Let’s EncryptのSSL証明書が無償提供された時は[時代が変わった!]と驚きました。
下記で説明するCloudflare社の各種サービスは、ネットワークセキュリティ分野も無料提供される時代の到来です。
私の自宅はこれらを利用する事により、DDNSやLet’s EncryptのSSL証明書も利用せずに下記が実現しました。
・CloudflareのCDNを利用したWebサイトのCDN化(高速に加えてWAF、DDoS対応)
自宅のIPv4/IPv6アドレスは総てのポート番号をブロックした環境で下記が実現できました。
・CloudflareにZeroTrustを利用した、自宅LANアクセス(場所を気にしない安全なアクセス)
・CloudflareにZeroTrustを利用した、安全なインターネットアクセス
・CloudflareにZeroTrustを利用した、Webサイトのセキュリティ対策
下記にこのCloudflare社が無償で提供している各種サービスを解説します。
1.ネットワークの基礎知識
これから[DNS]、[CDN]及び[ゼロトラス]を解説していきますが、これらは総てネットワークセキュリティ分野に関するテクノロジです。
まずは下記に資料でネットワークに関連する事項を理解して下さい。
IPアドレスから判る事(回線速度、ポート開放状況、利用しているCDN)
2.DNS 関連ドキュメント
DNS(Domain Name System)はブラウザがインターネットをアクセスする時に必須な仕組みです。
下記ドキュメントでその概要を説明しています。
下記はCloudflareが無償で提供する[1.1.1.1]の登場の背景と利用方法を解説しています。
Cloudflare社は上記の[1.1.1.1]以外にマルウェア等のサイトをブロックする[1.1.1.2]も提供しています。
下記に利用方法と確認方法を解説しています。
[1.1.1.1]のマルウェアブロック[1.1.1.2]の徹底解説
更にCloudflare社は青少年が利用する[パブリックDNSリゾルバ]も提供しています。
これを利用するとマルウェア等のサイトをブロックするのに加えて、ブラウザにセフティサーチ機能を強制する事ができます。
下記に利用方法と確認方法を解説しています。
[1.1.1.1]のファミリー向け [1.1.1.3]の徹底解説
以上がCloudflare社が提供しているパブリックDNSリゾルバです。
しかし、Cloudflareのゼロトラストを利用するとこれらは利用しません。
Cloudflareのゼロトラストではユーザの[セキュリティ空間]に設定されている[DNSリゾルバ]を利用しますので、上記は参考情報になります。
3.Webサーバの高速化とインターネット脅威からの防衛
1.CDNとは
CDN(Contents Delivery Network)とは[クライアント]と[Webサーバ]の間にCDN業者のネットワークが入り、ここに[Webサーバ]のコンテンツをキャッシュする仕掛けです。
下記資料でCloudflareのCDNをより詳しく解説しています。
2.CDNの構築方法
CloudflareのCDNを利用する為にはドメインを取得する必要があり、私はXServerから取得しました。
Cloudflareで利用するドメインをXServerから取得する
下記ドキュメントはCloudflareアカウントの作成方法からドメインの追加、2要素認証、削除までの基本的な操作を解説しています。
Cloudflareのアカウント作成、ドメイン追加、CDNの設定
3.CDNにWebサーバを接続する方法
まず始めにCloudflareのDNSにWebサーバを接続する3つの方法を解説します。
CloudflareのDNSにWebサーバを接続する方法【概論】
下記が推奨のトンネルで接続する接続方法です。
SynologyのWebサーバをCloudflresのDNSに[トンネル]で接続する方法
参考までに下記でWebサーバをAAAAレコードで接続する方法も解説します。
SynologyのWebサーバをCloudflareのDNSにIPv6で接続する方法
4.CDNの詳細設定
1.(SSL/TSL)メニュ
下記ドキュメントはCDNの詳細設定の(SSL/TSL)メニュで利用できる機能の全体を解説しています
下記は上記メニュの中のHSTS通信を詳しく下記で解説しています。
Cloudflareで管理するドメインにHSTSを適用させる方法
2.(セキュリティ)メニュ
下記ドキュメントはCDNの詳細設定の(セキュリティ)メニュで利用できる機能の全体を解説しています
下記はCloudflareでは対処できないDDoS対策について解説しています。
下記はセキュリティの中の脆弱性レポートに関して詳しく解説しています。
