新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

Cloudflare ブラウザ分離(ベータ版)の紹介

2020-10-15

5分で読了
この投稿はEnglish한국어Español简体中文でも表示されます。

ブラウザを再考する

Webブラウザは、ユーザーをインターネット全体に接続するのと同じアプリケーションで、インターネットの潜在的に有害な部分すべてにも接続します。これは地球上のほぼすべての接続システムへ開かれており、パワフルで恐ろしいことです。

当社は、これまで以上にブラウザに頼っています。使用するほとんどのアプリケーションはブラウザの中にあり、その数は増加の一途をたどっています。ますます多くの企業にとって、企業のノートパソコンは管理されたWebブラウザマシンに過ぎません。

これらのデバイスとデバイスが保持またはアクセスするデータを安全に保つため、企業はブラウザ自体がマシン上で動作しない「ブラウザ分離」サービスの導入を開始しました。代わりに、ブラウザはクラウドプロバイダー内の仮想マシン上で動作します。デバイスから離れた場所で稼働させることによって、ブラウザからの脅威はクラウド内のその仮想マシン上に留まります。

しかし、ほとんどの分離ソリューションは、Webブラウザの利便性と柔軟性を台無しにする2つのアプローチのいずれかを取ります。

  • 分離されたブラウザを記録し、そのライブストリームをユーザーに送信すると、動作が遅く、フォームへのテキスト入力のような基本的なことを行うことが困難になります。

  • Webページを展開、検査し、リパックしてユーザーに送信すると、脅威が見つからない場合や、Webページが動作するようにリパックできないことがよくあります。

本日、Cloudflareブラウザ分離でWebブラウジングを安全に保つための第3のアプローチであるベータ版を提供開始できることをうれしく思います。ブラウザセッションは、世界中の200都市にあるCloudflareデータセンター内のサンドボックス化された環境で実行され、リモートブラウザをユーザーからミリ秒の距離で提供するため、ローカルWebブラウジングのように感じられます。

Cloudflareブラウザ分離は、ユーザーにピクセルをストリーミングする代わりに、ブラウザのWebページのレンダリングの最終出力を送信します。このアプローチでは、デバイスに送信されるのは、Webページをレンダリングするための描画コマンドのパッケージだけです。このため、Cloudflareブラウザ分離はHTML5準拠のブラウザと互換性があります。

その結果、デバイスから脅威を遠ざけておく一方で、まさにブラウザのようなブラウザを手に入れることができます。

Cloudflareでのゼロトラストウィークの一環として、本日、ベータ版へのサインアップにユーザーの皆様をご招待しています。サインアップを希望される場合は、この記事の一番下をご覧ください。この仕組みについて知りたい方は、この記事を続けてお読みください。

予期せぬ普遍的な生産性をもたらすアプリケーション

Marc Andreessenが1995年に予測した代替オペレーティングシステムにはなりませんでしたが、Webブラウザはおそらく今日のエンドユーザーデバイス上で最も重要なアプリケーションです。職場では、多くのユーザーが、社内アプリケーションや外部SaaSアプリケーションやサービスに接続されたWebブラウザ内でコンピュータで作業する時間の多くを費やしています。このような状況下では、Webの豊かさがさらに拡大していくのに対応したり、Office 365やGoogle Workspaceなどの最新のWebアプリケーションの要求に対応するため、ブラウザはますます複雑にならざるを得ません。

しかし、Webブラウザは極めて重要でユビキタスな役割を担うものにも関わらず、企業内で最も管理されていないアプリケーションです。企業は、ユーザーがWebブラウザを操作する方法を制御するのに苦労しています。ユーザーが誤って感染したファイルをダウンロードしたり、悪意のある拡張機能をインストールしたり、機密性の高い企業データをアップロードしたり、メールやWebページにある悪意のあるゼロデイリンクをクリックしたりするのは簡単です。

BYOD(自分のデバイス持ち込み)の普及率が高まっていることが、事態を悪化させています。BYODによって、どのブラウザが使用されるか、またはブラウザに適切にパッチが適用されているかを強制することが難しくなります。モバイル端末管理 (MDM) は正しい方向への第一歩ですが、オンプレミスのファイアウォールのパッチ適用サイクルが遅い場合と同様に、MDMはゼロデイ脅威から保護するには遅すぎる場合があります。筆者は、CISO(最高情報セキュリティ責任者)からこれまで大量の一括送信メールを受け取ってきており、その内容は、今回は「本当に重要」(CVE-2019-5786) なのですぐにブラウザにパッチを適用するように皆に知らせるものです。

ブラウザを再考する

今週初めに、Cloudflare Oneを発表しました。これは企業ネットワークの将来に対する当社のビジョンです。当社が取ってきた基本的なアプローチは、白紙です。これは、古いモデル(城と堀など)のすべての前提をゼロにし、現在の企業ネットワーキングの複雑な性質と、クラウドベースのサービスとしてのネットワークであるゼロトラストへの移行に基づいて、新しいモデルを導入することです。

