「CloudflareのDNSは使ってるけど、Proxyはオフにしてる」——そう言うエンジニアに聞きたいのですが、なぜサーバーのIPアドレスを世界中に公開しているのですか?CloudflareのProxyを無効(DNSのみ)にした状態では、ドメインを調べるだけでサーバーの実IPが丸わかりになります。これはDDoS攻撃者や不正アクセス試行者にとって絶好の標的情報です。
Cloudflare ProxyをたとえればAに説明すると「有名人のボディーガード」のようなものです。ボディーガードがいれば、有名人(サーバー)の自宅住所(IPアドレス)を知られることなく、公の場(インターネット)に立てます。攻撃者はボディーガード(Cloudflare)のIPしか知ることができず、本人(サーバー)には直接近づけません。
エンジニアI:「DDoS攻撃を受けてサーバーがダウンしました」
コンサルタントJ:「CloudflareのProxy設定はオンになってましたか?」
I:「いえ、DNSだけ使っていてProxyはグレーのままでした」
J:「それだとサーバーのIPが丸見えです。Proxyをオレンジ色(有効)にしておけば、攻撃者はCloudflareのIPしかわからないので、サーバーへの直接攻撃はできません」
CloudflareのProxy設定はDNSダッシュボードのレコード一覧で、雲のアイコンをクリックするだけでオン/オフできます(オレンジ=有効、グレー=無効)。APIで操作する場合はこちらです。
# Proxy設定をオンにする(proxied: true)
curl -X PUT "https://api.cloudflare.com/client/v4/zones/ZONE_ID/dns_records/RECORD_ID" \
-H "Authorization: Bearer YOUR_API_TOKEN" \
-H "Content-Type: application/json" \
--data '{"type":"A","name":"example.com","content":"1.2.3.4","ttl":1,"proxied":true}'Proxy有効時に注意すべき点もあります。ポート制限があり、HTTP(80)/HTTPS(443)以外のポートは直接通信できません(Cloudflare Spectrumで対応可能)。またSSL設定は「Full (strict)」が推奨です。オリジンサーバーのIPが漏れないよう、メールサーバーのMXレコードなど他のレコードも確認しましょう。
Cloudflareを使うなら、Proxyを有効にして初めてその真価を発揮します。「DNSだけ使う」はCloudflareを半分しか使っていないと心得てください。
コメントを残す