アメリカのWebインフラストラクチャおよびWebサイトセキュリティ会社であるCloudflareは、先頃、Cloudflare Oneと呼ばれる企業の従業員向けのクラウドベースのサービスとしてのネットワークソリューションを導入した。このソリューションは、主要なID管理およびエンドポイントセキュリティプロバイダーと統合された、安全で高速、信頼性が高く、費用効果の高いネットワークサービスを提供する。
今日、企業は、モバイルデバイス、SaaSアプリケーション、およびパブリッククラウドが増え続けるにつれ、従業員がそれらとの対話を容易にするためにインターネットにさらに依存する必要がある。さらに、現在のCOVID-19の大流行では、リモートおよびオンラインでの作業が一般的である。つまり、リモートアクセス用に設計されていない古いネットワークは時代遅れになり、安全性も低下している。したがって、企業はゼロトラストモデルに基づく新しいネットワークの採用を検討し始めている。つまり、リソースへのアクセスを要求するデバイスは、デフォルトでは信頼されず、スキャンされない。現在、CloudflareはCloudflare Oneでそのようなゼロトラストソリューションを提供している。
新しいCloudflareソリューションは、デスクトップおよびモバイル用のWARP Gateway Clients、Access for SaaSソリューション、ブラウザ分離製品、Cloudflareの次世代ネットワークファイアウォールおよび侵入検知システムなどのいくつかのコンポーネントで構成されている。
出典: https://blog.cloudflare.com/cloudflare-one/
デスクトップおよびモバイル用のWARP Gateway Clientsは、Cloudflareのネットワークを介して個人用デバイスからのすべての接続をルーティングするCloudflareの既存の製品の1つであり、ソリューションが暗号化して高速化する。また、別の既存のCloudflareサービスであるAccessを使用すると、企業は、OneLogin、Okta、Ping IdentityなどのCloudflareが提携しているサードパーティのセキュリティサービスを活用して、システムへのログイン要求の検証を有効にできる。Cloudflare Oneの詳細を記したブログ投稿で、Cloudflareの最高経営責任者である著者のMatthew Prince氏は次のように述べている:
Cloudflare Oneでは、1つのIDプロバイダだけで標準化する必要はありません。
また、Constellation Research Incのプリンシパルアナリスト兼バイスプレジデントであるHolger Mueller氏は、InfoQに次のように語っている:
パートナーエコシステムのアプローチを見るのは良いことです。CxOは、独自のIDプロバイダを持ち込めることを歓迎します。今、私たちは、企業がソフトウェアで定義されたWANの将来をどれだけうまくそして速く支持するかをわからなければなりません。
ログインリクエストを保護することに加えて、Cloudflare Oneには、ワーカーがWebページをマシンにダウンロードせずにWebサイトにアクセスできるようにするブラウザ分離ツールもある。この分離ツールは、ユーザとパブリックインターネットを分離するレイヤを提供するため、マルウェア感染リスクを軽減する。
また、Cloudflare Oneには、VMware IncのCarbon Blackなどの一般的なエンドポイント保護製品との統合が含まれているため、顧客はデバイスの整合性のために単一のベンダーに集中できる。また、Prince氏による同じブログ投稿によると、顧客はCloudflare Oneと組み合わせて、一貫性のあるコントロールプレーンを作成できる。さらに、バックエンドインフラストラクチャで顧客を支援するために、ベンダーには、不正アクセスの試行を検出できるCloudflare Oneを備えた新しい侵入検知システムと、悪意のあるファイアウォールトラフィックをフィルタリングするMagic Firewallと呼ばれる今後のファイアウォール製品も含まれている。
出典: https://blog.cloudflare.com/introducing-cloudflare-one/
Hacker Newsスレッドの回答者は、Cloudflare Oneを次のようにまとめている:
私が言えることから、これは多くの既存/新しいCloudflare製品のバンドルです。従来、企業はVPNを使用してネットワークへのリモートアクセスを許可していました。攻撃者がそのVPNを破った場合、内部ネットワークに自由にアクセスできます。ここでの考え方は、企業が「リバースVPN」 (それが適切な用語かどうかはわかりません) を使用して、Cloudflareのネットワークを介してすべてのサーバートラフィックをトンネリングし、その後、あらゆるサービスへのリモートアクセスを必要とする人々が使用するというものです。過去の「内部」製品であり、昔ながらのインターネット経由で (またはCloudflareのWARP VPNを使用して) 接続できます。さまざまなIDプロバイダーと連携する製品であるCloudflare Accessは中央に位置し、適切な役割を持つ人々だけが「内部だが現在は外部」のアプリ/サービスにアクセスできるようにします。基本的に、すべてのエンタープライズトラフィックをCloudflare経由でルーティングし、Cloudflareにアクセス権を持つ必要のある人だけがアクセスできるようにします。電話/ラップトップ上に存在するアプリを提供し、それらが侵害/ルート化されていないことを「保証」するサービスとの統合など、提供されている補助サービスもたくさんあるようです。そして、Cloudflareに報告された情報に基づいてアクセスを許可/拒否します。
また、Mueller氏はInfoQに次のように語っている:
企業ネットワークは、Covid-19の大流行の前から変化していましたが、現在は困難に立ち向かい、より速い速度でさらに変化しています。安全なネットワーキングは企業にとってさらに重要になり、Cloudflareはその広範なネットワークを活用しています。
最後に、Prince氏のブログ投稿によると、Cloudflare Oneのコンポーネントは来週中に徐々に利用可能になる予定とのことである。