クラウドフレアのCEO、マシュー・プリンス氏は同僚たちと同様、遠くから企業のサーバーに安全に接続するために使われる同社の仮想プライベートネットワークを嫌うようになった。
「どこへ行っても分からないのに、シスコのVPNクライアントを使ってサンフランシスコに行かなければならなかった」と彼は12月のThe Register紙との電話インタビューで説明した。「例えばインドだったら、信じられないほど辛い経験だっただろう」
プリンス氏は、ある企業イベントで、Cloudflare の CISO が VPN を象徴するピニャータを出して、ステージ上でそれを叩き殺させたときのことを思い出した。きっととても満足したに違いない。
Cloudflareは4月に、DNSサービスを提供する1.1.1.1アプリにWarpという独自のVPNをリリースしました。Warpは、同社がCloudflare for Teamsという新たな事業分野に進出する中で、サポート的な役割を担うことになります。
これはSlackやMicrosoft Teamsのようなコラボレーションツールではなく、セキュリティとアクセス制御を提供する新興のサービススイートです。
そのコンポーネントの一つであるCloudflare Accessは既に稼働しており、ユーザーベースおよびアプリケーションベースのセキュリティ、認証、監視を提供するサービスです。現在、23andMeやEricssonといった企業が利用しています。
シーズン2を期待する
1月7日火曜日、CloudflareはIPO後初の買収を発表する予定で、技術と人材を同社に取り込むことで、インフラ保護事業を超えて人的保護市場への事業拡大を図る。
プリンス氏は、ワシントン州カークランドに拠点を置く新興企業S2システムズの買収が2019年末までに完了し、1月初めに発表される予定だと述べた。
S2 Systemsは、Webコンテンツのサーバーベースレンダリングを可能にするブラウザ分離システムを開発しました。これは、リソースが限られたモバイルデバイスに送信する前にWebコンテンツをリモートでレンダリングするOpera Miniブラウザのプロキシシステムに似ています。
プリンス氏によると、Menlo SecurityやAuthentic8など、同様の取り組みを行っている企業は他にもあるが、S2の技術の方がパフォーマンスが優れていると主張している。買収が完了すると、おそらく今年半ばまでに、S2の技術はCloudflare Gatewayという製品に統合され、Cloudflare for Teamsの2番目のアプリケーションとなる予定だ。
ウェブはセキュリティリスクとなるため、企業にとってブラウザ分離は望ましいものです。「会社所有のデバイスを使用している従業員の場合、読み込むウェブページごとにコードが組織内に持ち込まれ、デバイス上で実行されることになります」とプリンス氏は言います。
ブラウザ分離により、Web コードをリモートで実行し、セキュリティの脅威をより効果的に処理し、レンダリングされたページのみをデバイスに送信します。
「ブラウザ内で実行されるコードはもうありません」とプリンス氏はこの計画について説明しながら述べた。「すべてネットワーク上で実行されるのです。」
「現在、それを実現する方法は2つある」と、S2の共同創業者で現在はクラウドフレアの製品戦略イノベーションディレクターを務めるダレン・レミントン氏は、月曜日にクラウドフレアのサンフランシスコ本社で行われたインタビューで説明した。
「1 つ目はピクセル プッシングと呼ばれるもので、実質的にはブラウザーを実行しているときにリモートでビデオが撮影され、それがローカル マシンにプッシュされて、ビデオが視聴されるというものです。」
レミントン氏によると、このアプローチの欠点は、常にクラウドでビデオをエンコードするため、実行コストが高くなることです。
2つ目のアプローチはDOM再構築と呼ばれるものだと彼は述べた。「これは、ウェブサイトから送られてくるHTMLやCSS、その他すべての要素をクリーンアップし、実際のコードや、潜在的に悪意のある可能性のあるものをすべて取り除くという考え方です。」
「これには2つの問題があります」とレミントン氏は述べた。「1つは、ユーザーにとってははるかに高速でスムーズな動作に感じられるものの、依然としてHTMLを使用していることです。攻撃ベクトルも依然として使用しています。つまり、蚊を洗うのと似ていますよね?洗うことはできますが、それでも病原体を運んでしまうのです。」もう1つは、多くのウェブサイトに不具合が生じることです、と彼は述べた。
S2 は 3 番目のアプローチを開発しました。これは、クラウドで実行され、ブラウザの Skia グラフィック レイヤーへの呼び出しをインターセプトする、Chrome やその他約 20 のブラウザのオープンソース基盤である Chromium のヘッドレス バージョンを作成するというものです。
「実際に仮想的に何かを描画する前に、Skia の呼び出しを傍受し、トークン化して圧縮し、任意の HTML5 ブラウザーに送信して、マシン上でローカルに再描画します」とレミントン氏は説明した。
「WebAssemblyを使用しています。ブラウザ、どんなブラウザでもローカルで動作する小さなSkiaライブラリをプッシュしています。そして、これらのコマンドが送られてきて、再描画されます。つまり、実質的にはローカルで描画するヘッドレスChromiumです。攻撃ベクトルがないため、非常に安全であることがわかりました。描画コマンドのみを使用しています。」
短いデモでは、S2のもう一人の共同設立者で元CEO、現在はCloudflareの製品管理ディレクターを務めるデビッド・ハーネット氏のラップトップで実行されていたChromeブラウザが非常に応答性が高く、ブラウザ機能のほとんどがリモートで処理されている様子は見られなかった。
ハーネット氏によれば、S2 の方式により帯域幅が 60 パーセント節約されるという。
502エラーが発生し、Cloudflareもその1つです。El Regの読書を30分近く中断する障害が発生しました。
続きを読む
「多くの場合、ローカルより速いと言うと、皆驚きます」とレミントン氏は述べ、ウォール・ストリート・ジャーナルのページの読み込みに2,000以上のサーバーリクエストが必要になることもある遅延が、帯域幅の容量がはるかに大きいクラウドですべて処理されると指摘した。
プリンス氏は、1999年に登場したSun Rayシンクライアントの考え方を思い起こさせるこのアプローチにより、アフリカやラテンアメリカなどの地域で、安価で性能の低いモバイルデバイスがインターネット上でより効率的にやりとりできるようになることを期待している。
「クラウドフレアは基本的に、ファイアウォールや負荷分散など、購入する必要のあるすべてのものを箱として取り込んでおり、その機能をネットワーク全体で実行されるサービスに変換しています」とプリンス氏は語った。
もしマーケティングのキャッチフレーズを聞かれたら、クラウドに熱狂したサンの「ネットワークこそがコンピュータだ」という宣言を復活させることを提案するでしょう。このフレーズはもう一度チャンスを与えられるべきだからです。しかし、Cloudflareが7月にこのフレーズの商標登録を取得して、私たちに先んじていました。®
