DocsDigest
Back to listLanguage: JA
ClaudeCloudflareMar 13, 2026, 1:00 PM

From legacy architecture to Cloudflare One

A condensed section focused on the key takeaways first.

Original Post
OpenAIClaude

Quick Digest

Summary

A condensed section focused on the key takeaways first.

claudeenmodel: claude-sonnet-4-20250514

Cloudflare One and CDW Partnership: Risk-Free Migration from Legacy Architecture to Zero Trust SASE

zero-trustsasemigrationcloudflare-accesslegacy-modernizationnetwork-securityvpn-replacement

Key Points

  • Risk-aware tiered migration methodology prevents big bang failures
  • Legacy app wrapping with Zero Trust security without code rewrites
  • Phased rollout with dual-client coexistence ensures safe transitions

Summary

Cloudflare and CDW have partnered to address the "big bang" migration risk that prevents organizations from adopting Zero Trust architecture. Their approach transforms high-risk cutover weekends into phased, application-aware migrations that modernize security posture without operational downtime.

Key Points

  • Risk-Aware Migration Strategy: CDW uses a tiered methodology that categorizes applications by technical complexity, moving simple modern apps first while saving legacy systems for controlled later stages
  • Application Wrapping with Cloudflare Access: Legacy applications are "wrapped" with Zero Trust security using Cloudflare Tunnel, adding SSO and MFA without code rewrites
  • Pre-Migration Audit Process: Comprehensive assessment including identity provider mapping, dependency documentation, firebreak establishment, and application tiering (Tier 0-3 with estimated migration efforts)
  • Phased Rollout Approach: Three-phase implementation (Strategy & Infrastructure, Pilot Rollout, Production Scaling) with dual-client coexistence period for safe rollback
  • Performance-First Security: Single-pass architecture runs all security checks simultaneously, eliminating the "latency tax" while providing post-quantum encrypted foundation

Application Tier Classification

TierTypeMigration Effort
Tier 0Modern SaaS Apps1-3 hours per app
Tier 1Internal Web Apps3-6 hours per app
Tier 2Non-Web Client-Server4-8 hours per app
Tier 3Legacy Enterprise Apps1-3 days per app

Full Translation

Translations

A translation section that keeps the flow of the original article.

claudejamodel: claude-sonnet-4-20250514

レガシーアーキテクチャからCloudflare Oneへ

レガシーアーキテクチャからCloudflare Oneへ

2026-03-13 Warnessa Weaver 5分で読める

ネットワークエンジニアにとって、カットオーバーの週末はキャリアの中で最もストレスフルな48時間であることが多いです。30,000ユーザーの組織が、断片化されたVPNから新しいアーキテクチャへ1,000以上のレガシーアプリケーションを単一のウィンドウで切り替えようとする場面を想像してみてください。リスクは計り知れません:単一の誤設定されたファイアウォールルールやタイムアウトしたセッションが重要なサービスを停止させ、運用の行き詰まりを引き起こす可能性があります。

この「ビッグバン」移行リスクは、Zero Trust導入における最大の障壁です。組織は老朽化した脆弱なインフラストラクチャと、試すにはリスクが高すぎると感じる移行プロセスの間で身動きが取れないと感じることがよくあります。

CloudflareとテクノロジーソリューションプロバイダーのCDWは、この状況を変えています。私たちは、SASE(Secure Access Service Edge)への成功した移行は暗闇への飛躍のように感じるべきではないと信じています。Cloudflareのグローバルなゼロトラストプラットフォームと、業界で最も複雑な導入失敗を乗り越えてきたCDWの経験を組み合わせることで、私たちは旅路のリスクを軽減する戦略的ロードマップを提供します。

私たちは単に「配管」を移動するだけではありません。レガシー債務をダウンタイムなしに現代的で機敏なセキュリティ体制に変換することを保証します。

パートナーの専門知識を活用して移行の罠を回避

従来の移行は、ネットワークを複雑なアプリケーションのエコシステムではなく単純な配管として扱うため、しばしば失敗します。詳細な戦略なしに、多くの組織は「リフト・アンド・シフト」の罠に陥ります。これは、バックエンドの依存関係を理解せずに数百のアプリケーションを同時に移動しようとする試みです。

これを避けるため、CDWはリスクを認識した階層化された手法を使用します。このアプローチは、環境内のすべてのアプリケーションを技術的複雑さによって分類します。私たちは勢いを構築するために、シンプルで現代的なアプリを最初に移動し、複雑なレガシーシステムはより制御された後の段階に残します。

