企業が大規模にCloudflareを管理できる「Organizations」構築の方法
Cloudflareは、大規模企業が複数のCloudflareアカウントを一元的に管理できる新機能「Organizations」をベータ版として発表し、管理者がユーザー、設定、分析を統合管理できる階層を追加した。
キーポイント
大規模企業向け管理課題の解決
企業がチーム分離や最小権限の原則に基づき複数のCloudflareアカウントを使用する結果、管理者の権限管理が煩雑化する課題に対し、Organizations機能が解決策を提供する。
Organizations機能の概要
複数のアカウントをまとめて管理する新たな階層を追加し、管理者がユーザー、設定、分析を一元的に管理できるプラットフォームを提供する。これは既存のTenantシステム上に構築されている。
新ロール「Org Super Administrator」
組織レベルで管理される新たなユーザーロールを導入し、この権限を持つユーザーは、対象アカウントのスーパー管理者でもある限り、組織にさらにアカウントを追加できる。
最小権限の原則と実装
企業が複数アカウントを使用する主な理由は最小権限の原則にあり、各チームが自身のリソースを自律的に管理できる一方、管理者の権限付与が課題となっていた。
組織スーパー管理者の権限と役割
組織スーパー管理者は組織内の全アカウントに対してスーパー管理者権限を持ち、子アカウントのメンバーシップを必要とせず、アカウントレベルのUIには表示されない。これは組織レイヤーで追加される最初の役割であり、今後さらに役割が追加される予定。
共有設定による一括管理
組織全体で共有ポリシーを管理でき、WAFやGatewayポリシーなどの機能を一元的に管理できる。セキュリティアナリストは組織管理者や他アカウントの管理者になることなく、企業全体のWAFルールを中央で更新可能。
ロードマップと展開計画
Organizationsの初期リリースはエンタープライズ顧客に限定されているが、今後数か月で従量課金制顧客を含む全顧客に拡大予定。パートナーエコシステムへの拡張も計画されているが、特別なシナリオへの対応が必要。
影響分析・編集コメントを表示
影響分析
この発表は、Cloudflareが小規模顧客向けのシンプルさを維持しつつ、大規模企業向けの高度な管理ニーズに対応するための重要な進展を示している。企業のクラウドインフラ管理における運用効率とセキュリティを向上させ、競争力を高める可能性がある。
編集コメント
企業向けクラウドサービスの管理複雑さを解消する実用的な機能アップデート。AI技術の核心ではないが、大規模AIシステムのインフラ管理にも応用可能なプラットフォーム改善として注目。
タイトル: 企業がCloudflareを大規模に管理できるようにOrganizationsを構築した方法
Cloudflareは、最小規模の顧客でも使いやすいように設計されていますが、最大規模の企業のニーズに対応できるように拡張できることも重要です。小規模な顧客は単独または小規模なチームで作業するかもしれませんが、企業ではしばしば数千人のユーザーがCloudflareの開発者向け機能、セキュリティ機能、ネットワーク機能を利用しています。このような規模では複雑さが増します。これらのユーザーは複数のチームと職務を代表しているからです。
企業顧客は、チームを分割するために複数のCloudflareアカウントを使用することがよくあります(自律性と役割の分離を高めるため)。しかし、これにより管理制御が分散され、管理者にとって新たな問題を引き起こす可能性があります。
そのため本日、新機能「Organizations」をベータ版として公開します。これは、管理者が多数のCloudflareアカウントにわたってユーザーや設定を管理し、分析を表示するための統合された場所を提供するためです。
最小権限の原則
最小権限の原則は、企業が複数のアカウントを使用する背景にある主な要因の一つです。Cloudflareのロールベースアクセス制御(RBAC)システムは現在、多くのリソースに対してきめ細かい権限を提供していますが、すべてのリソースを一つずつ列挙するのは煩雑になる可能性があります。その代わりに、企業は複数のアカウントを使用し、各チームのリソースをそのチームのみが管理するようにしています。これにより、アカウント内での有機的な成長が可能になります。つまり、必要に応じて新しいリソースを追加でき、管理権限を広範囲に付与せずに済みます。
複数のアカウントは、組織内のほとんどのユーザーの権限を制限するのに優れていますが、管理者にとっては事態を複雑にします。管理者はすべてのアカウントに追加され、レポート作成やポリシー設定などのタスクを処理するための適切な権限を与えられる必要があるからです。この状況は脆弱です。他の管理者が彼らを削除する可能性があるからです。
Organizations
私たちは、これらのシナリオを念頭に置いてCloudflare Organizationsを設計しました。Organizationsは階層に新たなレイヤーを追加し、管理者がアカウントの集合をまとめて管理できるようにします。Organizationsは、Cloudflareのパートナーエコシステムのニーズをサポートするために作成したTenantシステムの上に構築されています。これは、企業を念頭に置いて構築した多くの新機能の強固な基盤となります。
