ネットワーク業界から見た 動向 ～Cloudflare trends from the perspective of the network industry.～ クラスメソッド株式会社 アライアンス事業部 平野 尚志 2024年2月26日

自己紹介：平野 尚志

自己紹介：平野 尚志 アライアンス事業部 • Cloudflare 着任日 • 2023年7月1日 パラレルワークで自己開発 • Communication Design (トリセツ制作) • ひらの農園 (家業) 最近の日課 • 愛犬「こなつ」くんのお世話 • テレワーク時の昼食と夕食 • 翠富士、熱海富士(静岡県出身力士)

Cloudflare’s core mission

Cloudflareの基本使命は、「より良いインターネット環境 の構築をサポートする」ということです。 Cloudflare's core mission is to help build a better Internet. Cloudflare’s core mission 【より良いインターネット】って、何？

みんな知ってる! CDN (snip)

CDNとは？ （Contents Delivery Network） 出典： https://www.cloudflare.com/ja-jp/learning/cdn/what-is-a-cdn/ cf. Anycast Network https://www.cloudflare.com/ja-jp/learning/cdn/glossary/anycast-network/

Cloudflareは、CDN ベンダーのLeader (IDC doc #US47652821、2022年3月) 出典： https://www.cloudflare.com/lp/idc-worldwide-cdn-marketscape/ (戦略) (能力) (戦略) (能力)

CloudflareのCDN ベンダーとして強味 (IDC doc #US47652821、2022年3月) 出典： https://www.cloudflare.com/lp/idc-worldwide-cdn-marketscape/ IDC Market Placeは、 「Cloudflareは極めて革新的なベンダーで、仮想化、サーバーレス、AI/ML、IoT、HTTP3、5G、 （モバイル）エッジコンピューティングといった先進技術をサポートする能力への投資を絶えず 行っている」 と評価している。 • 開発者プラットフォームのCloudflare Workersは、分離されたサーバーレスアーキテクチャを基にして おり、カスタマイズしやすく、顧客は市場投入までの時間（TTM）を短縮できる。これは、現在のデジ タル主導型市場では極めて重要な点である。 • Cloudflareのセルフサーブポータルと、詳細分析可能なダッシュボード、アクショナブルなコンテンツ 配信、セキュリティ分析などの機能を、エンタープライズグレードの顧客向けの包括的な高度サービス スイートで補完している。 • Cloudflareのエンタープライズセキュリティ Zero Trustサービス スタックは広範で、分散型ワーク フォースが安全にアクセスするための要件を満たしている。そのデータローカリゼーションスイートと 統合型SASEサービスは、グローバルな法人顧客にとって魅力的である。 • Cloudflareは、JD Cloudとの戦略的パートナーシップにより、中国本土外のオリジンから中国国内の全 データセンターでキャッシュされたコンテンツを顧客に配信し、中国国外におけるのと同じインター ネットパフォーマンスと安全性、信頼性の体験を実現している。

CDN Perf (速くて信頼性が高い CDNを調べているサイト) https://www.cdnperf.com/ FIND THE FASTEST AND MOST RELIABLE CDN FOR FREE BASED ON BILLIONS OF TESTS

CDN by CDNPerf at 2023/11/10 Top class 30ms 20ms 40ms 50ms 2nd class 3rd class 性能や順位は、 変動しています。

cdnjs って、なに？ (snip)

JavaScriptのサンプルプログラムに ”Cloudflare” という文字列が！ 出典：https://ascii.jp/elem/000/000/270/270116/ (カード型レイアウトのHTML実現方法の紹介記事)

制作した HTMLコンテンツ にも、”cloudflare” が居ました！（気付かなかった ） “cdnjs” って、なに？

“cdnjs” とは 出典： https://cdnjs.com/about ⚫ 2011年に開設 ⚫ Cloudflareを利用した、無料のオープンソースCDN ⚫ ターゲット：Webコンテンツ開発者・製作者・利用者 ⚫ 市場シェア：すべてのWebサイトの12.5%以上 ⚫ コアスタッフは、7名 ⚫創設者(2名） ⚫アクティブな貢献者（2名） ⚫運用保守（Cloudflareな人材が3名） cdnjs創設以来、Cloudflareが積極的に支援

cdnjs の何がいいの？ HTML 画像 画像 画像 JavaScript ライブラリー JavaScript ライブラリー JavaScript ライブラリー StyleSheet ライブラリー StyleSheet ライブラリー StyleSheet ライブラリー 1画面表示に多数のファイルを読み込む！

cdnjs の何がいいの？ HTML 画像 JavaScript ライブラリー StyleSheet ライブラリー ボトルネック？

cdnjs のメリット・目的！ ⚫ JavaScript と StyleSheet は Web コンテンツを構成するライブラリー&フレームワーク • JavaScript ：データの可視化、アニメーション、UI操作など • Style Sheet（CSS） ：一貫性のあるWebデザインのセット cdnjsは？ ライブラリーをCDNで配信して Web コンテンツを高速化

