レガシーアーキテクチャからCloudflare Oneへ
クラウドフレアとCDWの連携により、レガシーVPNからゼロトラストへの移行リスクを段階的に軽減し、アプリケーション現代化を実現する戦略が提示される。
キーポイント
「ビッグバン」移行のリスクと障壁
レガシーVPNからの一括切り替えは運用停止リスクが高く、ゼロトラスト導入における最大の障壁となっている。
CDWによる段階的移行フレームワーク
アプリケーションの技術的複雑さを評価・分類し、単純なモダンアプリから優先して移行するリスク回避アプローチを採用。
Cloudflare Accessを起点とした基盤現代化
単なる接続性の変更ではなく、Cloudflare Accessを基盤に据え、セキュリティ要件を移行プロセスの初期段階から組み込む。
Zero Trust Replacement for VPNs
Cloudflare Access replaces traditional VPNs by evaluating every request based on identity and device posture, significantly reducing the attack surface and preventing lateral movement.
Secure Legacy App Wrapping
Legacy applications can be secured without code changes by wrapping them with Cloudflare Tunnel and Access policies, which enforce SSO/MFA and hide public IP addresses.
Pre-migration Architectural Assessment
A thorough audit of identity providers and backend dependencies is required before migration to prevent service interruptions caused by hidden API calls or strict least-privilege policies.
戦略グループと実装グループの分離
プロジェクトをセキュリティ基準に特化した戦略チームと効率性重視の実装チームに分けることで、展開速度を犠牲にすることなく横移動防止などの高レベルセキュリティ要件を満たす。
影響分析・編集コメントを表示
影響分析
エンタープライズITセキュリティは従来のVPNからゼロトラスト/SASEへ移行する潮流が続く中、本記事はその実装プロセスにおける運用リスク軽減の実例を提供している。ただしベンダー主導の販促色が強いものの、レガシー資産を抱える組織の移行ロードマップ構築には参考となるフレームワークを含んでいる。
編集コメント
技術的な深みよりもパートナーシップの販促色が強いが、レガシーシステムを抱える企業向けの移行ロードマップとしては実用的なフレームワークを示している。
ネットワークエンジニアにとって、切り替え週末はキャリアの中で最もストレスの多い48時間であることが多い。30,000人のユーザーを抱える組織が、断片化されたVPNから新しいアーキテクチャへ1,000以上のレガシーアプリケーションを単一のウィンドウで移行しようとする状況を想像してみてください。そのリスクは甚大です:設定ミスをしたファイアウォールルールやタイムアウトしたセッション一つで、重要なサービスが停止し、運用が行き詰まる可能性があります。
この「ビッグバン」型移行のリスクこそが、ゼロトラスト(Zero Trust)の導入における最大の障壁です。組織は、老朽化して脆弱なインフラと、試すにはあまりにも危険に思える移行プロセスの間で、行き場を失っているように感じることがよくあります。
Cloudflare とテクノロジーソリューションプロバイダーである CDW は、この状況を変えようとしています。SASE(Secure Access Service Edge)への成功した移行は、闇の中へ飛び込むようなものになるべきではありません。Cloudflare のグローバルなゼロトラストプラットフォームと、業界で最も複雑なデプロイメント障害の対応に長けた CDW の経験力を組み合わせることで、リスクを軽減するための戦略的ロードマップを提供します。私たちは単に「配管」を移動するだけでなく、ダウンタイムなしにレガシー債務を現代的で俊敏なセキュリティ姿勢へと変換することを保証します。
パートナーの専門知識を活用して移行の罠を回避
従来の移行プロジェクトは往々にして失敗します。その理由は、ネットワークを単なる配管システムと見なす一方で、アプリケーションの複雑な生態系として捉えていないからです。細粒度の戦略がない場合、多くの組織が「リフト&シフト」の罠に陥ります。これは、バックエンドの依存関係を理解しないまま、数百ものアプリケーションを同時に移行しようとする行為です。
これを回避するために、CDW はリスク認識型の段階的アプローチを採用しています。この手法では、環境内のすべてのアプリケーションを技術的な複雑さに基づいて分類します。まず単純で現代的なアプリケーションから移行して勢いをつけ、複雑でレガシーなシステムはより制御された後続の段階に保留します。