機能
アカウントリスト
アカウントリストは組織の中核です。これは、組織にオンボードされたすべてのアカウントのフラットなリストです。「組織スーパー管理者」は組織レベルで管理される新しいユーザーロールです。このロールを持つユーザーは、当該アカウントのスーパー管理者でもある限り、リストにさらにアカウントを追加できます。
組織スーパー管理者
組織スーパー管理者は、組織内のすべてのアカウントに対してスーパー管理者権限を持ちます。彼らは子アカウントのいずれかのメンバーシップを必要とせず、アカウントレベルのUIには表示されません。組織スーパー管理者は、今年を通じて組織レイヤーに追加することを予定している多くのロールの最初のものです。
この機能は、レガシーコードパスを削除し、すべての認可チェックをドメインスコープロールシステムに統合するために、当社組織内で実施した大規模な内部オープンソース開発プロジェクトの集大成でした。これをサポートするために、約133,000行の新規コードを追加し、約32,000行の古いコードを削除しました。これは、これまでで最大の権限システムへの変更の一つとなりました。この基盤的な改善により、将来、組織レベルとアカウントレベルの両方で追加のロールを提供することが容易になります。また、/accounts や /zones のような列挙呼び出しにおける権限チェックのパフォーマンスを、数千のアカウントにアクセスできるユーザーで以前は課題があった部分で、27%改善しました。
分析
組織スーパー管理者は、すべてのアカウントとゾーンにわたるHTTPトラフィックに関する分析を含む統合ダッシュボードを表示できます。HTTPトラフィック分析は、より多くの製品に対してこの機能を追加する中で、今年を通じて提供することを予定している多くの分析ダッシュボードの最初のものです。
共有設定
組織全体で共有ポリシーを管理することで、あるチームがWAF(Web Application Firewall)やGatewayポリシーのような機能を一元的に管理できるようになります。組織スーパー管理者は、あるアカウントから組織内の他のアカウントにポリシーセットを共有する権限を持ちます。つまり、それらの設定を管理する権限を持つソースアカウントのユーザーは誰でもポリシーセットを更新できます。したがって、セキュリティアナリストは、組織管理者や組織内の他のアカウントの管理者である必要なく、企業全体のWAFルールを一元的に更新できます。
ロードマップ
Organizationsの初期公開は企業顧客のみに限定していますが、従量課金制顧客から始めて、今後数か月ですべての顧客に拡大していく予定です。パートナーエコシステムにもこれを拡張するために取り組みますが、それを行う前に彼らのために対処する必要がある多くの特別なシナリオがあります。
ロードマップにはまだ多くの項目があります。近日公開予定の機能については、変更ログにご注目ください:
- 組織レベルの監査ログ
- 組織レベルの請求レポート
- より多くの組織レベルの分析レポート
- 追加の組織ユーザーロール
- セルフサービスアカウント作成
セキュリティ第一の公開
Organizationsは、今後数日間で企業顧客向けにパブリックベータ版として公開されます。Organizationsを導入するにあたり、私たち自身の重要な要件は、いかなるユーザーの権限も昇格させないこと、そして顧客がそれぞれ組織を一つだけ作成することです。これらの要件を実現するために、バックフィルを行って代わりに組織を作成するのではなく、セルフサービスの招待プロセスを使用することにしました。
あなたが企業アカウントのスーパー管理者であり、あなたの会社のために他の誰も組織を作成していない場合、Cloudflareダッシュボードに組織を作成する招待が表示されます。組織を作成したら、そのアカウントのスーパー管理者でもある場合、組織にアカウントを追加できます。
あなたの会社の別のユーザーがすでに組織を請求している場合、彼らはあなたを組織スーパー管理者として招待して、あなたが自分のアカウントを組織に追加できるようにするか、またはあなたが彼らを自分のアカウントのスーパー管理者として招待して、彼らがあなたのアカウントを組織に追加できるようにすることができます。このプロセスにより、スーパー管理者が承認に関与していないCloudflareアカウントに、いかなるユーザーも権限を得ることがないことが保証されます。Cloudflareサポートは顧客に代わって設定変更を行うことはありませんので、他の管理者と協力してOrganizationsの社内公開を完了する計画を立ててください。
始めるには
あなたが企業アカウントのスーパー管理者である場合、今すぐあなたの会社の組織を請求してください。Organizationsの使用に追加料金はかかりません。始め方の詳細については、ダッシュボードの新しいOrganizationsタブの下、または開発者向けドキュメントでご確認いただけます。
あなたが企業顧客でない場合、Organizationsがあなたのプランでいつ利用可能になるかについての詳細情報については、変更ログにご注目ください。また、当社の企業向けオファリングについて詳しく知りたい場合は、当社の企業営業チームが今日からあなたをサポートします。