Cloudaflareで管理するドメインにsecurity.txtを設定する方法
3.(Speed)メニュ
下記ドキュメントはCDNの詳細設定の(Speed)メニュで利用できる機能の全体を解説しています
4.(Caching)メニュ
下記ドキュメントはCDNの詳細設定の(Caching)メニュで利用できる機能の全体を解説しています
5.(ネットワーク)メニュ
下記ドキュメントはCDNの詳細設定の(ネットワーク)メニュで利用できる機能の全体を解説しています
5.CDNで管理するドメインを利用したメール
Cloudflareでドメインを管理すると、そのドメインを使ったメールを利用する事ができる様になります。
これをEmail Routingと呼び利用方法を下記で解説します。
Cloudflare Email Routingで独自ドメインメールをGmailに転送する
4.ITインフラをインターネットの脅威から守る
今までは企業のITインフラをインターネットの脅威から守る手段として境界型モデルが利用されてきましたが、企業のクラウドの利用の増加やリモートワークの増加によりこれが難しくなりました。
そこに登場したのが[Zero Trust]という考え方で、これは[何も信頼しない]事を前提としたセキュリティの新しい考え方で、これを実現する為に認証、セキュリティ、ネットワークを1つのクラウドサービスで提供するSASE(サッシー、Secure Access Service Edge)という製品が登場しました。
[Cloudflare One]は、Cloudflare社が提供してSASEツールになります。
この商品は50名以下の企業で無償で利用できることからよって[個人宅]や[小企業]及び大学の[研究所]レベルでSASEツールが無料で利用できる時代が到来しました。
下図はCloudflare Oneの接続概念図です。
Cloudflereの高速ネットワーク上に貴方の[セキュリティ空間]を構築し、これに[社内ネットワーク]を接続します。
この[セキュリティ空間]の[IDプロバイダー]に許可されたユーザだけがWARPから下記が可能になります。
①インターネットアクセスは[トラフィックポリシー]でセキュリティリスクがあるサイトアクセスをブロックしたり、インターネットからダウンロードするファイルはウィルスチェックする事によりデバイスを守ります。
②トンネル接続された社内IPアドレスにあるリソースには何処からでも簡単にアクセスできる様になります。
③CloudflareのDNS(CDN)で管理している公開WEBサーバがトンネル接続できるようになると共に、アクセス制御も[セキュリティ空間]の[IDプロバイダー]を使って制御する事ができる様になります。
1.セキュリティ空間の構築
Clpudflareのアカウント作成とセキュリティ空間の設計を行います。
2. セキュリティ空間の[認証システム]を設計する
次に行う事はこのセキュリティ空間に入る為の[認証システム]の設計です。
この[認証]をIDPと呼びます。
IDPとは
IDPは「Identity Provider」の略で、クラウドサービスへの認証管理システムです。
[Azure AD]、[Google Workspace]、[Google]等の著名なIDPは事前登録されていますが、著名でないIDPの場合は[OpenID Connect]や[SAML]を利用して設定します。
1.Google認証を利用する。
Google認証は無料のGmailアドレスを利用する方法ですが、個々人が勝手に作成したGmailアドレスでも良いのですが、企業が取得したGmailアドレスの方が管理が簡単になります。
下記ドキュメントで企業用のGmailアドレスの取得から2段階認証のやり方等を解説しています。
Gmailアドレスの準備が完了したら、Google認証で利用する[クライアントID]や[クライアントシークレット]を作成します。
[クライアントID]や[クライアントシークレット]の準備ができたので[セキュリティ空間]の認証にGoogle認証を設定します。
ZeroTrustのIDPにGoogle認証を利用する方法
Google認証が利用できる様になったらGoogle認証に関する全体像を理解して下さい。
2.Azure ADを利用する
Azure ADは現在、Microsoft Entra IDと呼ばれており、マイクロソフト社が提供するIDPになります。
3.WARPのダウンロードインストール
CloudflareのWARPアプリケーションをダウンロードする前に、WARPを誰に利用させるか?の設定を下記で行います。
次にWARPを利用するとインタネットの脅威からデバイスを守る事ができる様になりますがその前に下記の設定を行って下さい。
