Webサイト全体のユーザーのアクティビティを追跡するサードパーティのCookieから、IPアドレスと閲覧データに基づく高度なターゲティング広告まで、今日のインターネット閲覧エクスペリエンスは内密であるべきなのに、それほど内密ではないことはよく知られています。 Cloudflareでは、誰もが執拗な追跡や詮索の目から解放されてインターネットを閲覧できるべきだと考えています。
そのため、Microsoft Edgeと提携し、ブラウザで高速かつ安全なVPNを提供できるようになったことを発表でき、嬉しく思います。新しいものをインストールしたり、複雑な概念を理解したりしなくても、最新のネットワークレベルのプライバシーを手に入れることができます。EdgeセキュアネットワークVPNは、ほとんどの市場で、Microsoft Edgeの最新コンシューマーバージョンを利用でき、5GBのデータが自動的に付属します。_[Microsoft Edgeの設定とさらに(…)>ブラウザーの基本]に移動し、[VPNを無料で入手]_をクリックしてこの機能を有効にするだけです。詳細については、MicrosoftのEdgeセキュアネットワークページを参照してください。
Cloudflareのプライバシープロキシプラットフォームは典型的なVPNではありません
一歩下がってみる:VPNは、デバイスを離れるインターネットトラフィックが、プロバイダー–(この場合はCloudflare)が運営する中間サーバーを介してトンネリングされる方法です!これを可能にする重要な要素は数多くありますが、その中には、トンネルの確立方法とトラフィックがトンネルを通って流れる方法を定義するVPNプロトコルがあります。次のプロトコルについて聞いたことがあるかもしれません:たとえば、Wireguard、IPsec、およびOpenVPNです。そして、私たちはこれらに精通しているわけではありませんが、(CloudflareのWireGuard実装は現在1.1.1.1+WARPを使用する何百万ものデバイスで使用されています)–プライバシープロキシプラットフォームは、インターネットプライバシーの次のフロンティアを推進し、Cloudflareのコアバリューの1つであるオープンなインターネット標準を採用する手段だと、私たちは考えています。
プライバシープロキシプラットフォームは、HTTP CONNECT(HTTP標準で定義されているメソッド)を実装しており、トンネルを確立し、そのトンネルを介して信頼性の高い順序付けられたバイトストリームを送信することにより、トラフィックをプロキシします。このプロキシする方法(およびその歴史)の詳細については、プロキシ入門をご覧ください。
また、Cloudflareのプライバシー指向のインフラストラクチャのうち、すでに大規模にデプロイされているその他の部分も活用しています。リクエストはまず、DNSに1.1.1.1を利用し、クライアント認証には、Privacy Passに基づくトークンプロキシを使用し、Geo-エグレスを使用して、ユーザーの正確な場所を公開することなく正確なエグレスIPアドレスを選択します。
仕組み
これらのコンポーネントの詳細を見てみましょう。このブログの目的として、ユーザーがインターネット(携帯電話、タブレット、またはコンピューター)の閲覧に使用しているデバイスを_クライアント_と呼び、アクセスしようとしているWebサイトを_オリジンサイト_と呼びます。
プライバシープロキシプラットフォームには3つのメイン部分があります。
トークンプロキシ:これは、あなたが正規のMicrosoftアカウントを持つEdgeセキュアネットワークのユーザーであるかどうかをチェックするサービスです。
プライバシーAPI:上記に基づいて、CloudflareのプライバシーAPIは、クライアントがプロキシ自体への認証に使用する認証トークンを発行します。
プライバシープロキシ:これは、Cloudflareのネットワーク上で実行されるHTTP CONNECTベースのプロキシサービスです。このサービスは、クライアントが有効な認証トークンを提示しているかをチェックし、提示している場合、暗号化されたHTTPリクエストをオリジンサイトにプロキシします。また、使用する有効なエグレスIPアドレスを選択する責任があります。
Edgeセキュアネットワークの保護がオンになっている場合–たとえば、ユーザーがコーヒーショップでオープンWi-Fiネットワークに接続した際に、プロキシは自動的にクライアントにトークンを認証するよう促します。クライアントがトークンを持っている場合は、それを提示します。持っていない場合は、トークンプロキシを利用して、認証者と発行者の協力を得て新しいプールを作成します。認証者はクライアントとMicrosoftアカウントの有効性をチェックし、代わりに、発行者はそのクライアントのトークンを発行します。このダンスはプライバシーパスプロトコルに基づいています。重要なことは、これにより、Cloudflareは、Microsoftユーザーから個人情報を収集または保存することなく、クライアントが本人であることを検証できることです。
クライアントが有効なトークンをプロキシサーバーに提示すると、プライバシープロキシはクライアントのジオロケーションのハッシュに基づき有効なエグレスIPアドレスを選択します。次に、DNSレコード(CloudflareのDNSリゾルバー1.1.1.1が提供)を使用して、オリジンWebサイトへの暗号化されたセッションを開きます。そこからは非常に簡単です。ユーザーがそのサイトの閲覧し続けると、その接続を介してさらなるリクエストが送信され、ブラウザを停止または閉じると、その接続も閉じます。
Cloudflareは毎秒数百万のリクエストをプロキシするため、プロキシの運用面の多くはOxyによって管理されます。Oxyは、テレメトリ、グレースフルリスタートからストリームの多重化やIPフォールバック、認証フックまで、あらゆるものを処理するプロキシフレームワークです。
Cloudflareのネットワークによる低ラストマイル遅延およびジオロケーションの均等性
Cloudflareのプライバシープロキシ実装は、プライバシーを犠牲にすることなくユーザーエクスペリエンスを最大化します。Edgeセキュアネットワークを有効にすると、ユーザーは地理的に位置する場所に関連した検索結果や閲覧結果を取得できます。Cloudflareでは、これをピザテストと呼んでいます。ユーザーは当社のプライバシープロキシ製品のいずれかを使用でき、なおかつ「近くのピザ店」の結果を取得できるようになっています。これは、ユーザーの場所に対応するIPアドレスを持つCloudflareデータセンターを常に経由し、エグレスすることで実現します。–1.1.1.1+WARPでこれを行った方法については、詳しく説明しています。
数十、場合によっては数百のサーバーを持つ一般的なVPN事業者とは異なり、Cloudflareは、300以上の都市にデータセンターを設置するなど、はるかに大きなフットプリントを保有しています。当社のネットワークはエニーキャストの「あらゆるサービスをどこでも」がアプローチであるため、当社の各データセンターは、Edgeセキュアネットワーククライアントからのトラフィックを受け入れることができます。このことは、Edgeユーザーが地理的に非常に近いCloudflareデータセンターを自動的に検出して接続し、ラストマイルの遅延を最小限に抑えることを意味します。最後に、Cloudflareは、CDNも運用しているため、すでにCloudflare上にあるWebサイトには「ホットパス」が与えられ、読み込みが速くなります。
私たちCloudflareは、オープンなインターネットにより多くのプライバシーオプションを提供できるよう常に努力しており、よりプライベートで安全なブラウジングをEdgeユーザーに提供できることを嬉しく思います。詳細については、MicrosoftのEdgeセキュアネットワークページまたは、Microsoftのサポートページにアクセスしてください。このようなプライバシー保護プロキシの使用に関心のあるパートナーの方は、こちらのフォームにご記入ください。