“1.1.1.1” を使うと表示が速くなる？ (snip)

1.1.1.1が使えるようになった！ https://internet.watch.impress.co.jp/docs/news/1114805.html 2018/04/01 IPアドレスを保存しない高速パブリックDNSサービス「1.1.1.1」、 APNICとCloudflareが無料提供 https://internet.watch.impress.co.jp/docs/yajiuma/1152938.html 2018/11/13 これでネットも激速？ 世界最速をうたう無料パブリックDNS「1.1.1.1」のスマホアプリが登場 https://blog.cloudflare.com/announcing-1111/ 2018/04/01 Announcing 1.1.1.1: the fastest, privacy-first consumer DNS service https://labs.apnic.net/index.php/2018/04/01/apnic-labs-enters-into-a-research-agreement-with-cloudflare/ 2018/04/01 APNIC Labs enters into a Research Agreement with Cloudflare

DNSってなんの役に立つの？ 「名前」と「IPアドレス」の対応表の管理方法：集中から分散へ “hosts” ファイルによる管理 階層構造による管理 (DNS) gw 192.168.0.1 www 192.168.0.100 fs 192.168.0.101 wlc 192.188.0.200 wap 192.168.0.201 PC PC PC PC 配布 PC PC PC 参照 https://www.janog.gr.jp/meeting/janog53/wp-content/uploads/2023/11/janog53-dns-tutorial-1.pdf

ご参考： DNSの教科書を試しに「試し読み」

DNSの応答速度は、速いのか？遅いのか？ DNS情報を探す人 ↓ フルリゾルバー PC DNS情報が欲しい人 ↓ スタブリゾルバー cf. DNS用語は歴史的に不統一 → RFC8499で定義 ボトルネックの懸念？ →パブリックDNSリゾルバー DNS情報を 持っている人 ↓ 権威DNSサーバー

1.1.1.1 の何がいいの？ 1.1.1.1 パブリックDNSリゾルバーをCDN環境下に配置 → 応答が速い！

DNS Performance (DNSPerf) 出典： https://www.dnsperf.com/#!dns-resolvers (at 2024/1/12)

1.1.1.1 の何がいいの？ IPv4 IPv6 DNSブロッキング (for Families) Primary Secondary Primary Secondary アダルト マルウェア 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 しない しない 1.1.1.2 1.0.0.2 2606:4700:4700::1112 2606:4700:4700::1002 しない する 1.1.1.3 1.0.0.3 2606:4700:4700::1113 2606:4700:4700::1003 する する IPv4 ＋ IPv6 ＋ DNSブロッキング https://blog.cloudflare.com/introducing-1-1-1-1-for-families-ja-jp 2020/04/01 1.1.1.1 for Familiesのご紹介

1.1.1.1 の何がいいの？ https://blog.cloudflare.com/announcing-1111/ 2018/04/01 Announcing 1.1.1.1: the fastest, privacy-first consumer DNS service 疑惑の視線… 利用者にしかメリットのないサービスが無料であるわけがない。 それには、きっと裏があるはずだ！ ⇒無料であるべき理由が、Cloudflareの本当の目的なのか？

1.1.1.1 の何がいいの？ Cloudflareのビジネスでは、ユーザーデータの販売やターゲティ ング広告に一切関わっていません。 https://blog.cloudflare.com/introducing-1-1-1-1-for-families-ja-jp 2020/04/01 1.1.1.1 for Familiesのご紹介 https://blog.cloudflare.com/announcing-the-results-of-the-1-1-1-1-public-dns-resolver-privacy-examination/ 2020/03/31 Announcing the Results of the 1.1.1.1 Public DNS Resolver Privacy Examination So we committed to retaining a Big 4 accounting firm to perform an examination of our 1.1.1.1 resolver privacy commitments. https://www.cloudflare.com/ja-jp/trust-hub/compliance-resources/ 認定および法令のための準拠のリソース え？「ユーザーデータの販売やターゲティング広告」って、誰かやってたりするの？

