HOME  /ZeroTrust
 /Cloudflare ZeroTrustの Gatewayを利用する為の事前設定
2024年10月13日

Cloudflare ZeroTrustの Gatewayを利用する為の事前設定

下図はWARPクライアントがZero Trustのセキュリティ空間に接続された時の概念図です。

PCやスマートデバイスの[WARP]がCloudflareの[セキュリティ空間]に[認証]されると[WARP]と[Gateway]間はWireGuardのVPNで接続されます。(最近はMASQUEのVPNも利用できる様になりました)

 

またGatewayには[DNSポリシー]と[HTTPSポリシー]があり、これらを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

これらの設定は自動で生成される事もありますが、無い場合はマニュアルで作成します。

1.DNS Locationsの設定

2.HTTPポリシーの[Cert Pinning]設定

1.DNS Locationsの設定

WARPのインターネットアクセスは汎用のDNSリゾルバではなく、貴方の[セキュリティ空間]に設定された貴方専用のDNSリゾルバが利用されます。

[GatewayDNS Locations]を起動して下さい。

 メモ

ここに[Default Location]が既に設定されていた場合は、この設定は不要です。

 

この[Default Location]がないと、ブロック設定を行っても貴方専用のブロック画面が表示されないので必ず設定して下さい。

 

何も設定されてない場合は、画面の中にある[Add a location]ボタンを挿入します。

1.[Add DNS endpoints]ページの設定

①[DNS location details]欄

[Location name]欄に[Default Location]を入力します。

②[Select DNS endpoints]欄

ここでは[DNS]を[IPv4]か[IPv6]の何れを利用するのか?とDNSとの会話の暗号化方式を設定します。

具体的には[IPv4 DNS]以外をONにします。

以上でIPv6のDNSで暗号化方式は下記の2つが利用できるDNSである事を宣言します。

・DNS over TLS(DoT)

TLS(SSL)を使って暗号化する方式です。ポート番号の853を利用します。

・DNS over HTTPS(DoH)

HTTPSを使って暗号化する方式です。ポート番号の443を利用します。

③[Default DNS Location]欄

[Set as Default DNS Location]にを付け[continue]ボタンを挿入します。

■上記はデフォルトがDoHで、DoTでも利用できるIPv6のDNSリゾルバという意味です。

 

2.[Protect your endpoints]ページの設定

プロテクトはしないので、何も設定せずに[continue]ボタンを挿入します。

 

3.[Review setup details]ページの設定

内容を確認後[Done]ボタンを挿入します。

 

4.[configuration]ページの設定

内容を確認後[Go to DNS locatins]ボタンを挿入します。

 

以上で[Default Location]という名前の貴方専用のDNSリゾルバが作成されました。

 

2.HTTPポリシーの[Cert Pinning]設定

ここでは[検査をしない]というルールを設定します。

[GatewayFirewall policies]を起動し[HTTP]タブを開いて下さい。

 メモ

ここに既に[Cert Pinning]というポリシーが設定されていた場合は、この作業は不要です。

 

[Exclude]モードで運用していた場合は、この[Cert Pinning]がないと、PCの中にインストールした[Thunderbird]等のアプリが動きません。

[Include]モードで運用していた場合は、この設定は不要です。(あっても問題ありません)

[解説]

インターネットにアクセスするのはブラウザだけでなく、デバイスにインストールされた[Thunderbird]の様なアプリもアクセスします。

これらのアプリは独自の証明書でインターネットをアクセスするので、Cloudflareの[TSL decryption]処理が行われると当然エラーになります。

[Cert Pinning]の[Do Not Inspect]リストには、TLS復号を行うと動かないアプリが設定されています。

しかし[Thunderbird]は良いのでが、[秀丸メール]や[FFFTP]等の日本製アプリはこの中には登録されていません。

よってこれらのアプリを利用する場合は、個別に検査しないポリシーを作成する必要があります。

 

