HOME  /ZeroTrust
 /Cloudflare ZeroTrustのGatewayの[HTTPポリシー]でブロック
2024年10月14日

Cloudflare ZeroTrustのGatewayの[HTTPポリシー]でブロック


下図は[Zero Trust]に接続されたWARPクライアントの概念図です。

このサイトでは[Split Tunnels]を[Include]で運用する事を想定しています。

よって下記ドキュメントは総て上図の[DNSポリシー]でブロックを制御してきました

Gatewayで[セキュリティカテゴリ]をブロックする

Gatewayで[コンテンツカテゴリ]をブロックする

Gatewayで[アダルトコンテンツ]をブロックする

ここでは[Split Tunnels]の[Include]環境下でHTTPポリシーを利用する方法を解説します。

 

1.ブロック対象

ここでは読売新聞のニュースサイト[https://www.yomiuri.co.jp/]を例に解説します。

このサイトは下図の様なサイトです。

上記のサイトのスポーツのURL構造は下記の様になっています。

ジャンル URL構造
一般スポーツ https://www.yomiuri.co.jp/sports/*/*
巨人関係 https://www.yomiuri.co.jp/giants/*
オリンピック関係 https://www.yomiuri.co.jp/olympic/*

そこで上記の[一般スポーツ]、[巨人関係]、[オリンピック関連]をブロックする方法で進めます。

 

2.利用されている証明書を確認します。

読売新聞のニュースサイトがHTTPポリシー経由になったのか?を確認する為に現在の証明書を確認します。

①URLの前のアイコンをクリックし[この接続は保護されています]をクリックします。

下図はChromeの場合です。

②表示された画面の[証明書は有効です]をクリックします。

③表示された証明書は下記になります。

SSL証明書は下図の様に[Cybertrust]のものでした。

 

3.[Split Tunnels]に読売新聞のニュースドメインを追加します。

①[Settings]の画面の中から[WARP Client]を開きます。

②[Device settings]欄にある[Default]をクリックして[Edit]で開きます。

③[Split Tunnels]のManageボタンを挿入します。

④リストに[Selector]をDomainにして[www.yomiuri.co.jp]を追加します。

 

以上で読売新聞のニュースドメインはHTTPポリシー経由になりました。

証明書を確認して見て下さい。

証明書が[Cloudflare]に変更になっている筈です。

これで[TSL decryption]機能と[HTTPポリシー]が利用できる様になりました。

 

4.HTTPポリシーにブロックポリシーを追加します。

①[Gateway → Firewall Policies]を実行します。

②[HTTP]タブをクリックした画面で[+ Add a Policy]ボタンを挿入します。

③[Name your policy]の[Policy name]欄の設定

どの様なポリシーかが判る名前を付けます。

例)読売新聞

④[Build an expression]の[Traffic]欄の設定

・Selector▼から[URL]を選択します。

・Operator▼から[matches regex]を選択します。

・Value[https://www.yomiuri.co.jp/sports]を入力します。

ORボタンを挿入し、上記と同じ形式で次のURLを指定します。

・Selector▼から[URL]を選択します。

・Operator▼から[matches regex]を選択します。

・Value[https://www.yomiuri.co.jp/giants]を入力します。

ORボタンを挿入し、上記と同じ形式で次のURLを指定します。

・Selector▼から[URL]を選択します。

・Operator▼から[matches regex]を選択します。

・Value[https://www.yomiuri.co.jp/olympic]を入力します。

 メモ

上記で利用した[matches regex]は正規表現で判断する方法です。

よって1行で[yomiuri.co.jp/sports|yomiuri.co.jp/giants|yomiuri.co.jp/olympic]の様な記述も可能です。

意味はURLの中に上記で指定した文字列があると判定がTrueになります。

⑤[Configure policy settings]欄の設定

[Show a custom message]に✓し[Custom message]欄にブロックした時に表示するメッセージを入力します。

例)スポーツ記事は会社では見れません。

⑥画面の右下の[Save Policy]ボタンを挿入すると下図が表示されます。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

ClopudflareのWARPが利用する証明書には有効期限があります。このドキュメントでは新しい証明書を作成し適用する方法を解説しています。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。