最近の大規模な公共部門プロジェクトは、この構造なしに何が起こり得るかの警告例として機能します。このケースでは、チームが500のアプリケーションを一度に移行しようと試みました。4,000以上のアプリケーションを優先順位付けする階層化された手法が欠けていたため、この移行は体系的なサービス中断を引き起こしました。

CDWの役割は、これらの失敗を防ぐアーキテクトとして機能することです。多くが元セキュリティ実務者であるCDWストラテジストは、これらの業界全体の失敗ポイントを分析して、Zero Trustの旅路を脱線させる繰り返しのアンチパターンを特定し、より回復力のある移行設計図を構築します。

移行を単一の接続性スワップではなくアプリケーション現代化プロジェクトとして扱うことで、CDWはセキュリティ要件が後付けではなく移行の基盤に組み込まれることを保証します。

Cloudflare Accessでレガシーアプリを現代化

過去のオール・オア・ナッシングのリスクから脱却するため、私たちはソリューションの基盤から始めます:Cloudflare Access。複雑なレガシーアプリケーションの移行方法を見る前に、プラットフォーム自体の価値を理解することが重要です。

Cloudflare Accessは、従来のVPNの広範で脆弱な境界をゼロトラストモデルに置き換えます。ユーザーにネットワークセグメント全体へのアクセスを許可する代わりに、Accessはアイデンティティ、デバイスの姿勢、その他のコンテキストシグナルに基づいてすべての単一リクエストを評価します。これにより攻撃面が大幅に削減され、先ほど議論した体系的な停止につながる横方向の移動が防止されます。

このセキュリティ層が配置されると、レガシーアプリケーションをCloudflare Accessで「ラップ」し始めることができます。これにより、古いアプリのコードを実際に書き直すことなく、セキュリティ体制を現代化できます。

Cloudflare Accessでこのラッピングを特定のロジックを使用して行います:

問題:組み込みの多要素認証(MFA)がないレガシーアプリケーションが標準VPN経由で公開されており、攻撃者にとって高リスクのエントリーポイントを作成している。

軽減策:Cloudflare Tunnelを使用して、シングルサインオン(SSO)とMFAが組み込まれたアウトバウンドのみの接続を作成します。これにより、アプリケーションはスキャンや攻撃を受けるパブリックIPアドレスを持たなくなるため、パブリックインターネットから効果的に隠されます。

ポリシー:次に、エッジでCloudflare Accessポリシーを適用します。これにより、単一のパケットがサーバーに到達する前に、エンドポイントハードウェアベースのMFAチェックとデバイスヘルススキャンが必要になります。

このラッピング技術を使用することで、CDWとCloudflareは組織が自分のペースで移行することを可能にします。レガシーアプリがバックグラウンドで安全に動作し続ける間、現代的なクラウド環境の即座のセキュリティ利益を得ることができます。

移行前監査

パイロットを開始する前に、IT リーダーはアーキテクチャの準備状況について環境を監査し、レガシーシステムが現代的なセキュリティプロトコルと技術的に互換性があることを確認する必要があります。

「大規模な展開では、アプリケーションの現代化に焦点を当てます」と、CDWのセキュリティソリューションエグゼクティブであるEric Marchewitzは述べています。「多くのレガシーアプリケーションは、適切な準備なしに最小権限アクセスが適用されると破損する可能性があります。」

1. アーキテクチャ&アイデンティティ評価

  • アイデンティティプロバイダーの決定:フェデレーテッドアイデンティティプロバイダー(Oktaなど)に依存するアプリケーションと、レガシーローカルディレクトリを使用するアプリケーションを確認
  • 依存関係のマッピング:サービス中断を防ぐため、各アプリケーションのバックエンドデータベースとAPI依存関係を文書化。このデータは、バックエンドでサービストークンベースのTunnel接続が維持されていない場合、カットオーバー中に通常破損する隠れたAPI呼び出しを特定します

2. ファイアブレークの確立

プロジェクトを戦略グループ(セキュリティ標準に焦点)と実装グループ(効率性に焦点)に分離します。これにより、横方向の移動を防ぐために必要なもののような高レベルのセキュリティ要件が、展開速度のためにバイパスされないことを保証します。

3. 永続セッションストレステスト

セッション永続性を維持し、携帯電話基地局の切り替え中の接続ドロップを回避するためにレガシーアーキテクチャを使用するアプリケーションを特定します。Dynamic Path MTU Discovery(PMTUD)によってサポートされるCloudflareのアーキテクチャは、クライアントIPが変更されてもエッジで永続セッションを維持します。監査中にこれらのユーザーを特定することで、高価で硬直したレガシーハードウェアを現代的な単一パスアーキテクチャに置き換えることができます。