ブラウザについて考えずにこれを行うことは不可能でしょう。リモートコンピューティング技術は、しばらくの間、ブラウザの問題を解決するという約束を提供してきました。将来的には、誰もが自分のパーソナルデバイスでクラウドコンピューティングのセキュリティと規模の恩恵を受けることができるというものです。現実には、一般的にパフォーマンスの高いソリューションを得ることは、言葉にするよりもはるかに難しいことです。これは、インターネット経由でユーザーの入力を送信し、その入力を計算し、Webからリソースを取得してから、ユーザーにそれらをストリーミングする必要があります。そして、ローカルのソフトウェアを使用しているような感覚を生み出すためには、それらをすべてミリ秒単位で行う必要があるのです。

一般的な経験はひどいもので、多くの実装では、IT技術者の元には怒りに満ちたメールとヘルプデスクチケットが届くばかりです。

これは難しい問題であり、当社が解決に向けて懸命に取り組んできたことでもあります。高帯域幅接続を必要とせず、あらゆるディスプレイサイズにわたって拡大するベクトルベースのストリームを提供することで、当社ではネイティブブラウザ体験をリモートで再現することができます。ユーザーは、HTML、CSS、JavaScriptをスクラビングすることによって生じた互換性の問題も全く経験することなく、意図したとおりにWebサイトを体験することができます。そして、パフォーマンスの問題は、管理されたブラウザがネットワーク上でわずか数ミリ秒の距離でホストされていることで大幅に支援されています。

Cloudflare for Teamsのリモートブラウジングの安全性はどれくらいですか

Cloudflareブラウザ分離以前は、Cloudflare for Teamsは2つのコアサービスで構成されていました。

Cloudflare Accessはゼロトラストネットワーク境界をつくります。これにより、ユーザーは従来のVPNアプライアンスを使用して内部ネットワークに穴を開けることなく、企業アプリケーションにアクセスできます。

Cloudflare Gatewayは、すべてのWebサイト上の脅威からユーザーを保護するセキュアなWebゲートウェイを作成します。

これらのツールは、既知の悪意のあるWebサイトからの不正なアクセスやWebブラウジング活動からプライベートドメインを保護するのに最適です。しかし、未知で予測不可能な脅威の場合はどうでしょう?

Cloudflare ブラウザ分離がこの問題を解決します。ユーザーのブラウジングセッションの終了時や侵害されたときに簡単に処分できるリモートコンテナにWebブラウザをサンドボックス化するのです。

ゼロデイ脆弱性や悪意のあるWebサイトなどの未知の脅威が数百のWeb API のいずれかを悪用した場合、攻撃は監視対象のクラウド環境で実行されているブラウザに限定され、エンドユーザーのデバイスは影響を受けずに済みます。

ネットワークはComputer®

Webブラウザは、クラウドへの移行が構築される基盤です。これらがいつも間違った場所で稼働してきたことが問題なのです。

かつて、アプリケーションが動作するハードウェア自体を、開発者が稼働/維持することが意味をなさなかったのと同じように、クラウドの方程式の反対側、つまりブラウザでも同じことが当てはまります。おかしなことに、ソリューションはまったく同じです。開発者のアプリケーションのように、ブラウザはクラウドに移動させる必要があったのです。しかし、混乱の常ではありますが、新しいテクノロジーパフォーマンスが古いテクノロジーパフォーマンスに追いつくには時間と投資が必要です。AWSが2006年に初めてローンチされたとき、本質的な制限は、ほとんどの開発者にとって、オンプレミスソリューションを継続して実行することが理にかなっているということでした。

しかし、技術が改善されていく中で、ある地点まで到達すると、その混乱が以前のパラダイムから引き継ぐことができるまでになります。

今日までのクラウドベースのブラウザーの制限要因は、多くの場合、それを使用する体験でした。ユーザーの体験は、光速で制限されます。ユーザーのインプットがリモートデータセンターに移動してディスプレイに戻されるまでの時間を制限するのです。完璧な世界では、リアルタイム体験を提供するために、これはミリ秒以内に発生する必要があります。

Cloudflareにはその問題を解決する上で1つの非常に大きな利点があります。

リアルタイムのリモートコンピューティング体験を提供するために、200以上のデータセンターは、インターネットに接続しているほぼすべての人に、まばたき一回分よりも短い時間で、リモートブラウジングセッションを提供することができます。これにより、お客様が物理的にどこにいるかに関わらず、遅延が少なく応答性の高いWebページのストリームを提供できます。

次は何が起きるでしょう?

説明はもう十分ですね。当社ではぜひお客様に試していただきたいと考えています。 当社のネットワークでこの新しいテクノロジーを試したい方は、こちらのフォームに必要事項をご記入ください。ベータ版をより多くのユーザーの皆様に提供する際にご連絡いたします。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
製品ニュースゼロトラストZero Trust WeekZero Day ThreatsCloudflare OneRemote Browser Isolation

Xでフォロー

Tim Obezuk|@obezuk
Cloudflare|@cloudflare

関連ブログ投稿

2024年10月24日 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...