最近の大規模な公共部門プロジェクトは、このような構造がない場合に何が起こりうるかを示す教訓的な事例です。このケースでは、チームが一度に 500 のアプリケーションの移行を試みました。4,000 件以上のアプリケーションを優先順位付けするための段階的アプローチを持っていなかったため、その結果としてシステム全体のサービス障害が発生しました。
CDW の役割は、これらの失敗を防ぐアーキテクトとして機能することです。多くの元セキュリティ実務家である CDW の戦略家は、業界全体に共通する失敗点を分析し、ゼロトラスト移行を妨げる反パターン(anti-patterns)を特定します。そして、より強靭な移行ブループリントを構築します。移行を単なる接続性の交換ではなく、アプリケーションの近代化プロジェクトとして捉えることで、CDW はセキュリティ要件が移動の基盤に組み込まれるようにし、後付けの付加物として扱われることを防ぎます。
Cloudflare Access を用いたレガシーアプリの近代化
過去の全か無かのリスクから脱却するために、まずソリューションの基盤となる Cloudflare Access から始めます。複雑なレガシーアプリケーションを移行する方法を検討する前に、プラットフォーム自体が持つ価値を理解することが重要です。Cloudflare Access は、従来の VPN が持つ広範で脆弱な境界線に代わり、ゼロトラストモデルを採用します。ユーザーに対してネットワークセグメント全体へのアクセス権を与えるのではなく、Access はアイデンティティ、デバイスの状態、その他の文脈信号に基づいて個々のリクエストを評価します。これにより攻撃対象領域が大幅に縮小され、前述したようなシステム全体の停止につながる横方向の動き(ラテラルムーブメント)を防ぐことができます。
このセキュリティレイヤーが整備された後、Cloudflare Access を用いてレガシーアプリケーションを「ラップ」する作業を開始できます。これにより、アプリケーションのコードを実際に書き換えることなく、古いアプリのセキュリティ姿勢を近代化することが可能になります。
このラッピング処理は Cloudflare Access 内で以下のような特定のロジックで行われます:
問題:組み込みの多要素認証(MFA)を持たないレガシーアプリケーションが標準的な VPN を経由して公開されており、攻撃者にとって高リスクな侵入経路となっている。
対策:Cloudflare Tunnel を使用して、シングルサインオン(SSO)と MFA が組み込まれたアウトバウンド専用接続を作成します。これにより、アプリケーションはパブリック IP アドレスを持たなくなるため、スキャンや攻撃の対象となる公開インターネット上から隠蔽されます。
ポリシー:エッジにおいて Cloudflare Access ポリシーを適用します。これにより、サーバーにパケットが 1 つでも到達する前に、ハードウェアベースの MFA チェックとデバイスヘルススキャンが実施されます。
このラッピング技術を活用することで、CDW と Cloudflare は組織が自らのペースで移行を行うことを可能にします。現代のクラウド環境による即座のセキュリティメリットを得られる一方、レガシーアプリケーションは背景で安全に稼働し続けます。
移行前監査
パイロット展開前に、IT リーダーはアーキテクチャの準備状況について環境を監査し、レガシーシステムが現代的なセキュリティプロトコルと技術的に互換性があることを確認する必要があります。「大規模な展開においては、アプリケーションの近代化に焦点を当てます」と CDW のセキュリティソリューション執行役員である Eric Marchewitz は述べています。「適切な準備なしに最小権限アクセスを適用すると、多くのレガシーアプリケーションが破損する可能性があります。」
- アーキテクチャおよびアイデンティティ評価
アイデンティティプロバイダーの特定:各アプリケーションが連合型アイデンティティプロバイダー(Okta など)に依存しているか、それともレガシーなローカルディレクトリを使用しているかを確認します。
依存関係のマッピング:サービス中断を防ぐために、各アプリケーションのバックエンドデータベースおよび API 依存関係を文書化します。このデータは、バックエンドでサービストークンベースの Tunnel 接続が維持されない場合に通常切断を引き起こす隠れた API 呼び出しを特定するものです。
- ファイアブレークの確立
プロジェクトを、セキュリティ基準に焦点を当てる「戦略グループ」と、効率性に焦点を当てる「実装グループ」に分割してください。これにより、横方向への移動を防ぐために必要なような高レベルのセキュリティ要件が、デプロイ速度のために迂回されることを防ぎます。
- 永続セッションの負荷テスト
セルラー基地局の切り替え時に接続が切断されないよう、セッションの永続性を維持するためにレガシーアーキテクチャを使用しているアプリケーションを特定してください。Cloudflare のアーキテクチャは、Dynamic Path MTU Discovery (PMTUD) によって支えられており、クライアント IP が変更されてもエッジで永続的なセッションを維持します。監査中にこれらのユーザーを特定することで、高価で硬直したレガシーハードウェアを、モダンなシングルパスアーキテクチャに置き換えることができます。
- 分類とタイムラインの設定
完了後、残りのスタックは現実的な実装スケジュールを設定するために階層化されます:
アプリケーションティア
説明
推定移行コスト
