが、複数の地域で展開されるデジタル広告のレイアウトを検証することになったとしましょう。Cloudflareと提携する前まで、どのチームも広告が地域市場で期待通りに表示されているかの確認に、不便な手作業を行っていました。地域市場にいる同僚に確認してもらうか、VPNサービスを立ち上げて地域へトラフィックをプロキシする必要があったのです。エグレスポリシーを適用することで、たやすく地域ごとのカスタムテストドメインをマッチングさせ、そこに配置された専用IPを使用してエグレスすることができます。
次にすべきこと
Cloudflare Zero Trust Enterprise プランに追加するか、アカウントチームに連絡することで、Cloudflareの専用エグレスIPをご利用いただけます。Gatewayエグレスポリシービルダーのリリース時に通知をご希望される方は、こちらのウェイティングリストにご登録ください。