Summary
| Product | Spectrum | Client-side cloudflared | Browser-rendered terminal | WARP-to-Tunnel | Access for Infrastructure |
|---|---|---|---|---|---|
| WARP Client Agent Required? | No | No | No | Yes | Yes |
| DDoS Protection |  |
|
|
 |
|
| Load Balancing | |
|
|
|
|
| Arbitrary SSH Port | |
|
|
|
|
| Authentication | |
|
|
|
|
| Polices |
IP Access rules |
Access Application policies |
Access Application policies |
Gateway Network policies |
Access Application policies + Gateway Network policies |
| SSH Command Logs | |
|
|
Audit SSH Port 22 Only |
Custom SSH ports + Logpush |
| SSH Public Key Authentication |
Managed by user |
Managed by user |
Managed by user |
Managed by user |
|
| SSH Certificate Authentication |
Managed by user |
Short-lived certificates |
|
Managed by user |
Managed by Cloudflare |
Spectrum
-
Spectrum を使うことで SSH サーバーに対して L3/4 DDoS Protection を提供できます。
-
TCP での任意のポートアクセスや Load Balancing を経由したアクセスも提供できます。
Client-side cloudflared / Browser-rendered terminal
-
SSH クライアント側で
cloudflaredコマンドを使うことで、Cloudflare に登録された公開ドメイン内のパブリックホスト名に対して SSH アクセスが可能です。 -
SSH サーバーに対しては、プライベート IP と任意のポートを宛先に使用できます。
-
Access と SAML / OIDC 連携した IdP を経由して認証します。
-
ブラウザを経由したレンダリングオプションも提供可能です。
-
その他、任意の TCP 接続に対して同様の構成を提供できます。
WARP-to-Tunnel
-
WARP クライアントを導入することで、任意の TCP / UDP 通信に対してプライベートネットワークへのルーティングパスを実現できます。
-
Network Firewall Policies によって、SSH サーバーに対するアクセス制御が可能です。
-
ポート 22 番を宛先とした SSH アクセスでは、SSH コマンドログを取得できます。
Access for Infrastructure
-
BastionZero の買収 により統合された機能になります。
-
任意のカスタム SSH ポートに対して、SSH コマンドログを取得することができ、Logpush にも対応します。
-
証明書認証の仕組みをマネージドで提供するため、公開鍵認証における鍵管理の運用負担を軽減できます。
番外編:Apache Guacamole
以下の例では RDP を検証していますが、同様の構成で SSH もサポートしているため、Apache Guacamole を構築・運用できる方にとってはこちらの構成も選択肢の一つになるかと思います。