Tier 0 (モダン SaaS アプリ)
認証時に Cloudflare がクライアントレスの ID プロバイダープロキシとして機能するためのネイティブ SAML/OIDC サポート
アプリあたり 1〜3 時間
Tier 1 (内部 Web アプリ)
標準的な ID ヘッダーとモダンな Web プロトコルのサポートにより、Cloudflare Tunnel を使用したクライアントレスのリバースプロキシデプロイが可能
アプリあたり 3〜6 時間
Tier 2 (非 Web クライアントサーバーアプリ)
特定のポート/プロトコルのサポートまたは厚いクライアント構成が必要であり、Cloudflare One Client と Cloudflare Tunnel の両方のデプロイメントが使用される場合
アプリあたり 4〜8 時間
ティア 3(レガシーエンタープライズアプリケーション)
複雑なサーバーサイド接続性(例:ピアツーピア、双方向通信)またはバックエンド依存要件により、Cloudflare Mesh または WAN デプロイメントが Cloudflare Tunnel を補完してサポートする必要がある場合。
アプリあたり 1〜3 日;コードの改訂が必要になる場合があります
エスケープベロシティへのロードマップ
レガシーハードウェアからの「エスケープベロシティ(脱出速度)」を達成するために、CDW は置き換えよりも共存を優先する段階的なロールアウトに従います。
フェーズ 1:戦略とインフラストラクチャ:戦略および実装チームの結成。このフェーズには、ピアの検討相手として機能させるために CDW の戦略家(元 CISO およびアーキテクト)を特定することが含まれます。
フェーズ 2:パイロットロールアウト:Cloudflare One Client を従業員のパイロットグループにデプロイします。この期間中、「レイテンシー税」といった一般的な摩擦点を解消し、パフォーマンスがセキュリティを損なわないように確保します。
フェーズ 3:本番環境でのスケーリング:組織全体で完全なスケーリングを実施します。ユーザーがレガシー VPN と Cloudflare Access を並行して実行するデュアルクライアント期間を維持し、安全なロールバックパスと、新しいゼロトラストアプローチへのエンドユーザーの移行を容易にします。
パフォーマンスをセキュリティ機能として
Cloudflare のシングルパスアーキテクチャは、すべてのセキュリティチェックを同時に実行します。
「コネクティビティクラウドについてお客様とお話しする際、最もインパクトのある変化は単なるモダンなセキュリティ姿勢だけではありません。それは運用の速度です」と、Cloudflare One GTM 責任者の Annika Garbers は指摘しています。「単一のコントロールプレーンに移行することで、セキュリティチームがボトルネックとなるのを防げます。」
ポスト量子暗号化を基盤に構築することで、私たちはこのブリッジが次世代の脅威に対して将来-proof(将来対応可能)であることを保証します。
Cloudflare One のアジャイルな SASE でブリッジを構築する
モダナイゼーションとは「ビッグバン」ではなく、ブリッジを築くことです。この手法は、パートナーのフィードバックが製品ロードマップに直接反映されるパートナー技術諮問委員会を通じて洗練されています。アプリケーションのモダナイゼーションと段階的なロールアウトに焦点を当てることで、組織はアーキテクチャ制御を取り戻し、フラグメンテーションペナルティ(断片化による不利益)を永久的に排除できます。
Cloudflare の SASE プラットフォームと CDW の移行専門知識の組み合わせが、この旅におけるセーフティネットとなります。大規模で未マッピングのカットオーバーに伴う運用上の行き詰まりなく、アイデンティティベースのアクセスやフィッシング耐性のある MFA(多要素認証)の即時セキュリティメリットを得られます。
目標は単にアプリケーションをクラウドに移すことだけではありません。そこに着いた際に、環境がよりレジリエント(回復力がある)、より可視化され、著しく侵害されにくくなっていることを保証することです。
ゼロトラストアーキテクチャへの移行をリスク低減したいですか?CDW のゼロトラスト成熟度評価(Zero Trust Maturity Assessment)を使用して、環境内の隠れた依存関係を特定してください。実証済みのブループリントで移行を開始するために、Cloudflare One の専門家にお問い合わせください。
原文を表示
For a network engineer, the cutover weekend is often the most stressful 48 hours of their career. Imagine a 30,000-user organization attempting to flip 1,000+ legacy applications from fragmented VPNs to a new architecture in a single window. The stakes are immense: a single misconfigured firewall rule or a timed-out session can halt essential services and lead to operational gridlock.
