zero-trust on デジタルアーカイブシステムの技術ブログhttps://tech.ldas.jp/ja/tags/zero-trust/Recent content in zero-trust on デジタルアーカイブシステムの技術ブログHugojaTue, 07 Apr 2026 11:00:00 +0900Cloudflare Zero TrustでSSHを保護するhttps://tech.ldas.jp/ja/posts/cloudflare-zero-trust-ssh/Tue, 07 Apr 2026 11:00:00 +0900https://tech.ldas.jp/ja/posts/cloudflare-zero-trust-ssh/<h1 id="cloudflare-zero-trustでsshを保護する">Cloudflare Zero TrustでSSHを保護する</h1> <h2 id="背景">背景</h2> <p>サーバにSSHでアクセスするには、通常22番ポートをインターネットに公開する必要がある。しかし公開されたSSHポートは常に攻撃の標的になる。</p> <p>Cloudflare Zero Trustを使えば、<strong>SSHポートを閉じたまま</strong>、認証済みのユーザーだけがSSH接続できる環境を構築できる。</p> <h2 id="zero-trustとは">Zero Trustとは</h2> <p>従来のセキュリティモデルでは「社内ネットワーク内は信頼する」という前提があった。Zero Trustはこの前提を捨て、<strong>全てのアクセスを検証する</strong>モデル。</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-text" data-lang="text"><span class="line"><span class="cl">【従来】 </span></span><span class="line"><span class="cl">インターネット → ファイアウォール → 社内(信頼済み) </span></span><span class="line"><span class="cl"> ※ 一度入れば自由にアクセス可能 </span></span><span class="line"><span class="cl"> </span></span><span class="line"><span class="cl">【Zero Trust】 </span></span><span class="line"><span class="cl">インターネット → Cloudflare(認証・認可) → サーバ </span></span><span class="line"><span class="cl"> ※ 毎回アクセスを検証する </span></span><span class="line"><span class="cl"> ※ 認証されていなければ接続不可 </span></span></code></pre></div><h2 id="仕組み">仕組み</h2> <p>SSHの場合、Cloudflare TunnelとAccess機能を組み合わせる。</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-text" data-lang="text"><span class="line"><span class="cl">開発者のPC </span></span><span class="line"><span class="cl"> └── ssh コマンド </span></span><span class="line"><span class="cl"> └── cloudflared(ProxyCommand) </span></span><span class="line"><span class="cl"> └── Cloudflare(Access認証) </span></span><span class="line"><span class="cl"> └── Tunnel </span></span><span class="line"><span class="cl"> └── サーバのSSHデーモン </span></span></code></pre></div><ol> <li>SSHコマンドを実行すると、<code>cloudflared</code>がプロキシとして動作</li> <li>Cloudflare Accessが認証を要求(ブラウザでメール認証)</li> <li>認証成功後、Tunnel経由でサーバのSSHに接続</li> <li>サーバ側のSSHポートは閉じたまま</li> </ol> <h2 id="前提条件">前提条件</h2> <ul> <li>Cloudflare Tunnelが設定済みであること(<a href="https://tech.ldas.jp/ja/posts/cloudflare-tunnel/">Cloudflare Tunnelの設定方法</a>を参照)</li> <li>ローカルPCに<code>cloudflared</code>がインストール済みであること</li> </ul> <h2 id="手順">手順</h2> <h3 id="1-tunnel-ingressにsshを追加">1. Tunnel IngressにSSHを追加</h3> <p>Cloudflare APIでSSHのルーティングを追加する:</p>