4. 分類&タイムライン設定

完了すると、残りのスタックは現実的な実装タイムラインを設定するために階層化されます:

アプリケーション階層説明推定移行工数
Tier 0(現代的SaaSアプリ)ネイティブSAML/OIDCサポートにより、Cloudflareが認証中にクライアントレスアイデンティティプロバイダープロキシとして機能アプリあたり1-3時間
Tier 1(内部Webアプリ)標準アイデンティティヘッダーと現代的Webプロトコルが、Cloudflare Tunnelでのクライアントレスリバースプロキシ展開をサポートアプリあたり3-6時間
Tier 2(非Webクライアントサーバーアプリ)特定のポート/プロトコルサポートまたはシッククライアント設定が必要なため、Cloudflare One ClientとCloudflare Tunnelの両方の展開が使用されるアプリあたり4-8時間
Tier 3(レガシーエンタープライズアプリ)複雑なサーバーサイド接続(例:ピアツーピア、双方向)またはバックエンド依存関係要件により、Cloudflare MeshまたはWAN展開がCloudflare Tunnelを補完する場合があるアプリあたり1-3日;コード修正が必要な場合がある

脱出速度へのロードマップ

レガシーハードウェアからの「脱出速度」を達成するため、CDWは置き換えよりも共存を優先する段階的展開に従います。

フェーズ1:戦略&インフラストラクチャ:戦略チームと実装チームの形成。このフェーズには、元CISOやアーキテクトであるCDWストラテジストを特定して、ピアサウンディングボードとして機能させることが含まれます。

フェーズ2:パイロット展開:従業員のパイロットグループへのCloudflare One Clientの展開。このフェーズでは、「レイテンシ税」のような一般的な摩擦ポイントに対処し、パフォーマンスがセキュリティを損なわないことを保証します。

フェーズ3:本番スケーリング:組織全体での完全なスケーリング。ユーザーがレガシーVPNとCloudflare Accessの両方を並行して実行するデュアルクライアント期間を維持し、安全なロールバックパスと新しいゼロトラストアプローチへのより簡単なエンドユーザー移行を保証します。

セキュリティ機能としてのパフォーマンス

Cloudflareの単一パスアーキテクチャは、すべてのセキュリティチェックを同時に実行します。「顧客と接続クラウドについて話すとき、最も影響力のある変化は現代的なセキュリティ体制だけではありません。それは運用速度です」と、Cloudflare One GTMの責任者であるAnnika Garbersは述べています。「単一のコントロールプレーンに移行することで、セキュリティチームがボトルネックになることを止めることができます。」

ポスト量子暗号化基盤の上に構築することで、この橋が次世代の脅威に対して将来性があることを保証します。

Cloudflare Oneのアジャイルなsaseで橋を構築

現代化は「ビッグバン」ではなく、橋を構築することです。この手法は、パートナーフィードバックが製品ロードマップに直接反映されるパートナー技術諮問委員会を通じて洗練されています。

アプリケーション現代化と段階的展開に焦点を当てることで、組織はアーキテクチャ制御を取り戻し、断片化ペナルティを永久に排除できます。

CloudflareのSASEプラットフォームとCDWの移行専門知識の組み合わせは、旅路のセーフティネットを提供します。大規模で未マップのカットオーバーの運用行き詰まりなしに、アイデンティティベースアクセスとフィッシング耐性MFAの即座のセキュリティ利益を得ることができます。

目標は単にアプリケーションをクラウドに移動することではありません。そこに到達したとき、環境がより回復力があり、より可視性があり、侵害が大幅に困難であることを保証することです。

ゼロトラスト アーキテクチャへの旅路のリスクを軽減する準備はできていますか?CDWのZero Trust Maturity Assessmentを使用して、環境内の隠れた依存関係を特定してください。実証済みの設計図で移行を開始するために、Cloudflare Oneエキスパートにお問い合わせください。

Cloudflareの接続クラウドは企業ネットワーク全体を保護し、顧客がインターネット規模のアプリケーションを効率的に構築することを支援し、あらゆるウェブサイトやインターネットアプリケーションを加速し、DDoS攻撃を防ぎ、ハッカーを寄せ付けず、Zero Trustへの旅路をサポートします。任意のデバイスから1.1.1.1にアクセスして、インターネットをより高速で安全にする無料アプリを開始してください。より良いインターネットの構築を支援するという私たちの使命について詳しく学ぶには、こちらから始めてください。新しいキャリアの方向性をお探しの場合は、私たちの求人情報をご確認ください。

From legacy architecture to Cloudflare One | Cloudflare | DocsDigest