This "big bang" migration risk is the single greatest barrier to Zero Trust adoption. Organizations often feel trapped between an aging, vulnerable infrastructure and a migration process that feels too risky to attempt.
Cloudflare and Technology Solutions Provider CDW are changing this narrative. We believe that a successful transition to SASE (Secure Access Service Edge) shouldn't feel like a leap into the dark. By combining Cloudflare’s global Zero Trust platform with CDW’s experience navigating the industry’s most complex deployment failures, we provide the strategic roadmap to de-risk the journey. We don't just move your "plumbing" — we ensure your legacy debt is transformed into a modern, agile security posture without the downtime.
Leveraging partner expertise to avoid migration traps
Traditional migrations often fail because they treat the network as simple plumbing rather than a complex ecosystem of applications. Without a granular strategy, many organizations fall into the "lift and shift" trap — attempting to move hundreds of applications simultaneously without understanding their back-end dependencies.
To avoid this, CDW uses a risk-aware, tiered methodology. This approach categorizes every application in your environment by its technical complexity. We move simple, modern apps first to build momentum while saving complex, legacy systems for a more controlled, later stage.
A recent large-scale public sector project serves as a cautionary example of what can happen without this structure. In this case, a team attempted to migrate 500 applications at once. Because they lacked a tiered methodology to prioritize their 4,000+ applications, the move led to systemic service disruptions.
CDW’s role is to act as the architect that prevents these failures. CDW strategists, many of whom are former security practitioners, analyze these industry-wide failure points to identify recurring anti-patterns that derail Zero Trust journeys and build a more resilient migration blueprint. By treating migration as an application modernization project rather than a single connectivity swap, CDW ensures that security requirements are built into the foundation of the move rather than bolted on as an afterthought.
Modernizing legacy apps with Cloudflare Access
To move away from the all-or-nothing risks of the past, we start with the foundation of the solution: Cloudflare Access. Before we look at how to migrate complex legacy applications, it’s important to understand the value of the platform itself. Cloudflare Access replaces the broad, vulnerable perimeter of a traditional VPN with a Zero Trust model. Instead of granting a user access to an entire network segment, Access evaluates every single request based on identity, device posture, and other contextual signals. This significantly reduces the attack surface and prevents the lateral movement that leads to the kind of systemic outages we discussed earlier.
Once this security layer is in place, we can begin "wrapping" legacy applications in Cloudflare Access. This allows us to modernize the security posture of an old app without actually rewriting its code.
We do this wrapping in Cloudflare Access using a specific logic:
Problem: A legacy application with no built-in Multi-Factor Authentication (MFA) is exposed via a standard VPN, creating a high-risk entry point for attackers.
Mitigation: Using Cloudflare Tunnel, we create an outbound-only connection with both Single Sign-On (SSO) and MFA built-in. This effectively hides the application from the public Internet, as it no longer has a public IP address to scan or attack.
Policy: We then apply a Cloudflare Access policy at the edge. This requires an endpoint hardware-based MFA check and a device health scan before a single packet ever reaches your server.
By using this wrapping technique, CDW and Cloudflare make it possible for organizations to migrate at their own pace. You get the immediate security benefits of a modern cloud environment, while your legacy apps continue to run safely in the background.