次にWARPのダウンロードとZero Trustとの接続を行います。
WARPのダウンロードと ZeroTrustとの接続
最後はZero Trustの証明書の更新のドキュメントです。
4. WARPを利用したローカルネットワークのアクセス
WARPからローカルリソースをアクセスする為には[ローカルネットワーク]を[セキュリティ空間]に接続する必要があります。
次にWARPでインターネットやローカルネットワークをアクセスする方法に[Exclude]と[Include]があり、下記でその違いを理解して下さい。
WARP運用の[Exclude]と[Include]の違いを理解する
下記は[Split Tunnels]を[Include]で使う運用の解説です。
中小企業や個人が利用する場合の推奨設定になります。
下記は[Split Tunnels]を[Exclude]で使う運用の解説です。
参考情報として理解して下さい
[Split Tunnels]の設定でローカルリソースに[IPアドレス]でアクセスできる様になりましたがこれを[ドメイン]でアクセスできるようにするのが[Local Domain Fallback]です。
WARPの Local Domain Fallback とは
WARP環境下では何処からでもローカルリソースにセキュアにアクセスできる様になりましたが、この環境下で[WebDAV]を利用する方法を下記で解説しています。
当然、[SSH]もWARP環境下でセキュアに利用できます。
5.WARPを利用したインターネットアクセス
1.Gatewayを利用する上での基本的な知識
WARPクライアントからセキュリティ空間の[Gateway]を経由してインターネットをアクセスする為には[DNS Locations]と[Cert Pinning]の設定が必要になります。下記を参照して設定して下さい。
下記文書で[Gateway]でブロックした事が判る画面にカスタマイズします。
ここではブロックされたサイトを強制的にアクセスできる様にする方法を解説します。
ここではブロックされるサイトがCloudflare Raderでどの様に評価されているのか?また変更を依頼する方法を下記文書で紹介します。
Cloudflare Raderによるサイトの評価確認と変更依頼
ブロックされるのはCloudflare Raderの判断だけでなくHTTPS優先の結果、ブロックされる事もあります。下記文書でこの時の対処方法を解説しています。
2.セキュリティカテゴリのブロック
下記はデバイスに悪影響を及ぼす【セキュリティカテゴリ】のブロック方法です。
3.コンテンツカテゴリのブロック
下記は【コンテンツカテゴリ】によるブロック方法です。
4.アダルトコンテンツのブロック
下記は【アダルトコンテンツ】のブロック方法です。
アダルトコンテンツのブロックには[セーフサーチ機能]と[Youtubeを制限付きモード]及び[コンテンツカテゴリ]があります。下記ではその方法を解説します。
Gatewayで[アダルトコンテンツ]をブロックする
5.HTTPポリシーによるブロック
HTTPポリシー経由にすると[TSL decryption]と[AV scanning]機能が利用できる様になります。
Cloudflare WARPの[TSL decryption]と[AV scanning]とは
無償版で[Split Tunnels]を[Include]で運用している場合は[AV scanning]機能は使えません。
その代わりとして[VirusTotal]という便利なツールがあるのですが、これを利用すると社内情報が流出する問題が指摘されています。
しかしZero Trustを利用していた場合、このツールが安全に利用できます。
下記のドキュメントを参考にしてください。
VirusTotalでの情報流出をCloudflareのZero Trustでブロックし安全に利用する
HTTPポリシーを利用するとサイト全体ではなく、サイトの中の一部のコンテンツや行為でブロックする事ができる様になります。下記にその事例を紹介します。
以上でGatewayを使ったブロックと解除方法は理解できたと思います。
6.Accessによるアプリケーションのアクセス制御
アプリランチャとはAccessの関係を下記で理解して下さい。
Accossの[Bookmark]の使い方は下記を参照して下さい。
Accossの[Private network]の使い方は下記を参照して下さい。
Accessに Private network を利用する
公開DNSサーバに登録したWebサーバを守る為には下記の[Self-hosted]を利用します。
以上で公開DNSに登録したWebサーバやローカルLANにあるアプリケーションのアクセス方法は完了しました。