より高速なSASEクライアント:Proxy Modeの再構築
2026-03-05
Koko Uko Logan Praneis Gregor Maier
3分で読める
ゼロトラスト環境のセキュリティを維持するためにプロキシを使用する必要がある場合、多くの場合パフォーマンスの低下というコストが伴います。クライアントプロキシを導入した直後、セキュリティチームは通常、ブラウザの動作の遅さ、ファイル転送の遅延、そして最悪のタイミングでのビデオ通話の不具合に不満を抱くユーザーからのサポートチケットに追われることになります。しばらくすると、これをプロキシのせいだと考えるようになり、パフォーマンスに影響を与える他の問題を見落としてしまう可能性があります。
私たちは、このような状況である必要はないと確信していました。セキュリティを犠牲にすることなく、ユーザーがより高速に利用できることを知っていました。そのためには、proxy modeへのアプローチを完全に再構築する必要がありました。そして、私たちはそれを実行しました。
初期のアプローチとその課題
SASEプラットフォームであるCloudflare Oneのデバイスクライアント開発初期において、私たちは汎用的な互換性を優先しました。管理者がproxy modeを有効にすると、ClientはローカルのSOCKS5またはHTTPプロキシとして動作しました。しかし、基盤となるトンネルアーキテクチャがLayer 3(L3)プロトコルであるWireGuardで構築されていたため、技術的な課題に直面しました:アプリケーション層(L4)のTCPトラフィックをL3トンネルに送信する方法です。
L4からL3への移行は特に困難でした。なぜなら、デスクトップClientが複数のプラットフォーム(Windows、macOS、Linux)で動作するため、カーネルを使用してこれを実現することができなかったからです。
この課題を克服するために、私たちはRustベースのユーザー空間TCP実装であるsmoltcpを使用しました。パケットがローカルプロキシに到達すると、Clientは変換を実行し、smoltcpを使用してL4ストリームをWireGuardトンネル用のL3パケットに変換する必要がありました。
この方法は機能しましたが、効率的ではありませんでした。Smoltcpは組み込みシステム向けに最適化されており、最新のTCP機能をサポートしていません。さらに、Cloudflareエッジでは、L3パケットを再びL4ストリームに変換する必要がありました。
ユーザーにとって、これはパフォーマンスの上限として現れました。ブラウザが画像や動画のために数十の同時接続を開く可能性があるメディア重要なサイトでは、高性能なTCPスタックの欠如により、高速光ファイバー接続でも高いレイテンシと遅いロード時間が発生し、proxy modeは他のすべてのデバイスクライアントモードよりも大幅に遅く感じられました。
QUICによる直接L4プロキシングの導入
この問題を解決するため、私たちはCloudflare One Clientのproxy modeを一から再構築し、proxy modeでのWireGuardの使用を廃止して、QUICの機能を活用できるようにしました。
私たちはすでにIPパケットのプロキシングにMASQUE(QUICの一部)を活用しており、直接L4プロキシング用にQUICストリームの使用を追加しました。CONNECTメソッドを使用したHTTP/3(RFC 9114)を活用することで、トラフィックを本来あるべきLayer 4に保持できるようになりました。
ブラウザがClientにSOCKS5またはHTTPリクエストを送信する際、それはもはやL3パケットに分解されません。代わりに、QUICストリームに直接カプセル化されます。
このアーキテクチャの変更により、3つの即座の技術的利点が提供されます:
- smoltcpのバイパス:L3変換層を削除することで、IPパケット処理とsmoltcpのTCP実装の制限を排除します
- ネイティブQUICの利点:トランスポート層でネイティブに処理される最新の輻輳制御とフロー制御の恩恵を受けます
- 調整可能性:ClientとCloudflareのエッジがQUICのパラメータを調整してパフォーマンスを最適化できます
私たちの内部テストでは、結果は明確でした:ダウンロードとアップロード速度が2倍になり、レイテンシが大幅に減少しました。
最も恩恵を受けるユーザー
高速化は常に良いことですが、このアップデートは特に3つの主要な一般的使用ケースの課題を解決します。
第一に、特定のオンプレミスリソースに従来のVPNが依然として必要な場合や、冗長性/コンプライアンスのためにデュアルSASEセットアップが必要な場合のサードパーティVPNとの共存において、ローカルproxy modeはWebトラフィックにゼロトラストセキュリティを追加するための最適なソリューションです。このアップデートにより、セキュリティを「重ねる」ことがユーザーエクスペリエンスを犠牲にすることを意味しなくなります。
第二に、高帯域幅アプリケーションパーティショニングにおいて、proxy modeは特定のブラウザトラフィックをCloudflare Gateway経由で誘導し、OSの残りの部分をローカルネットワークに残すためによく使用されます。ユーザーは今や、パフォーマンスを犠牲にすることなく高解像度コンテンツをストリーミングしたり、大きなデータセットを処理したりできます。
最後に、CLIツールやスクリプト用のSOCKS5セカンダリリスナーに依存する開発者やパワーユーザーは、即座の改善を実感するでしょう。プロキシ経由のリモートAPI呼び出しやデータ転送は、Cloudflareグローバルネットワークの他の部分と同じ低レイテンシ接続の恩恵を受けます。
開始方法
proxy modeの改善は、Windows、macOS、LinuxデバイスのクライアントバージョンMinimum 2025.8.779.0で利用可能です。
これらのパフォーマンス向上を活用するには、最新バージョンのCloudflare One Clientを実行していることを確認してください。
- Cloudflare One dashboardにログインします
- Teams & Resources > Devices > Device profiles > General profilesに移動します
- 編集するプロファイルを選択するか新しいプロファイルを作成し、Service modeがLocal proxy modeに設定され、Device tunnel protocolがMASQUEに設定されていることを確認します
クライアントマシンでアクティブなプロトコルを確認するには、ターミナルで次のコマンドを実行します:
warp-cli settings | grep protocol
デバイスでproxy modeを有効にする詳細なガイダンスについては、私たちのドキュメントをご覧ください。
まだSASEの旅を始めていない場合は、最大50ユーザーまで無料のCloudflare Oneアカウントに今すぐサインアップできます。単にアカウントを作成し、Cloudflare One Clientをダウンロードして、オンボーディングガイドに従って、チーム全体でより高速で安定した接続を体験してください。
Cloudflareのconnectivity cloudは企業ネットワーク全体を保護し、顧客がインターネット規模のアプリケーションを効率的に構築することを支援し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を防ぎ、ハッカーを寄せ付けず、Zero Trustへの旅をサポートします。
あらゆるデバイスから1.1.1.1にアクセスして、インターネットをより高速で安全にする無料アプリを始めましょう。より良いインターネットの構築を支援する私たちのミッションについて詳しく知るには、こちらから始めてください。新しいキャリアの方向性をお探しの場合は、私たちの求人情報をご確認ください。