Pre-migration audit
Before launching a pilot, IT leaders must audit the environment for architectural readiness, ensuring legacy systems are technically compatible with modern security protocols. “For large deployments, we focus on application modernization,” says Eric Marchewitz, a security solutions executive at CDW. “Many legacy applications could break if least privilege access was applied without proper preparation."
- Architectural & identity assessment
Determine identity providers: Confirm which applications rely on a federated Identity Provider (such as Okta) versus those using legacy local directories.
Map dependencies: Document backend database and API dependencies for each application to prevent service interruptions. This data identifies the hidden API calls that typically break during a cutover if service token-based Tunnel connectivity is not maintained on the backend.
- Establish firebreak
Separate the project into a Strategy Group (focused on security standards) and an Implementation Group (focused on efficiency). This ensures that high-level security requirements, like those needed to prevent lateral movement, are not bypassed for the sake of deployment speed.
- Persistent session stress test
Identify applications using legacy architectures to maintain session persistence and avoid connection drops during cellular tower switching. Cloudflare’s architecture, supported by Dynamic Path MTU Discovery (PMTUD), maintains a persistent session at the edge even as the client IP changes. Identifying these users during the audit allows us to displace expensive, rigid legacy hardware with a modern, single-pass architecture.
- Categorization & timeline setting
Once complete, the remaining stack is tiered to set realistic implementation timelines:
Application Tier
Description
Estimated Migration Effort
Tier 0 (Modern SaaS Apps)
Native SAML/OIDC support so Cloudflare acts as a clientless identity provider proxy during authentication
1–3 hours per app
Tier 1 (Internal Web Apps)
Standard identity headers and modern web protocols support a clientless reverse proxy deployment with Cloudflare Tunnel
3–6 hours per app
Tier 2 (Non-Web Client-Server Apps)
Specific port/protocol support or thick-client configurations required so both Cloudflare One Client and Cloudflare Tunnel deployments are used
4–8 hours per app
Tier 3 (Legacy Enterprise Apps)
Complex server-side connectivity (e.g. peer-to-peer, bidirectional) or back-end dependency requirements so Cloudflare Mesh or WAN deployments may complement Cloudflare Tunnel to support.
1–3 days per app; may require code revisions
The roadmap to escape velocity
To achieve "escape velocity" from legacy hardware, CDW follows a phased rollout that prioritizes coexistence over replacement.
Phase 1: Strategy & Infrastructure: Formation of strategy and implementation teams. This phase includes identifying CDW strategists — former CISOs and architects — to act as peer sounding boards.
Phase 2: Pilot Rollout: Deployment of the Cloudflare One Client to a pilot group of employees. During this phase, we address common friction points like the "latency tax," ensuring performance doesn't compromise security.
Phase 3: Production Scaling: Full scaling across the organization. We maintain a dual-client period where users run both legacy VPN and Cloudflare Access in tandem, ensuring a safe rollback path and an easier end-user transition to the new Zero Trust approach.
Performance as a security feature
Cloudflare’s single-pass architecture runs every security check simultaneously.
"When we talk to customers about the connectivity cloud, the most impactful change isn't just the modern security posture. It's the operational velocity,” notes Annika Garbers, Head of Cloudflare One GTM. “Moving to a single control plane allows a security team to stop being a bottleneck.”
By building on a post-quantum encrypted foundation, we ensure this bridge is future-proofed against the next generation of threats.
Build your bridge with Cloudflare One's agile SASE
Modernization is about building a bridge, not a "big bang." This methodology is refined through our Partner Technical Advisory Board, where partner feedback informs our product roadmap directly. By focusing on application modernization and a phased rollout, organizations can regain architectural control and eliminate the fragmentation penalty for good.
The combination of Cloudflare’s SASE platform and CDW’s migration expertise provides a safety net for the journey. You get the immediate security benefits of identity-based access and phish-resistant MFA, without the operational gridlock of a massive, unmapped cutover.
The goal isn't just to move your applications to the cloud. It’s to ensure that when you get there, your environment is more resilient, more visible, and significantly harder to breach.
Ready to de-risk your journey to a zero trust architecture? Use CDW’s Zero Trust Maturity Assessment to identify the hidden dependencies in your environment. Reach out to a Cloudflare One expert to start your transition with a proven blueprint.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み