[TSL decryption]と[AV scanning]の説明の前にWARPの稼働環境を再確認します。
下図は[Zero Trust]に接続されたWARPクライアントの概念図です。
■Cloudflere社は全世界のインターネット通信を常時監視しており、そのレポートを[Cloudflare Rader]として公開しています。
またここでは総てのWEBサイトを[セキュリティカテゴリ]と[コンテンツカテゴリ]で分類しています。
■[WARP]クライアントが貴方の[セキュリティ空間]に[認証]され接続されると、[WARP]クライアントと[Gateway]間がVPN接続されます。
■[Gateway]ではインタネットの脅威からデバイスを守る為に下記の様な仕掛けが利用できます。
①[Cloudflare Rader]の情報を利用してセキュリティリスクがあるサイトをブロックしたり、会社として許可しないカテゴリをブロックする事ができます。
②特定通信を[HTTPポリシー]経由にすると[TLS decryption]機能を使ったインターネットアクセスや[AV scanning]機能を使ったアップロードやダウンロードファイルのウィルスチェックが可能になります。
③汎用ではない貴方のセキュリティ空間専用のDNSリゾルバ[DNS Locations]を利用する事により、貴方専用のブロック画面を表示させることができる様になります。
ここでは②の[TLS decryption]機能と[AV scanning]機能をもう少し詳しく解説します。
1.TSL decryption機能
1.TLS decryption機能とは
通常の HTTPS通信は ブラウザと WEBサイトが SSL(TSL)暗号を使って会話します。
[TLS decryption]機能がONの場合は、通信は下記の様に変わります。
・WARPクライアントとCloudflare間は[Cloudflareの証明書]を使った会話
・CloudflereとWEBサイト間は本来のSSL証明書を使った会話
上記の様にHTTPS通信を2つに分けるのをブラウザ分離と呼び、Cloudflareがサポートするブラウザ分離の中のWARP接続版になります。
このブラウザ分離はクライアントが直接インターネットアクセスしないのでインターネットの脅威からクライアントを守る事ができます。
またブラウザ分離には企業の重要な情報の流出を守るデータ損失防止 (DLP) 機能もありますが、残念ながらZero Trustの無償版でこれは利用できません。
2.TLS decryption機能が働く条件
[TLS decryption]は必ず実行される訳ではありません。
[TLS decryption]は[Gateway]の[HTTPポリシ]経由にした時だけ実行されます。
※[DNSポリシ]だけでインターネットをアクセスする時には働きません。
[WARP]と[Gateway]のVPNの張り方を[Split Tunnels]と呼び、下記の種類があります。
・[Exclude]の場合は、総てのHTTP通信が[HTTPポリシ]経由になります。
・[Include]の場合は、指定したドメインだけが[HTTPポリシ]経由になります。
メモ
[Include]運用で[セキュリティリスク]でブロックされたサイトをアクセスする必要が有る場合は、下記の手順で行います。
①ブロックされたドメインをアクセス許可する。
②[Split Tunnels]にブロックされたドメインを追加する。
③ブロックされたサイトをアクセスする。
以上により、[Cloudflare Rader]が[セキュリティリスク]があると判断したサイトをアクセスしてもデバイスが直接アクセスしないのでPC等のデバイスはインターネットの脅威から守られます。
3.TSL decryptionが働いているか?を確認する方法
[TLS decryption]が働いているかを確認する補法は通信に利用された証明書を見ると判ります。
証明書がCloudflareなら[TLS decryption]処理された事が判ります。
①URLの前のアイコンをクリックし[この接続は保護されています]をクリックします。
②表示された画面の[証明書は有効です]をクリックします。
③証明書を確認します。
証明書の発行元がCloudflareで、証明書名が現在利用している証明書名になっています。
上記がCloudflareでない場合は、WebサイトのSSL証明書なので[TLS decryption]は機能していません。
①URLの前の鍵アイコンをクリックし[接続がセキュリティで保護されています]をクリックします。
②表示された画面の右上の[証明書マーク]をクリックします。
③証明書を確認します。
証明書の発行元がCloudflareで、証明書名が現在利用している証明書名になっています。
上記がCloudflareでない場合は、WebサイトのSSL証明書なので[TLS decryption]は機能しておりません。
①URLの前の鍵アイコンをクリックし[安全な接続]をクリックします。
②表示された画面の[認証局]を確認します。
認証局がCloudflareなっています。更に詳しい情報を見たい場合は[詳細を表示]をクリックします。
4.TSL decryptionが働くと発生する問題
[HTTPポリシ]経由のインターネットアクセスは、CloudflareがブラウザのChromeやEdgeに対しHTTP優先を自動でONにします。
Firefoxは現時点で自動でONになりません。
その結果、ChromeやEdgeでHTTPサイトをアクセスすると526エラーがでます。
具体的な例では日本の都道府県の自治体のHPにはまだまだHTTPサイトがあり、これらのサイトがこの526エラーで見る事ができなくなります。
対応策については[Gatewayでエラーコード526でブロックされる]を参照して下さい。
2.AV scanning機能
[Split Tunnels]を[Include]で運用していた場合は、この機能は実質的に使えないと考えてください。
どうしてもダウンロードプログラムのウィルスチェックを行いたい場合はVirusTotalを利用して下さい。
1.AV scanning機能とは
Cloudflare Gatewayは、インターネットからファイルをダウンロードまたはアップロードする時に、ファイルをウイルス[AntiVirus]スキャンする事ができます。
又、ダウンロードするファイルを[ファイル サンドボックス]に一時的に入れ、そこからダウンロードする機能もありますが、この機能は無償版では利用できません。
2.AV scanning機能が働く条件
[AV scanning]は必ず実行される訳ではありません。
[AV scanning]は[Gateway]の[HTTPポリシ]経由にした時だけ実行されます。
※[DNSポリシ]だけでインターネットをアクセスする時には働きません。
[WARP]と[Gateway]のVPNの張り方を[Split Tunnels]と呼び、下記の種類があります。
・[Exclude]の場合は、総てのHTTP通信が[HTTPポリシ]経由になります。
よって総てのファイルのアップロード/ダウンロードに[AV scanning]が働きます。
・[Include]の場合は、指定したドメインだけが[HTTPSポリシ]経由になります。
登録したドメインだけにアップロード/ダウンロードに[AV scanning]が働きます。
3.スキャンニングされるファイル
・プログラム:.exe、.bat、.dll、wasm等
・ドキュメント:doc、.docx、.pdf、.ppt、.xls等
・圧縮ファイル:.7z、 .gz、.zip、.rar等
4.スキャンニングできないファイル
・15MBを超えるファイル
・PGP で暗号化されたファイル
・パスワードで保護されたアーカイブ
・再帰レベルが 3 を超えるアーカイブ
・300 を超えるファイルを含むアーカイブ
5.AV scanning機能が働いているか?を確認する方法
[ファイル サンドボックス]機能が使える契約の場合はこれで確認できますが、無償版では無理です。