1.1.1.1 の何がいいの？ https://www.cloudflare.com/ja-jp/trust-hub/compliance-resources/ 認定および法令のための準拠のリソース 1.1.1.1プライバシー審査の発表 2018年4月1日、当社では1.1.1.1 パブリックDNSリゾルバー、 とりあえず、インターネット最速かつプライバシー第一の パブリックDNSリゾルバーを立ち上げたことで、インター ネットのプライバシーとセキュリティを向上させる大きな 一歩を踏み出しました。 Cloudflareでは、Big Four会計事 務所による業界初のプライバシー審査を実施し、1.1.1.1リ ゾルバーがCloudflareのプライバシーのコミットメントを満 たすように効果的に構成されているかどうかの判定を受け ました。 疑惑の視線… 無料である本当の目的は、不明w

ご参考: “Big 4 accounting firms” とは https://ja.wikipedia.org/wiki/4%E5%A4%A7%E4%BC%9A%E8%A8%88%E4%BA%8B%E5%8B%99%E6%89%80 「4大会計事務所」 4大会計事務所（よんだいかいけいじむしょ、Big 4 accounting firms）また は4大監査事務所（よんだいかんさじむしょ、Big 4 audit firms）とは、世界 的に展開する以下の4つの大規模な会計事務所ないしそのグループをいう。 文脈によっては単にビッグ4 (Big 4) という。 • デロイト トウシュ トーマツ (Deloitte Touche Tohmatsu) - 略称:DTT, Deloitte. • アーンスト&ヤング (Ernst & Young) - 略称:EY • KPMG - （KPMGは略称ではない。4名のパートナーの頭文字から取られている） • プライスウォーターハウスクーパース (PricewaterhouseCoopers) - 略称:PwC 1.1.1.1をプライバシー審査した”a Big 4 accounting firm”は、 “KPMG” です。

2013/3/19 史上最大のサイバー攻撃 (snip)

2013/3/19 史上最大のサイバー攻撃 ネットを崩壊の瀬戸際に追い込んだ「史上最大のサイバー攻撃」が明るみに ～早急な対策が望まれる オープンリゾルバーDNS問題 ～ https://internet.watch.impress.co.jp/docs/news/593523.html https://www.cloudflare.com/ja-jp/learning/ddos/famous-ddos-attacks/ スパム対策組織 Spamhaus (スパムハウス) (1) DDoS攻撃 (3)DDoS防御の実施 →CDN (DDoS Prevention） (4)攻撃拡大 (5) DOWN Cloudflare接続先 IX (6)攻撃拡大 (7) UP 最大300Gbps (by Cloudflare) Tear1 プロバイダー (8)攻撃拡大 Tear1→Tear2→Tear3…の階層 全世界で当時12社、現在16社 日本では、NTTコミュニケーションズ 米セキュリティ企業 Cloudflare (2)支援要請 (5) UP (9) UP

「史上最大のサイバー攻撃」の攻撃手法は？ 攻撃対象 (Spamhaus) DDoS攻撃 → DNSアンプ攻撃、または、DNSリフレクション攻撃 DNSサーバー DNS 攻撃 DNS問い合わせ DNS 攻撃 DNS回答 Open Resolver Project (NANOG)：目的は、オープンリゾルバー問題の解決を図る。 日本：JPNIC、JPRS、JPCERT/CC、プロバイダー、機器ベンダーなど ヤマハ → 注意喚起 ( http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/open-resolver.html ) 過去最大300Gbps超のDDoS攻撃に悪用されたDNSの「オープンリゾルバー」とは https://internet.watch.impress.co.jp/docs/interview/597628.html Open Resolver(踏み台) 2170万台 オープンリゾルバー問題 (JPRSは、有害リゾルバーと呼ぶ) 増幅率 およそ100倍

2018/04/01パブリックDNSリゾルバー 1.1.1.1 (snip)

Open Resolver オープンリゾルバー問題：正しいDNS情報は、どこにある？ PC DNS情報を 持っている人 ↓ 権威DNSサーバー DNS情報を探す人 ↓ フルリゾルバー DNS情報が欲しい人 ↓ スタブリゾルバー cf. DNS用語は歴史的に不統一 → RFC8499で定義 何が信頼できるかわからない。

オープンリゾルバー問題：信頼できるDNSサーバーはどれ？ PC DNS情報を 持っている人 ↓ 権威DNSサーバー DNS情報を探す人 ↓ フルリゾルバー DNS情報が欲しい人 ↓ スタブリゾルバー cf. DNS用語は歴史的に不統一 → RFC8499で定義 DNSSEC “DNS応答 + 鍵 + 署名” オープンリゾルバー (有害リゾルバー) 権威DNSサーバー (DNSSEC対応済み) 権威DNSサーバー (DNSSEC未対応) ? ? ? ? 何が信頼できるかわからない。 対応に時間がかかる。 ⇒1.1.1.1 などパブリックDNSリゾルバーで代替 DNSSEC対応済み DNSSEC未対応

