ライセンスプレートからバッジへ:ゲートウェイ認証プロキシ
Cloudflareは、エンドポイントにクライアントをインストールできない環境向けに、IPアドレスベースからユーザー認証ベースへ移行する「Gateway Authorization Proxy」を提供し、未管理デバイスからのトラフィックに対するアイデンティティベースの保護を可能にした。
キーポイント
既存システムの課題: IPアドレスの限界
従来のプロキシエンドポイントはIPアドレスのみでユーザーを識別するため、ドライバー(ユーザー)と車両(IP)の紐づけが曖昧になり、匿名ログや堅牢でないポリシー管理を招いていた。
新機能: アイデンティティベースの認証
Gateway Authorization Proxyにより、Cloudflare Accessのようなログインプロセスを導入し、デバイスではなくユーザーのアイデンティティを検証してからフィルタリングを適用する仕組みを実現した。
具体的な利点: 詳細なログと柔軟なポリシー
どのユーザーがどのサイトにアクセスしたかという詳細なログが取得可能になり、クライアントインストールなしでも「財務チームのみ特定ツールにアクセス」などのきめ細かいポリシー適用が可能となった。
M&Aや規制環境での適用性
ソフトウェアのインストールが制限される企業買収後の統合や、厳格な規制環境において、未管理デバイスからの安全な接続を維持するための重要なソリューションとなる。
複数のIDプロバイダーのサポート
大企業やM&A進行中の企業が、OktaやAzure ADなど複数のログイン方法を同時に表示でき、競合他社にはない柔軟性を提供します。
簡素化された課金モデル
Cloudflare One Clientと同様に、ユーザーは単に「席」を占有するだけであり、複雑な指標を追跡する必要はありません。
デバイス不要の認証とPACファイル管理
署名付きJWTクッキーによりデバイスクライアント不要で認証を維持し、Cloudflare上でPACファイルをホストしてセットアップの手間を省きます。
影響分析・編集コメントを表示
影響分析
この発表は、ゼロトラストアーキテクチャにおいて「デバイス管理」から「アイデンティティ管理」へのシフトを加速させるものであり、特にエンドポイントセキュリティの適用が困難な環境における実務的な課題を解決する。Cloudflareは自社のエコシステム内での統合性を高めつつ、競合他社との差別化を図るための重要な機能追加である。
編集コメント
Cloudflare Blogの記事であり、自社製品の機能紹介という色彩が強いものの、セキュリティ運用の現場で頻繁に発生する「未管理デバイスからのアクセス制御」という実務課題に対する具体的な解決策を示している点で、セキュリティ担当者にとって参考価値は高い。
私たちはしばしば「理想的」な状態について語ります。それは、すべてのデバイスに Cloudflare One Client などの管理されたクライアントがインストールされ、深い可視性とシームレスな保護を提供する状態です。しかし、現実は往々にしてそれを妨げます。
時には企業の買収に伴う対応や、仮想デスクトップの管理、あるいは端末へのソフトウェアインストールが許されない極めて規制の厳しい環境での作業を迫られることもあります。デバイスに対する完全な管理権限がない場合でも、そのトラフィックを保護する必要があります。
このギャップを埋めるには、アイデンティティの課題をデバイスからネットワーク自体へと移行させる必要があります。ブラウザのネイティブプロキシ機能と当社のグローバルネットワークを組み合わせることで、インターネットに到達できるあらゆるデバイス上でユーザーを検証し、細粒度のポリシーを適用できます。私たちは、この認証を自動化し、管理されていないデバイスの Cloudflare への接続を簡素化するために、「Gateway Authorization Proxy(ゲートウェイ認可プロキシ)」および「Proxy Auto-Configuration (PAC) File Hosting(プロキシ自動構成ファイルホスティング)」を構築しました。
問題点:場合によっては IP アドレスだけでは不十分です
2022 年、私たちはトラフィックを Cloudflare を経由してルーティングし、フィルタリングルールを適用できるようにするプロキシエンドポイントを発表しました。これはアクセスの即時的なニーズには対応しましたが、大きな「アイデンティティ危機」を抱えていました。
このシステムはユーザーを識別するために静的 IP アドレスに依存していたため、車の中の人ではなく車だけを認識する警備員のようなものでした。特定の車(特定の IP)が現れれば入場を許可しましたが、運転手が車を乗り換えたり別の場所から作業したりすると、警備員は混乱しました。これによりいくつかの大きな課題が生じました:
匿名ログ:IP アドレスは分かっても、誰なのかは分かりませんでした。
脆いポリシー:ユーザーが新しい自宅やオフィスに移転すると、エンドポイントが機能しなくなったり、更新が必要になったりしました。
手動メンテナンス:ブラウザにプロキシの場所(「GPS」)を指示する PAC ファイルを自前でホストする必要があり、チームが管理すべき項目が増えました。
解決策:認証プロキシ
image
認証プロキシ アクセスポリシー設定ページ
新しい Gateway Authorization Proxy は、入口に「バッジリーダー」を追加したようなものです。単にトラフィックの発信元を確認するだけでなく、Gateway のフィルタリングを適用する前に、Cloudflare Access 形式のログインを使用してユーザー本人を検証します。
