HOME  /ZeroTrust
 /Cloudflare ZeroTrustのセキュリティ空間を作成する
2024年08月25日

Cloudflare ZeroTrustのセキュリティ空間を作成する


CloudflareのZero Trustとは、Cloudflareの高速ネットワーク上に企業固有の[セキュリティ空間]を構築することです。下図を見てください。

■Cloudflareの[公開DNSサーバ]とは別の所に、Team名で管理される[セキュリティ空間]を作成します。

■この[セキュリティ空間]の中に[認証]、[Tunnel]、[Gateway]、[Access]を設定します。

その結果、[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けになります。

更に公開DNSサーバに登録された[Webサイトのセキュリティ対策]も、この[セキュリティ空間]の[Access設定]で行う事もできる様になります。

これらの総てのキーが[チーム名]になります。

1.事前準備

2.チーム名と支払い方法の設定

3.チーム名や利用プランの変更

1.事前準備

1.Cloudflareアカウントの作成

まだ、Cloudflareのアカウントを作成してない場合は[Cloudflareのアカウントを作成する]からアカウントを作成して下さい。

 

2.支払い方法の準備

・以前はZero Trustの無料プラン版は、[支払い方法の設定]は完全に不要だった様です。

・私が使い始めた頃は、トンネル構築の[チーム名]は不要でしたが、Zero Trustの構築には[支払い方法の設定]が必要になりました。

・しかし現在はZero Trustの起動時点から[支払い方法の設定]が必須になりました。

­ ­支払い方法の注意点

支払い方法は[個人のカード]では駄目で、[法人カード]が必要になります。

[法人カード]が無い場合は、[個人のカード]をPayPalに登録し、CloudflareはPaypal支払いにすると利用する事ができます。

PayPalの利用は無料なので[新規登録]で[個人のカード]を事前登録しておいて下さい。

CloudflareはPaypal支払いはPayPalで指定したメールアドレスになります。

 

2.チーム名と支払い方法の設定

1.[Zero Trus]の起動と[チーム名]の設定

Cloudflareのアカウントホーム画面から[Zero Trast]を起動します。

始めての起動の場合は下記画面が表示されます。

①チーム名を入力して[Next]ボタンを挿入します。

チーム名は重要です。コメント欄を参考に決めてください。

チーム名と確認方法は下記を参考に決めてください。

 チーム名のルール

チーム名は全世界でユニークな名前が求められ、利用できする文字は英数字-(ハイフン)です。

チーム名を区切り文字を使った下記形式にすると、短くて覚えやすい名前になります。

例①:ztna-[企業略称]

例②:warp-[企業略称]

上記で考えたチーム名が利用可能か否かはブラウザで下記URLでアクセスして確認します。

[https://チーム名.cloudflareaccess.com/#/NoAuth]

■Cloudflare AccessのWelcome画面が表示されたら、既に使われているチーム名です。

■何も表示されなければ、利用できるチーム名です。

②利用プランが表示されるので[Free]を選択して下さい。

 

2.支払い方法の設定

以前は下記画面は表示されませんでしたが、現在は下記画面が表示されます。

下記は[PayPal]支払いの例です。

■下記画面にある[Proceed to payment(支払いに進む)]ボタンを挿入します。

下記画面が表示されます。

■下記画面にある[Add payment method(支払い方法を追加)]ボタンを挿入します。

支払いの画面が表示されるので[PayPal]を選択します。

■[PayPal]のメールアドレスを入力すると、携帯電話にパスワードが来るので、これを入力すると支払い方法が確定します。

次の画面に氏名・住所等を入力して[Next]ボタンを挿入します。

最後に下記画面が表示されるので[Puchase(購入)]ボタンを挿入します。

以上でFreeでZero Trustが利用できる様になりました。

下記メニュが表示されます。

 

3.チーム名や利用プランの変更

上記で設定したチーム名や利用プランは下記の所で確認、変更ができます。

1.利用プランと支払い方法の確認と変更

Zero Trustの[Settings]を開くと表示されるメニュから下記の[Account]を開きます。

ここにZero Trustの利用プランや支払い方法が設定されています。

変更する場合はここから行います。

 

2.チーム名の確認/変更

Zero Trustの[Settings]を開くと表示されるメニュから下記の[Custom Pages]を開きます。

下図の様に既に設定されているチーム名が表示されます。

もしWebサイトをトンネル接続させる時にいい加減な名前を付けていた場合はここで修正します。

これはゼロトラストにとって一番重要な情報で、認証を設計する前ならば問題なく変更できます。

修正は[Edit]から行います。

 

 

チーム名の設定が終わったら次は[認証システム]の設計になります。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。