1.1.1.1 オープンリゾルバー問題：1.1.1.1で信頼できるDNS情報を参照できる PC DNS情報を 持っている人 ↓ 権威DNSサーバー DNS情報を探す人 ↓ フルリゾルバー DNS情報が欲しい人 ↓ スタブリゾルバー cf. DNS用語は歴史的に不統一 → RFC8499で定義 DNSSEC “DNS応答 + 鍵 + 署名” オープンリゾルバー (有害リゾルバー) 権威DNSサーバー (DNSSEC対応済み) 権威DNSサーバー (DNSSEC未対応) ? ? ? ? 信頼できるDNS情報を選別

注意事項： 1.1.1.1を積極的に利用した方が良いケース 無料のWi-Fiスポットを利用する機会が多い。 ➢ 有害な情報（毒）を参照させられるリスクがあるので、信頼で きるパブリックDNSサービスの利用が望ましい。 利用中のフルリゾルバーが怪しい。 ➢ オープンリゾルバー対策が未実施 ➢ DNSSECに未対応 利用中のフォワーダーが怪しい。 ➢ オープンリゾルバー対策が未実施 ➢ DNSSECに未対応  アダルトやマルウェアを排除するDNSブロッキングを利用したい。 参考情報：有害なDNS情報について JPRSインターネット10分講座：DNSキャッシュポイズニング https://www.nic.ad.jp/ja/newsletter/No40/0800.html

フォワーダーとは？ (RFC8499) PC DNS情報を持っている人 ↓ Authoritative server(権威サーバー) DNS情報を探す人 ↓ Full resolver(フルリゾルバー) DNS情報が欲しい人 ↓ Stub resolver(スタブリゾルバー) RFC8499 https://jprs.jp/tech/material/rfc/RFC8499-ja.txt DNSを中継する人 ↓ Forwarder(フォワーダー) 家庭用ルーターなど ?

注意事項： 1.1.1.1の利用がふさわしくないケース 利用中のフルリゾルバーは、1.1.1.1と同等のセキュ リティー機能を有している。 ➢ 十分に安全で快適であれば、変更する理由はない。 インターネット接続に組織のローカルDNS情報 が必要であるとき。 ➢ 無理に変える必要はない。 ➢ 組織内のフルリゾルバーの脆弱性対応を調査する。

“1.1.1.1”という、わかりやすいIPアドレスが使えたねぇ？ 疑惑の視線… “1.1.1.1”という、最もわかりやすいIPアドレスを使えたねぇ？ なにか、裏があるんじゃないの？ 疑惑 疑惑 疑惑 疑惑 疑惑 疑惑 疑惑 疑惑 疑惑 疑惑 疑惑 疑惑 疑惑 疑惑 疑惑 疑惑 疑惑 疑惑 疑惑

“1.1.1.1”という「わかりやすいIPアドレス」は、誰だって使いたい！ 昔は、未割り当てのスペースだった。 …実際には、たくさん使用されていた。 2010年1月21日 APNICに割り当てられた。 https://seclists.org/nanog/2010/Jan/776 APNICは 1.0.0.0/8 を調査 ⇒通常利用には｟有害｠過ぎる。割当断念！ ⇒1.0.0.0/8 は、ダーク トラフィック アドレス（dark traffic addresses）! cf. dark traffic https://blog.apnic.net/2019/10/10/dark-traffic/ IIJ 松崎由伸(@maz)さんの発表も紹介されています。

“1.1.1.1”を使う前に、お掃除しましょ！ ”1.1.1.1”で、APNICとCloudflareが共同研究することになった。 https://blog.cloudflare.com/announcing-1111/ 2018/04/01 Announcing 1.1.1.1: the fastest, privacy-first consumer DNS service https://labs.apnic.net/index.php/2018/04/01/apnic-labs-enters-into-a-research-agreement-with-cloudflare/ 2018/04/01 APNIC Labs enters into a Research Agreement with Cloudflare https://blog.cloudflare.com/fixing-reachability-to-1-1-1-1-globally 2018/4/1 Fixing reachability to 1.1.1.1, GLOBALLY! 1.1.1.1 was BROKEN! We’re confident we can get everything cleaned up, this is a stark reminder that you shouldn’t hijack IP addresses not assigned to you. 自分に割り当てられていない IP アドレスをハイジャックしないでくださいという厳重な注意喚起 え？ ハイジャック(hijack) って、誰が、何していたの？

2018/09/18 経路ハイジャック対策 RPKI (snip)

経路ハイジャック（経路リーク）とは 「 isBGPSafeYet 」の経路ハイジャック（BGPハイジャック）の動きをわかりやすく説明する図

ところで、BGPって？ Router (A) Router (B) Router (C) Full route Full route Full route route “X” “X”追加 “X”追加 “X”追加 BGP The Internet

おまん（ ）、だれじゃ？ (土佐弁) Router (A) Router (B) Router (C) BGP The Internet route “X” Full route “X”追加 Full route “X”追加 Full route “X”追加 ?