これは、ナンバープレートに基づくゲストリストから、全員が独自のバッジを持つシステムへと移行するようなものです。これにより、以下のような大きなメリットが得られます:
真のID統合:プロキシエンドポイントに関連するログでは、どのユーザーがどのサイトにアクセスしているかが正確に表示されます。デバイスにクライアントをインストールしていなくても、「財務チームのみがこの会計ツールにアクセスできる」といった特定のルールを設定できます。
複数のIDプロバイダー:これは大企業やM&A(合併・買収)進行中の企業にとっての超能力です。ユーザーに表示するIDプロバイダーを選択できます。Okta や Azure AD など、1 つまたは複数のログイン方法を同時に表示することも可能です。これは競合他社が現時点で提供していないレベルの柔軟性です。
簡素化された請求:各ユーザーは、Cloudflare One Client と同様に単に「席」を占有するだけです。追跡すべき複雑な新指標はありません。
これを可能にするために、デバイスクライアントなしで、すべてのリクエストに対してユーザーのIDを関連付けるという技術的課題を克服する必要がありました。仕組みについては以下をご覧ください。
認証プロキシによるID追跡
認証プロキシは署名付き JWT(JSON Web Token)Cookie を使用してIDを維持しますが、一つ注意が必要です:プロキシを通じて初めて新しいドメインにアクセスした際、まだ Cookie は存在しません。これは、新しく入る建物ごとにバッジを見せるようなものです。
image
上記のフローチャートは、この認証プロセスがどのように機能するかを正確に示しています:
ドメインへの初回アクセス:新しいドメインに移動すると、Gateway Authorization Proxy はドメインアイデンティティクッキーが存在するか確認します。存在しない場合、Cloudflare Access へリダイレクトされ、そこで既存の Cloudflare Access アイデンティティクッキーがチェックされます。すでに Cloudflare Access で認証済みの場合は、そのドメイン専用の安全なトークンが発行されます。認証されていない場合は、アイデンティティプロバイダー(Identity Provider)を使用してログインするようリダイレクトされます。
ユーザーには見えない:この一連のプロセスは、Cloudflare のグローバルエッジネットワークのおかげでミリ秒単位で完了します。リダイレクトが非常に高速なため、ユーザーはそれに気づかず、ページが通常どおり読み込まれるだけだと感じます。
再訪問は即座に完了:一度クッキーが設定されると、そのドメイン(およびサブドメイン)に対するすべての後続のリクエストが即座に承認されます。もはやリダイレクトは不要です。
このアプローチにより、ユーザーのデバイスへのソフトウェアインストールを一切必要とせず、アクセスするすべてのドメインで個人ごとにトラフィックをログ記録・フィルタリングし、必要な場合に即座にアクセス権限を取り消すことが可能になります。
独自の PAC ファイルのホスティングは不要になりました
また、セットアッププロセスにおける「宿題」も排除しました。 теперь Proxy Auto-Configuration (PAC) File Hosting を利用して、PAC ファイルを Cloudflare 上で直接ホストできるようになりました。
image
PAC ファイル設定ページ
スムーズに始めるために、数分で設定を完了できるスターターテンプレートを用意しました。また、AI アシスタントの Cloudy を統合し、コード行を読み込むことなく、PAC ファイルが具体的に何をしているのかを理解するための要約を提供しています。
これはあなたのチームに適しているでしょうか?
より高い制御性と最高のユーザーエクスペリエンスのために Cloudflare One Client を引き続き推奨していますが、Auth Proxy は特定のシナリオに完璧なソリューションです:
仮想デスクトップ (VDI): ユーザーが仮想マシンにログインし、ブラウザを使用してインターネットにアクセスする環境。
合併・買収: 2 つの異なる企業を迅速に一つのセキュリティの傘の下に統合する必要がある場合。
コンプライアンス制約: 法的または技術的な理由により、エンドポイントへのソフトウェアインストールが禁止されている場合。
次のステップは?
これにより、Cloudflare One へ接続するためのクライアントレスセキュリティオプションが拡大し、Authorization Endpoints に関連するサポートされるアイデンティティメソッドの拡充もすでに進めています。Kerberos、mTLS(相互認証 TLS)、従来のユーザー名/パスワード認証などが登場し、ユーザー認証の方法にもっと柔軟性をもたらす予定です。
Gateway Authorization Proxy と PAC File Hosting は、今日からすべてのアカウントタイプでオープンベータとして利用可能です。Cloudflare ダッシュボードの「Resolvers and Proxies」セクションにアクセスして開始できます。
原文を表示
We often talk about the "ideal" state, one where every device has a managed client like the Cloudflare One Client installed, providing deep visibility and seamless protection. However, reality often gets in the way.