原文を表示
Cloudflare was designed to be simple to use for even the smallest customers, but it’s also critical that it scales to meet the needs of the largest enterprises. While smaller customers might work solo or in a small team, enterprises often have thousands of users making use of Cloudflare’s developer, security, and networking capabilities. This scale can add complexity, as these users represent multiple teams and job functions.
Enterprise customers often use multiple Cloudflare Accounts to segment their teams (allowing more autonomy and separation of roles), but this can cause a new set of problems for the administrators by fragmenting their controls.
That’s why today, we’re launching our new Organizations feature in beta — to provide a cohesive place for administrators to manage users, configurations, and view analytics across many Cloudflare Accounts.
Principle of least privilege
The principle of least privilege is one of the driving factors behind enterprises using multiple accounts. While Cloudflare’s role-based access control (RBAC) system now offers fine-grained permissions for many resources, it can be cumbersome to enumerate all the resources one by one. Instead, we see enterprises use multiple accounts, so each team’s resources are managed by that team alone. This allows organic growth within the account: they can add new resources as needed, without giving Administrative control too widely.
While multiple accounts are great at limiting permissions for most of the users within an organization, they complicate things for the administrators, as the administrators need to be added to every account and given the appropriate permissions to handle tasks like reporting or setting policies. This situation is fragile, as other administrators could remove them.
Organizations
We designed Cloudflare Organizations with these scenarios in mind. Organizations adds a new layer to the hierarchy so that administrators can manage a collection of accounts together. Organizations is built on top of the Tenant system, which we created to support the needs of Cloudflare’s partner ecosystem. This provides a strong foundation for the many new features we’ve built with enterprises in mind.
