本日、企業のお客様向けの新機能であるZone Holdsを発表します。この機能は、自分以外が同じゾーンを別のCloudflareアカウントに追加する権限および追加できるタイミングを制御できるようにするものです。社内の複数のチームがCloudflare Oneを使用する場合、誤って他のチームと干渉し、2つのアカウントで同じゾーンを管理しようとするかもしれません。Zone Holdsは、ゾーンのアカウント所有者から明示的な許可が与えられない限り、1つのアカウントだけが指定されたドメイン(必要に応じてサブドメインまたはカスタムホスト名を含む)を含めることができることを強制することによって、このようなことが起こらないようにします。
今起こり得る問題
Cloudflareはすでに、トラフィックが当社のグローバルネットワークを介してプロキシされる前に、DNSを介してゾーンが認証されることを要求しています。これにより、ドメイン所有者のみがトラフィックの送信を許可し、Cloudflareで制御できるようになります。しかし、私たちのお客様の多くは、Webプロパティの保護と、高速化に努める多くのチームを擁する大企業です。このような場合、あるチームはあるドメインがすでにCloudflareで保護されていることに気づかないことがあります。Cloudflareで同じドメインの2つ目のインスタンスをアクティブ化すると、別のチームがすでにCloudflareで管理していた元のゾーンを置き換えることになります。これは、元のゾーンが再アクティブ化されるまでの間、ダウンタイムやセキュリティ問題を引き起こす可能性があります。もし、この2つのチームが互いのことを知り、コミュニケーションを取っていれば、ほとんどの場合、サブドメインやカスタムホスト名など、多くのオプションのいずれかを使って問題を回避できたでしょう。このようなミスを犯す前に、チームが潜在的なリスクを認識できるようにするにはどうすればいいのでしょうか?
Zone Holdsでお客様を保護する方法
Zone Holdsを使用している場合、ホールドされているドメインを追加しようとすると、ドメイン所有者に連絡する必要があること知らせるエラーが返されます。Zone Holdsは、すべての企業のゾーンでデフォルトで有効になっています。ホールドはゾーン概要画面から管理できます。オプションで、ホールドを拡張してサブドメインやカスタムホスト名にも適用することができます。ホールドを無効にする場合、一定時間後にホールドを再び有効にするように設定することができます。これにより、誤ってホールドを永久に無効にしたままにすることがなくなります。Zone Holdsがどのようにお客様に役立つかを理解するために、例を挙げてみましょう。
サブドメインの保護を含まないアクティブゾーンのホールド
Example Corp(架空の企業)- Zone Holds使用前
Example CorpはCloudflareの大口顧客です。同社のインフラチームは、Cloudflareを使用してexample.comのすべてのトラフィックを保護しています。保護対象にはマーケティングサイトであるwww.example.comと、顧客向けAPIであるAPI.example.comも含まれます。同社はCloudflareを導入する際、会社のすべてのDNSを管理するIT部門に、example.comのすべてのトラフィックがCloudflareを経由するようにレジストラでDNSレコードを設定するよう指示しています。
それから1年後、マーケティング部門はwww.example.comのトラフィックにCloudflareのボット管理ソリューションを採用したいと考えました。マーケティング部門はexample.comを登録し、レジストラで提供されたNSレコードを設定するためにIT部門に連絡します。IT部門は、Cloudflareがすでに使用されていることに気づいていないため、インフラストラクチャチームによって管理されている既存のゾーンに影響が及ぶことを把握していません。新しいゾーンがアクティブ化され、www.example.comだけでなく、API.example.comへのトラフィックも影響を受けたため、インシデントが発生しました。Zone Holdsがあれば、この事故は避けられたでしょう。その方法を見てみましょう。
Example Corp(架空の企業)- Zone Holds使用後
Example CorpはCloudflareにサインアップし、example.comをENTゾーンとしてアカウントに追加します。自動的にドメインでZone Holdが有効になり、他のCloudflareアカウントがexample.comを追加できなくなります。続いて、example.comのドメインの下にあるサブドメインまたはカスタムホスト名のホールドも有効にします。
その後、ACMEのマーケティング部門は、www.example.comでCloudflareの使用を開始したいと考えています。そのドメインをCloudflareに追加しようとすると、ドメイン所有者に連絡する必要があることを通知するエラーが表示されます。
ACMEのマーケティング部門が社内に問い合わせたところ、インフラチームがこのドメインを管理しており、このゾーンをアクティブにするとインシデントが発生することを知りました!代わりに、両チームは、マーケティングチームがマーケティングサイトをコントロールできるように、www.example.comのサブドメインを追加することを決定します。インフラチームはacme.comのサブドメインのホールドを解除し、マーケティングチームは自分のアカウントにwww.example.comを追加します。
セットアップとアクティブ化が完了すると、ボット管理を活用してマーケティングサイトを保護できるようになり、予期しない影響が発生する可能性はなくなります。
Zone Holdsを始める
Zone Holdsは、すべての企業のゾーンで使用できるようになり、デフォルトで有効になっています。Zone Holdsは、企業のゾーンのゾーン概要画面から管理できます。オプションで、ホールドを拡張してサブドメインやカスタムホスト名にも適用することができます。ホールドを無効にする場合、一定時間後にホールドを再び有効にするように設定することができます。これにより、誤ってホールドを永久に無効にしたままにすることがなくなります。