新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

Zone Holdsでドメインを保護

2023-04-06

3分で読了
この投稿はEnglish繁體中文한국어简体中文でも表示されます。

本日、企業のお客様向けの新機能であるZone Holdsを発表します。この機能は、自分以外が同じゾーンを別のCloudflareアカウントに追加する権限および追加できるタイミングを制御できるようにするものです。社内の複数のチームがCloudflare Oneを使用する場合、誤って他のチームと干渉し、2つのアカウントで同じゾーンを管理しようとするかもしれません。Zone Holdsは、ゾーンのアカウント所有者から明示的な許可が与えられない限り、1つのアカウントだけが指定されたドメイン(必要に応じてサブドメインまたはカスタムホスト名を含む)を含めることができることを強制することによって、このようなことが起こらないようにします。

今起こり得る問題

Cloudflareはすでに、トラフィックが当社のグローバルネットワークを介してプロキシされる前に、DNSを介してゾーンが認証されることを要求しています。これにより、ドメイン所有者のみがトラフィックの送信を許可し、Cloudflareで制御できるようになります。しかし、私たちのお客様の多くは、Webプロパティの保護と、高速化に努める多くのチームを擁する大企業です。このような場合、あるチームはあるドメインがすでにCloudflareで保護されていることに気づかないことがあります。Cloudflareで同じドメインの2つ目のインスタンスをアクティブ化すると、別のチームがすでにCloudflareで管理していた元のゾーンを置き換えることになります。これは、元のゾーンが再アクティブ化されるまでの間、ダウンタイムやセキュリティ問題を引き起こす可能性があります。もし、この2つのチームが互いのことを知り、コミュニケーションを取っていれば、ほとんどの場合、サブドメインやカスタムホスト名など、多くのオプションのいずれかを使って問題を回避できたでしょう。このようなミスを犯す前に、チームが潜在的なリスクを認識できるようにするにはどうすればいいのでしょうか?

Zone Holdsでお客様を保護する方法

Zone Holdsを使用している場合、ホールドされているドメインを追加しようとすると、ドメイン所有者に連絡する必要があること知らせるエラーが返されます。Zone Holdsは、すべての企業のゾーンでデフォルトで有効になっています。ホールドはゾーン概要画面から管理できます。オプションで、ホールドを拡張してサブドメインやカスタムホスト名にも適用することができます。ホールドを無効にする場合、一定時間後にホールドを再び有効にするように設定することができます。これにより、誤ってホールドを永久に無効にしたままにすることがなくなります。Zone Holdsがどのようにお客様に役立つかを理解するために、例を挙げてみましょう。

サブドメインの保護を含まないアクティブゾーンのホールド

Example Corp(架空の企業)- Zone Holds使用前

Example CorpはCloudflareの大口顧客です。同社のインフラチームは、Cloudflareを使用してexample.comのすべてのトラフィックを保護しています。保護対象にはマーケティングサイトであるwww.example.comと、顧客向けAPIであるAPI.example.comも含まれます。同社はCloudflareを導入する際、会社のすべてのDNSを管理するIT部門に、example.comのすべてのトラフィックがCloudflareを経由するようにレジストラでDNSレコードを設定するよう指示しています。

それから1年後、マーケティング部門はwww.example.comのトラフィックにCloudflareのボット管理ソリューションを採用したいと考えました。マーケティング部門はexample.comを登録し、レジストラで提供されたNSレコードを設定するためにIT部門に連絡します。IT部門は、Cloudflareがすでに使用されていることに気づいていないため、インフラストラクチャチームによって管理されている既存のゾーンに影響が及ぶことを把握していません。新しいゾーンがアクティブ化され、www.example.comだけでなく、API.example.comへのトラフィックも影響を受けたため、インシデントが発生しました。Zone Holdsがあれば、この事故は避けられたでしょう。その方法を見てみましょう。

Example Corp(架空の企業)- Zone Holds使用後

Example CorpはCloudflareにサインアップし、example.comをENTゾーンとしてアカウントに追加します。自動的にドメインでZone Holdが有効になり、他のCloudflareアカウントがexample.comを追加できなくなります。続いて、example.comのドメインの下にあるサブドメインまたはカスタムホスト名のホールドも有効にします。

その後、ACMEのマーケティング部門は、www.example.comでCloudflareの使用を開始したいと考えています。そのドメインをCloudflareに追加しようとすると、ドメイン所有者に連絡する必要があることを通知するエラーが表示されます。

ACMEのマーケティング部門が社内に問い合わせたところ、インフラチームがこのドメインを管理しており、このゾーンをアクティブにするとインシデントが発生することを知りました!代わりに、両チームは、マーケティングチームがマーケティングサイトをコントロールできるように、www.example.comのサブドメインを追加することを決定します。インフラチームはacme.comのサブドメインのホールドを解除し、マーケティングチームは自分のアカウントにwww.example.comを追加します。

セットアップとアクティブ化が完了すると、ボット管理を活用してマーケティングサイトを保護できるようになり、予期しない影響が発生する可能性はなくなります。

Zone Holdsを始める

Zone Holdsは、すべての企業のゾーンで使用できるようになり、デフォルトで有効になっています。Zone Holdsは、企業のゾーンのゾーン概要画面から管理できます。オプションで、ホールドを拡張してサブドメインやカスタムホスト名にも適用することができます。ホールドを無効にする場合、一定時間後にホールドを再び有効にするように設定することができます。これにより、誤ってホールドを永久に無効にしたままにすることがなくなります。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
Dashboard製品ニュース

Xでフォロー

Cloudflare|@cloudflare

関連ブログ投稿

2024年10月24日 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

2024年10月08日 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

2024年9月27日 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...

2024年9月26日 13:00

Making Workers AI faster and more efficient: Performance optimization with KV cache compression and speculative decoding

With a new generation of data center accelerator hardware and using optimization techniques such as KV cache compression and speculative decoding, we’ve made large language model (LLM) inference lightning-fast on the Cloudflare Workers AI platform....