何も設定されてない場合は、画面の中にある[Add a policy]ボタンを挿入します。

1.[Name your policy]欄

[Policy name]に[Cert Pinning]を入力します。

2.[Build an expression]欄

[Traffic] 欄にある[+Add condition]ボタンを挿入します。

下記画面が表示されます。

・[Selector]の▼から[Application]を選択します。

・[Opelator]の▼から[in]を選択します。

・[Value]欄に[Do Not Inspect]を入力し、表示された[Do Not Inspect]に✓を付けます。

3.[Select an action]欄

・[Action]欄の▼から[Do Not Inspect]を選択します。

4.画面の下にある[Create policy]ボタンを挿入します。

下記のポリシーが表示されます。

 メモ

尚、[Cert Pinning]ポリシーはHTTPポリシーの先頭に配置する必要があります。

もし、ブロックポリシーの下にあった場合は先頭に移動させてください。

以上で登録したアプリは[TSL decryption]対象外になります。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

VirusTotalでの情報流出をCloudflareのZero Trustでブロックし安全に使う

VirusTotal(バイアス・トータル)やVT4Browsersは便利なツールですが、これを利用する事による情報流出が問題となっています。ここではCloudflareのZero Trustを利用する事により、これらのツールを安全に利用する方法を解説しています。

WARPをインストールする前に設定する事

WARPをインストールしセキュリティ空間と接続すると[TLS decryption]や[AV scanning]機能が利用できますが、これを利用する為には利用宣言とCloudflareの証明書が必要になります。ここではその設定法を解説しています。

Cloudflare ZeroTrustのGatewayでエラーコード526でブロックされる

CloudflareのGatewayでHTTPポリシー経由にするとHTTPS優先が自動的にONになります。その結果、HTTPサイトはエラーコード526でブロックされます。このではこの対処方法を解説しています。

Cloudflare WARPの証明書の更新

ClopudflareのWARPが利用する証明書には有効期限があります。このドキュメントでは新しい証明書を作成し適用する方法を解説しています。

Cloudflare ZeroTrustのGatewayの[HTTPポリシー]でブロック

Cloudflare ZeroTrustのGatewayで[Split Tunnels]を[Include]で運用していてもHTTPポリシーを利用したブロックを行う事もできます。

Cloudflare ZeroTrustのGatewayで[アダルトコンテンツ]をブロック

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロック

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトのアクセス許可

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare Zero Trustから見たAIのスクールサイトの[Phishing]問題

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

Cloudflare Zero Trustから見たタクシー求人サイトの[Anonymizer]問題

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

Cloudflare Zero Trustから見たNHKプラスの [DNS Tunneling] 問題

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

Cloudflare Zero Trustから見た自治体HPの[DNS Tunneling]問題

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

Cloudflare Raderによるサイトの評価確認と変更依頼

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロック

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのブロック画面のカスタマイズ

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted を利用する

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

Cloudflare ZeroTrustのAccessに Private network を利用する

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

Cloudflare Zero Trustの ­­Accessに Bookmark を利用する

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下で SSH を利用する

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WebDAV を利用する

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

Cloudflare ZeroTrustの Access とアプリランチャ

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

Cloudflare ZeroTrustのWARPの Local Domain Fallback とは

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

Cloudflare ZeroTrustのWARPを[Exclude]で運用する

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

Cloudflare ZeroTrustのWARPを [Include] で運用する

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのWARP運用の[Exclude]と[Include]の違いを理解する

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

Cloudflare ZeroTrustにローカルネットワークを接続する

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

Cloudflare WARPのダウンロードと ZeroTrustとの接続

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

Cloudflare WARPの[TSL decryption]と[AV scanning]とは

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

Cloudflare ZeroTrustのWARP利用ユーザを設定する

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

Cloudflare ZeroTrustのGoogle認証の全体像を理解する

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Cloudflare ZeroTrustのIdPにGoogle認証を利用する方法

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

Cloudflare ZeroTrustのGoogle認証に必要な情報を作成する

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

企業用のGmailアドレスを取得する方法

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

Cloudflare One (Zero Trust) のセキュリティ空間を作成する

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。