Cloudflare は、通常は Google の「BeyondCorp」エンタープライズ ネットワーク セキュリティ アーキテクチャのみが提供できるレベルの「境界のない」セキュリティを提供する、Cloudflare Access という新しいサービスを発表しました。
BeyondCorp とは何ですか?
BeyondCorpネットワークセキュリティアーキテクチャは、スノーデン氏の暴露後、Googleによって考案されました。NSAが長年にわたりGoogleの「安全な」社内ネットワーク全体にアクセスしていた可能性があるとGoogleが知ったことがきっかけでした。この発見をきっかけに、Googleはネットワークセキュリティに対する考え方を根本的に変えることになりました。
ほとんどの企業は、ネットワーク内のすべてが安全で、ネットワーク外のすべてが安全ではないというネットワークセキュリティモデルを採用しています。つまり、外部の脅威から身を守るためにファイアウォールやVPNを使用しています。しかし、ネットワーク内の各システム間のセキュリティは、セキュリティ強化には複雑な設定、トレーニング、そして高額な保守コストが伴うことが多いため、実際にははるかに脆弱です。
ここ数年で見てきたように、数千万、数億、あるいは数十億人のユーザーを危険にさらす大規模なデータ侵害がますます頻繁に発生しているようです。これは、一般的な企業ネットワークのセキュリティモデルが十分に機能していないことの兆候かもしれません。
多くの企業が社内ネットワークを「要塞」と捉え、一度敵に侵入されれば全てが消えてしまうと考えるのに対し、GoogleのBeyondCorpはあらゆるデバイスを要塞へと変貌させます。このモデルの利点は、あらゆるデバイスが安全ではないとみなされるため、世界中のどこからでもアクセスできる「ゼロトラスト・ネットワーク」を構築できる点です。
そのため、ユーザーには業務を遂行するために必要な最小限の権限しか付与されません。これは最終的に、第一に攻撃者はシステムを一つずつ侵入する必要があり、第二に攻撃者が及ぼせる被害は限定的になることを意味します。
Cloudflareアクセス
Googleはモデルの詳細を公開していますが、実装は必ずしも容易ではないかもしれません。Cloudflare Accessは、Duo Securityと同様に、企業がエンタープライズアプリケーションのセキュリティを確保するために利用できる、BeyondCorpのようなサードパーティ製ソリューションを提供しています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Cloudflare Access と呼ばれるこのソリューションは、Google、Azure Active Directory、Okta などの主要な ID プロバイダーを介した認証を提供するため、企業は既存の ID プロバイダーを使用して Cloudflare に接続できます。
顧客企業は、独自のTLS証明書を使用してユーザーを認証できるようになります。つまり、その証明書を持たないユーザーは、Cloudflare Access対応デバイスに接続できなくなります。証明書の検証が完了すると、ユーザーは特定のエンタープライズアプリケーションに対して認証情報を使用して認証する必要が出てきます。
さらに認証制限を設定することもできます。たとえば、会社の従業員以外はプロジェクト管理ツールや Web サイトのコンテンツ管理システムにアクセスできないようにすることができます。
Cloudflareによると、Cloudflareのすべての接続はHTTPS経由で行われるため、VPNを使用する必要がなくなりました。これにより、従業員が低速接続でログインする必要がなくなるため、セキュリティ、パフォーマンス、生産性が向上します。
IT 管理者は次のことも可能になります。
アクセスポリシーを簡単に変更、セッション期間を変更、既存のユーザーセッションを取り消す、監査および変更ログの集中ログ記録
Cloudflareは、Accessを同社の他のレイテンシ低減およびセキュリティ強化サービスと組み合わせて使用できることも明らかにしました。セットアップは数分で完了し、1ユーザーであれば無料でお試しいただけ、その後は1ユーザーあたり月額3ドルでご利用いただけます。また、大規模顧客には一括割引もご用意しています。