「おまん、だれじゃ？」 ⇒ RPKI R P K I R PKI （Resource Public-Key Infrastructure） Resource Public-Key Infrastructure 公開鍵暗号基盤 インターネットの経路制御では、 • IPアドレス • AS番号 (Autonomous System Number) インターネット上のネットワークを識別する番号 正しいリソースであることを証明する電子証明書

おまえ（ ）は、偽物では? 信用できん! Router (A) Router (B) Router (C) BGP The Internet route “X” Full route Full route Full route BGP with RPKI

[専門用語] RPKIは、なんでハイジャック対策になるの？ RPKIを使って、正しい経路だけを受け入れる仕組みに移行することで、 誤った経路の混入を防ぐことができる。 ⚫RPKIによる経路の電子証明書を ROA(Route Origination Authorization) という。 ⚫受信した経路をROAで検証することをROV(Route Origin Validation)と いう。 ⚫受信した経路をROVした結果により、一般的には不正な経路は破棄され る。 ⚫経路をROAでROVすると、正しい経路をルーターに投入できるように なる。 RPKIに対応する組織(AS)が増えれば増えただけ、インターネットの安全 性・安定性が高まります。

経路ハイジャック（経路リーク）とは 「 isBGPSafeYet 」の経路ハイジャック（BGPハイジャック）の動きをわかりやすく説明する図

Cloudflare’s core mission

Cloudflare’s core mission 【より良いインターネット】って、何？

より良いインターネット (better Internet) ⚫ 速い ⚫ 快適 ⚫ 安全 ⚫ 安定性(信頼性) ✓ DDoS防御(DDoS攻撃対策) ✓ 1.1.1.1 (オープンリゾルバー対策) ✓ RPKI (経路リーク対策) ネットワーク業界の視点 ✓ CDN (コンテンツの高速化) ✓ cdnjs (Web画面表示の高速化) ✓ 1.1.1.1(DNS解決の高速化) 利用者の視点 より良いインターネット

Cloudflare の由来 名前 事業 firewall in the cloud flare • 目指すものは、“firewall in the cloud”. (輻輳対策の配信システムではない) • 最大の懸念課題は「遅延」。 • 遅延を減らす努力を続けていたら、サイト読み込み時間が短縮! • 「セキュリティー」と「高速化」を両立したCDN誕生。 ご参考：ヤマハ FWX120 (2012/11) Firewall & Flare cloud

DDoS 保護 DDoS Prevention

DDoS Prevention：the typical scenario in a Distributed Denial of Service attack (分散型サービス拒否攻撃の典型的シナリオ) DDoS Prevention: Protecting The Origin https://blog.cloudflare.com/ddos-prevention-protecting-the-origin/ 侵害されたマシン→ 悪意のある者→ 過大なリクエスト→ サーバーの過負荷→ ←正規のクライアント ←サービスが利用できない DNSを参照し て攻撃対象の IPアドレスを 特定

DDoS Prevention ：CDNサービスによる DDoS攻撃の負荷分散+フィルタリング DDoS Prevention: Protecting The Origin https://blog.cloudflare.com/ddos-prevention-protecting-the-origin/ 侵害されたマシン→ 悪意のある者→ CDNサーバー→ DNSを参照して 各地のCDNサー バーのIPアドレス を特定 ←正規のクライアント ←正規のクライアントを通す ←不正なリクエストをブロック

DDoS Prevention：CDNサービスのDDoS保護をすり抜ける DDoS 攻撃 DDoS Prevention: Protecting The Origin https://blog.cloudflare.com/ddos-prevention-protecting-the-origin/ 侵害されたマシン→ 悪意のある者→ 攻撃対象のIPアドレ スを指定 すり抜ける過大なリクエスト→ サーバーの過負荷→

Create a “firewall in the cloud” → CDN (DDoS防御→DDoS緩和)

Create a “firewall in the cloud” → CDN (DDoS防御→DDoS緩和)

Developers IOで ‘ ’ 記事を執筆中 https://dev.classmethod.jp/tags/cloudflare/

63

end of presentation