Sometimes you are dealing with a company acquisition, managing virtual desktops, or working in a highly regulated environment where you simply cannot install software on an endpoint. You still need to protect that traffic, even when you don’t fully manage the device.
Closing this gap requires moving the identity challenge from the device to the network itself. By combining the browser’s native proxy capabilities with our global network, we can verify users and enforce granular policies on any device that can reach the Internet. We’ve built the Gateway Authorization Proxy and Proxy Auto-Configuration (PAC) File Hosting to automate this authentication and simplify how unmanaged devices connect to Cloudflare.
The problem: sometimes IP addresses aren't enough
Back in 2022, we released proxy endpoints that allowed you to route traffic through Cloudflare to apply filtering rules. It solved the immediate need for access, but it had a significant "identity crisis."
Because that system relied on static IP addresses to identify users, it was a bit like a security guard who only recognizes cars, not the people inside them. If a car (a specific IP) showed up, it was let in. But if the driver switched cars or worked from a different location, the guard got confused. This created a few major headaches:
Anonymous Logs: We knew the IP address, but we didn’t know the person.
Brittle Policies: If a user moved to a new home or office, the endpoint broke or required an update.
Manual Maintenance: You had to host your own PAC file (the "GPS" that tells your browser where the proxy is) — one more thing for your team to manage.
The solution: the Authorization Proxy
image
Authorization proxy Access policy setup page
The new Gateway Authorization Proxy adds a "badge reader" at the entrance. Instead of just looking at where the traffic is coming from, we now use a Cloudflare Access-style login to verify who the user is, before enforcing Gateway filtering.
Think of this as moving from a guest list based on license plates, to a system where everyone has their own badge. This brings several massive benefits:
True identity integration: Your logs related to proxy endpoints now show exactly which user is accessing which site. You can write specific rules like "only the Finance team can access this accounting tool," even without a client installed on the device.
Multiple identity providers: This is a superpower for large companies or those undergoing M&A. You can choose which identity providers to show your users. You can display one or multiple login methods (like Okta and Azure AD) at the same time. This is a level of flexibility that competitors don't currently offer.
Simplified billing: Each user simply occupies a "seat," exactly like they do with the Cloudflare One Client. There are no complicated new metrics to track.
To make this possible, we had to overcome the technical hurdle of associating a user’s identity with every request, and without a device client. Read on to see how it works.
How Authorization Proxy tracks identity
The Authorization Proxy uses signed JWT cookies to maintain identity, but there's a catch: when you first visit a new domain through the proxy, there's no cookie yet. Think of it like showing your badge at each new building you enter.
image
The flowchart above illustrates exactly how this authentication process works:
First visit to a domain: When you navigate to a new domain, the Gateway Authorization Proxy checks if a domain identity cookie is present. If not, you're redirected to Cloudflare Access, which then checks for an existing Cloudflare Access identity cookie. If you're already authenticated with Cloudflare Access, we generate a secure token specifically for that domain. If you're not, we redirect you to login with your identity provider(s).
Invisible to users: This entire process happens in milliseconds thanks to Cloudflare's global edge network. The redirect is so fast that users don't notice it — they simply see their page load normally.
Repeat visits are instant: Once the cookie is set, all subsequent requests to that domain (and its subdomains) are immediately authorized. No more redirects needed.
Because of this approach, we can log and filter traffic per person across all domains they access, and revoke access in an instant when needed — all without requiring any software installation on the user's device.
No more hosting your own PAC files
We are also taking the "homework" out of the setup process. You can now host your PAC files directly on Cloudflare, using Proxy Auto-Configuration (PAC) File Hosting.
image
PAC file configuration page
To make it easy, we have included starter templates to get you up and running in minutes. We have also integrated our AI assistant, Cloudy, to provide summaries that help you understand exactly what your PAC file is doing, without having to read through lines of code.
Is this right for your team?
While we still recommend the Cloudflare One Client for greater control and the best user experience, the Auth Proxy is the perfect fit for specific scenarios:
Virtual desktops (VDI): Environments where users log into a virtual machine and use a browser to reach the Internet.
Mergers and acquisitions: When you need to bring two different companies under one security umbrella quickly.
Compliance constraints: When you are legally or technically prohibited from installing software on an endpoint.
What’s next?
This expands our clientless security options to connect to Cloudflare One, and we are already working on expanding our supported identity methods related to Authorization Endpoints. Look out for Kerberos, mTLS, and traditional username/password authentication to give you even more flexibility in how you authenticate your users.
The Gateway Authorization Proxy and PAC File Hosting are available in open beta today for all account types. You can get started by going to the "Resolvers and Proxies" section of your Cloudflare dashboard.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み