HOME  /ZeroTrust
 /Cloudflare ZeroTrustのAccessに Private network を利用する
2024年09月03日

Cloudflare ZeroTrustのAccessに Private network を利用する


ここでは下図のAccessの[Private network]型アプリを登録する方法を解説します。

種類 概要
Private network プライベートネットワーク型[Private network]型は社内LANの中にあるアプリケーションの起動に利用します。

例)[http://192.168.1.1] [192.168.10.1]

上記の様にIPアドレスだけでアクセスするアプリは一般的にはルータ機器のアクセスになります。

これを定義すると、GatewayのNetwordポリシに同じものが定義され、WARPの認証に利用したID(セッションID)で利用できるか否かの判断がされます。

 

ここでは下記を解説します。

1.Private networkの設定

2.WARPのユーザIDを切り替える方法

1.Private networkの設定

具体的な設定方法は下記になります。

1.Private networkの入力画面を呼び出す。

ゼロトラストの[Access Applications]を実行し[+ Add an application]ボタンを挿入します。

表示された画面から下図の[Private network]を選択します。

 

2.Private networkの入力項目

表示された下記画面に各項目を入力していきます。

①Application Configuration欄

アプリケーション情報を入力する欄です。

Application Name:ポリシ一覧に表示される名称を指定します

例)NTT-GW

Application Type:[Destination IP]を選択します。

Vale:ルータのはIPアドレスを指定します。

例)[192.168.1.1]等のIPアドレスでURLでないので[HTTP://]は不要です。

 

②Application Appearance欄

アプリランチャに登録する場合は下記SWをONにします。登録しない場合はOFFです。

登録する場合はApplication Logo欄を指定します

[Custom]を選択し[Custom application logo]欄にURLでpng等ファイルを指定します。

[Next]で先に進みます。

 

③Add an applicationの設定

ここでどの様なメンバに権限を与えるのか?の設定を行います。

画面をよく見てください。

[Policy 1]の許可ルールと[Policy 2]のブロックルールがあります。

 メモ

[Policy 1]→[Policy 2]の順番で評価されるので、[Policy 1]にシステム管理者グループを許可するというルールを設定します。

マニュアル操作で[Policy 2]を先に持ってきた場合は、[Policy 2]にシステム管理者以外をブロックするという設定になります。

 

ここでは[Policy 1]の[identity]欄に管理者だけがアクセスできる記述を行います。

selector:[User Email]を選択します。

operator:[in list]を選択します。

Value:システム管理者を選択します。

上記は[Zero Trustの利用者を限定する]で設定したユーザリストで、ここの設定にはグループは利用できません。

[Add Aplication]ボタンを挿入すると下図の様なアプリケーションが作成されます。

 

上記をクリックすると下記が表示されます。

同様に[Gateway → Firewall Policies]の[Network]タブを開いて下さい。

 

以上で管理者グループに登録されているユーザだけがアクセスできるようになります。

管理者以外がアクセスすると下記の様なブロック画面が表示されます。

 

2.WARPのユーザIDを切り替える方法

WARPがどの様なIDで接続されているかは下記で確認できます。

Cloudflareの[Zero Trust]メニュの[My Team→Devices]を実行します。

この中にデバイス名と利用ユーザが表示されています。

 

このアカウントを切り替える方法は下記になります。

①デフォルトブラウザで[https://myaccount.google.com/]を実行し、変更したいアカウントに切り替えます。

②WARPの歯車マークをクリックし[環境設定]の[アカウント]の[セッションの再認証]を実行します。

この結果、WARPのIDとデフォルトブラウザのGoogleアカウントが異なるのでエラーがでます。

③WARPの歯車マークをクリックし[環境設定]の[アカウント]の[Cloudflare Zero trusからログアウト]を実行します。

この段階でCloudflareで管理されているレコードがクリアされます。

④WARPの[環境設定]の[アカウント]の[Cloudflare Zero trusにログイン]を実行します。

その結果、デフォルトブラウザに設定されている新しいGoogleアカウントでZero trusにログインされます。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。