Features
Account list
The account list is at the core of the organization. This is a flat list of all the accounts that have been onboarded to the organization. “Org Super Administrator” is a new user role that is managed at the organization level; users with this role can add more accounts to the list as long as they are a Super Administrator of the account as well.
image
Org Super Administrators
Org Super Administrators have Super Administrator permissions to every account in the organization. They do not require a membership in any of the child accounts and will not be listed in the account level UI. Org Super Administrator is the first of many roles we anticipate adding at the organization layer over the course of the year.
image
This feature was the culmination of a major innersource development project that we ran within the organization to remove legacy codepaths and consolidate every authorization check on our domain-scoped roles system. We added almost 133,000 lines of new code and removed about 32,000 lines of old code in support of this, making it one of the largest changes to our permissions system ever. This foundational improvement will make it easier to deliver additional roles in the future, both at the organization and account levels. We also made a 27% performance improvement in how we check permissions on enumeration calls like /accounts or /zones, which previously struggled with users that have access to thousands of accounts.
Analytics
Org super administrators can view a roll-up dashboard complete with analytics about their HTTP traffic from across all accounts and zones. HTTP traffic analytics is the first of many analytics dashboards that we expect to deliver over the course of the year as we add this feature for more products.
image
Shared configurations
Managing shared policies across your organization allows one team to centrally manage features like WAF (Web Application Firewall) or Gateway policies. Org Super Administrators will have the ability to share a policy set from one account to the rest of the accounts within the organization. That means any users in the source account with permission to manage those configurations can update the policy sets. So security analysts can update WAF rules for an entire enterprise centrally, without needing to be org administrators or administrators of other accounts in the organization.
image
Roadmap
We’ve limited the initial launch of Organizations only to enterprise customers, but will be expanding it to all customers in the coming months starting with pay-as-you-go customers. We’ll be working to extend this to our partner ecosystem too, but have a number of special scenarios we need to address for them before we do.
There’s a lot more on the roadmap in this space. Keep an eye on the changelog for capabilities coming soon:
Organization-level audit logs
Organization-level billing reports
More organization-level analytics reports
Additional organization user roles
Self-serve account creation
A security-first rollout
Organizations is rolling out in public beta over the next several days to enterprise customers. In introducing Organizations, our own key requirements are that we do not elevate privilege for any users, and that customers create just one organization each. To deliver on those requirements, we elected not to do a backfill and create organizations on your behalf, and are instead using a self-serve invitation process.
If you are a Super Administrator of an enterprise account, and nobody else has created an organization for your company, then you will see an invitation to create an organization in your Cloudflare dashboard. Once you have created an organization, you can add accounts to the organization if you are a super administrator of that account as well.
If another user in your company has already claimed the organization, then they can either invite you as an Org Super Administrator so that you can add your accounts to the organization, or you can invite them as a Super Administrator of your account, so they can add your account to the organization. This process ensures that no user ever gets permission to a Cloudflare account where a Super Administrator was not involved in approving it. Cloudflare support will not be making configuration changes on behalf of customers, so plan to work with other administrators to complete your internal rollout of Organizations.
Get started
If you’re a Super Administrator of an enterprise account, claim your company’s organization now. There is no additional fee for using Organizations. You can find more details on how to get started in the Dashboard under the new Organizations tab, or at our developer docs.
If you’re not an enterprise customer, keep an eye on our changelog for more information about when Organizations will be available for your plan. And to learn more about our enterprise offerings, our enterprise sales team can get you started today.
関連記事
コードオレンジ:小規模障害対策完了によりクラウドフレアネットワークが強化
クラウドフレアは過去2四半期にわたり「コードオレンジ」と呼ぶ内部プロジェクトを通じてインフラの耐障害性とセキュリティを向上させる取り組みを行い、11月18日の障害回避に必要な作業を完了した。
GitHub ActionsのOIDCトークンにおけるsubjectクレームの不変化
GitHubは、新規リポジトリのOIDCトークンsubjectクレームに変更不可能な識別子を追加し、クラウド連携セキュリティを強化した。これによりリポジトリ名再利用時のなりすましリスクを解消する。
Solid Queueのパフォーマンス特性に関する検証と考察
ゲームサービス事業本部の三軒家氏が、Ruby on RailsプロダクトのジョブキューシステムをSolid Queueに移行するプロジェクトを推進し、負荷試験で1000 job/sのスループットを安定処理できる性能を確認した。