このページのコンテンツは改定中です
Cloudflare社は2010年に『より良いインターネット環境の構築をサポートする』事を目標に設立された米国の企業です。
よってCloudflare社の各種サービスは、無料でも利用できるのが大きな特徴です。
私の自宅は、このCloudflareを利用する事により、より簡単に、より安全にインターネットを利用できる環境に移行する事が出来ました。
ここではこのCloudflareが無償で提供している『DNS』、『CDN』及び『ZTNA』の利用方法を解説していきます。
1.パブリックDNSリゾルバーを利用する
DNS(Domain Name System)は[ドメイン名]を[グローバルIP]に変換してくれるものでインターネットアクセスには不可欠なものです。
インターネットを開通させるとISPのDNSサーバがデフォルトで設定されますが、これは使わずに[8.8.8.8]や[1.1.1.1]等の[パブリックDNSリゾルバー]を利用する事ができます。
下記にCloudflareの[パブリックDNSリゾルバー]の登場の背景と利用方法を解説しています。
Cloudflare社は上記の[1.1.1.1]以外にマルウェア等のサイトをブロックする[パブリックDNSリゾルバー]も提供しています。
下記に利用方法と確認方法を解説しています。
更にCloudflare社は青少年が利用する[パブリックDNSリゾルバー]も提供しています。
これを利用するとマルウェア等のサイトをブロックするのに加えてブラウザにセフティサーチ機能を強制する事ができます。
下記に利用方法と確認方法を解説しています。
以上の様にCloudflare社はアジア地区のIPアドレスの元締めの APNIC と共同で一般のユーザでも安心してインターネットを利用できるような活動を進めています。
但し、Cloudflare社が提供しているZTNAすなわちゼロトラストに移行すると、汎用のインターネットアクセスポリシーでなく、ユーザがカスタマイズしたポリシーでインターネットアクセスができる様になります。
2.CDNを利用する
次はWebサーバをインターネットの脅威からどの様に守るか?で、その方法の一つにCDNの利用があります。
Cloudflare社は[DNSサーバ]や[CDN]も無償で提供しています。
下記ドキュメントではCloudflareのCDNを利用してインターネットの脅威からWebサーバを如何に守るのか?を解説しています。
以下のドキュメントは今後、改定されます。
Cloudflareを利用する為には無料のDDNS(ダイナミックDNS)では利用できません。
そこで有料のドキュメント名をXServerから取得する方法を解説しています。
Cloudflareで利用するドメインをXServerから取得する
下記ドキュメントはXServerから取得したドメインでcloudflareをセットアップする方法を解説しています。
Synologyで利用するドメインをCloudflareに登録する
下記ドキュメントはSynologyの中のWebサーバをCloudflareのAAAAレコードを使って接続する方法を解説しています。SynologyのIPv6アドレスが変更になっても追随できる様にタスクスケジューラ機能でCloudflareのAAAAレコードを更新します。
SynologyのWebサーバをCloudflareとIPv6で接続する
その結果
・IPv4/IPv6環境からQuickConnectでDSMにログインできる様になります。
・IPv6環境からSyonoloyのDDNSを使ってDSMにログインできる様になります。
しかしIPv4/IPv6からアクセスできるWebサーバは構築できません。
SynologyのWebサーバをCloudflare経由でアクセスすると、Webサーバをアクセスした人のIPアドレスが取れなくなります。
これを回避する方法を下記で解説しています。
Cloudflareを経由するSynology Webサイトの訪問者IPの復元
下記ドキュメントはSynologyサーバにDockerを立ち上げCloudflareとトンネルで接続する方法を解説しています。これによりSynologyサーバの内部リソース(DSMやルータ等)にアクセスできる様になります。
以上を使う事によりIPv4/IPv6環境からSynologyのリソースにアクセスができる様になりました。
3.Cloudflare Zero trustを利用する
上記の2項でのCloudFlareの利用方法は、CDN機能を利用したWebサイトの公開と外出先から自宅内リソースへのアクセス方法という従来の考え方に基づく接続方法でした。
しかしCloudFlareは[Zero trust]というセキュリティ空間も無償で提供しています。
この[Zero trust]を利用した私の自宅のネットワーク構成は下図になります。
自宅や企業のネットワークをインターネットの脅威から守る最大のポイントは
・自宅や企業のグローバルIPをインターネットから見えなくする
事が最大のポイントでCloudflareのDNSプロキシーはこれを行ってくれていました。
これに加えてCloudFlareの[Zero trust]を導入すると考え方は下記の様に変わります。
①CloudFlareの高速ネットワーク上に自宅や企業のセキュリティ空間を構築する。
このセキュリティ空間に入る為の認証システムの導入と利用者管理の設計を行う。
②PCやスマートデバイスはWARPを使ってこのセキュリティ空間に接続する。
③利用しているローカルネットワークもトンネル機能を使ってこのセキュリティ空間に接続する。
④このセキュリティ空間からのインターネットアクセスは[Gateway]機能の設定で各種の脅威から守る。
⑤社内リソースや公開Webサーバのセキュリティ対策は[Access]機能の設定で行う。
以上を行う事により下記の事が可能となります。
①セキュリティ空間からインターネットアクセスはCloudflareが通信を総て分解しマルウェア等の危険なサイトのブロック、ファイルのダウンロードはウィルスチェックを行ってから返してくれる。
このコンテンツが充実すると将来的にはクライアントに入れるウィルスチェック等のセキュリティツールは不要になる可能性も出てきました。
②PCやスマホが社内/自宅/外出先のいずれにあっても、総てローカル環境になる。
よってファイアーウォールやVPN接続等の概念は無くなります。
③内部にあるWebサーバの公開はA/AAAA以外に、トンネル経由での公開も可能となる。
いずれの方法でもWAF対策、DDOS対策が自動で行われる。
④更に公開サイトでも利用者の制限、管理者モードのアクセス制限、phpMyAdmin等へのアクセス禁止等の細かなセキュリティ対策が行えるようになる。
セキュリティ対策用の余分なプラグイン等も不要になる。
今までこのサイトではSynologyの色々な使い方に合わせて各種のセキュリティ対策を紹介してきたが、今までのテクニックは何だったのかと思える程、CloudflareのZero trustはすごいです。
どの様に構築したら良いかを知りたい方は[お問い合わせ]から相談して下さい。
当初はこのサイトの中で紹介する事を考えましたが、個人や企業の現在の環境によってかなり構築方法が異なりますので「まずは何を行いたいのか?」をお聞きした後、判る範囲でお答えします。
尚、ご自分でできそうな場合は構築方法を記載した利用者限定のサイトに招待します。
このサイトには広告は表示されない上にコンテンツの書き方がGoogleを意識しない書き方となりますので見易いと思いますが、このサイトの利用にはGmailアドレスが必須となります。