HOME  /ZeroTrust
 /Cloudflare ZeroTrustのGatewayでブロックされるサイトのアクセス許可
2024年10月13日

Cloudflare ZeroTrustのGatewayでブロックされるサイトのアクセス許可


下図はWARPクライアントがZero Trustのセキュリティ空間に接続された時の概念図です。

上図の右上の[­­Cloudflare Rader]は全世界のインターネット通信を常時監視しており、各サイトを[セキュリティカテゴリ]と[コンテンツカテゴリ]で分類しています。

上図の[Gateway]はこの分類を利用してサイトをブロックするか否かを判断しています。

 

しかしブロックされるサイトでも[Gateway]に許可ポリシーがあるとアクセスできるようになります。

[Split Tunnels]を[Include]で運用している場合は、この許可ポリシーは[DNSポリシー]に作成します。

­ ­注意

[コンテンツカテゴリ]でブロックされたサイトはセキュリティリスクがないので、下記の許可ポリシーを作成するだけで問題ありません。

しかし[セキュリティカテゴリ]でブロックされたサイトの許可ポリシーを作成する時には注意が必要です。

この時は[Include設定のSplit Tunnels]に上記で許可するサイトのドメインも追加して下さい。

これによりセキュリティリスクがあるサイトにアクセスしても[TSL decryption]機能が働くので、デバイスは守られます。

許可ポリシーは下記手順で作成します。

1.許可ドメインリストの作成

2.DNSポリシーへの追加

1.許可ドメインリストの作成

まず始めにDNSポリシーでブロックされたドメインを許可する為の許可ドメインリストを作成します。

1.[My TeamLists]を起動します。

2.[+Create manual list]ボタンを挿入します。

3.左ペインに表示された下図に作成条件を指定します。

 

 

 

■List Name:任意名称

例)許可ドメイン

 

■List type

▼から[Hostnames]を選択します。

 

■Description

説明文を入力(任意)

4.右側に表示された[Add entry]に下記を指定します。

・[hostname]欄:ブロックされた画面の[Site:]に表示されたドメイン名をここに貼り付けます。

・[Description]欄:何のドメインかが判る説明文を記述します。

・[Add]ボタンを挿入します

5.保存する。

[SAVE]ボタンを挿入して保存します。

以上で許可ドメインリストが完成しました。

­ ­メモ

許可ドメインリストは複数作成できます。例えば下記に様に分けていると、どの様なドメインを許可したのかの管理がやり易くなります。

・セキュリティリスク・許可サイト

・ギャンブルリスク・許可サイト

・アダルトサイト・許可サイト等

 

2.DNSポリシーへの追加

ここでは上記で作成した許可ドメインリストをDNSポリシーに追加し、このポリシーを先頭に持ってきます。

1.[Gateway Firewall Policies]で[DNS]タブを開きます。

2.画面に表示された[+ Add a policy]ボタンを挿入します。

3.許可条件を設定します。

①Step1の[Name your policy]の設定

・[policy name]欄:ユニーク名称です。 例)許可ドメイン

・[Description]欄:説明があれば記述します

②Step2の[Traffic]の設定

・[Selector]欄:▼から[Domain]を選択します。

・[Operator]欄:▼から[In list]を選択します。

・[Value]欄:▼から先程作成した許可ドメインリストを選択します。

­ ­メモ

許可するドメインリストが複数ある場合は上記と同じ設定を[OR]で連結して下さい。

[And]ではありません。

③Step3の[Select an action]の設定

・[Action]欄:▼から[Allow]を選択します。

④ポリシーの保存

画面の下にある[Save policy]ボタンを挿入します。

以上で許可ポリシーが作成されました。

 

4.ポリシー順番の設定

許可ポリシーはブロックポリシーの前に移動させる必要があります。※最重要

・左のアイコンを掴んでドラック&ドロップで先頭に持ってきます。

以上で許可ドメインリストに登録されたドメインはブロックされなくなります。

­ ­メモ

ブロックされたURLはブラウザにキャッシュされています。

よってブロック解除の指定を行った後は、ブラウザのキャッシュを削除してからアクセスして下さい。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Cloudflare ZeroTrustのGatewayで[Split Tunnels]を[Include]で運用していてもHTTPポリシーを利用したブロックを行う事もできます。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。