HOME  /ZeroTrust
 /Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロック
2024年10月13日

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロック


下図は[Zero Trust]に接続されたWARPクライアントの概念図です。

■Cloudflere社は全世界のインターネット通信を常時監視しており、そのレポートを[­­Cloudflare Rader]として公開しています。

またここでは総てのWEBサイトを[セキュリティカテゴリ]と[コンテンツカテゴリ]で分類しています。

■[WARP]クライアントが貴方の[セキュリティ空間]に[認証]され接続されると、[WARP]クライアントと[Gateway]間がVPN接続されます。

■この[Gateway]では下記の仕掛けが利用できます。

①[­­Cloudflare Rader]の[セキュリティカテゴリ]情報を利用して、セキュリティリスクがあるサイトをブロックする。

②[­­Cloudflare Rader]の[コンテンツカテゴリ]情報を利用して、会社として許可しないカテゴリをブロックする。

③ブラウザ分離機能[TLS decryption]を利用して、セキュリティリスクがあるサイトを無害化する。

④[AV scanning]機能を利用して、アップロードやダウンロードするファイルのウィルスチェックをする。

⑤貴方のセキュリティ空間専用のDNSリゾルバ[DNS Locations]を作成する。

 

ここでは上記の①の[­­Cloudflare Rader]が分類した[セキュリティカテゴリ]を使ったブロック方法を解説します。

1.[セキュリティカテゴリ]のブロック運用を理解する

2.[セキュリティカテゴリ]のブロック方法

3.ブロックできたのか?を確認する方法

4.セキュリティカテゴリのブロック事例

1.[セキュリティカテゴリ]のブロック運用を理解する

セキュリティカテゴリには下記のサブカテゴリがあります。

サブカテゴリ名 1.1.1.2 解説
Anonymizer [アノニマイザ]とは、ユーザーが匿名でインターネットを閲覧できるサイト
Brand Embedding [ブランド エンベッディング]とは、ブランドを偽造するサイト
Command and Control & Botnet [コマンドアンドコントロールとボットネット]とは、情報を漏洩させる為に、ネットワーク内の他のデバイスに感染させるためのクエリが実行されるサイト
Cryptomining [クリプトマイニング]とは、ユーザーのコンピューティング リソースを乗っ取って暗号通貨をマイニングさせるサイト
DGA Domains  [DGAドメイン]とは、マルウェアに見られるドメイン生成アルゴリズムを使っていると判断されたドメイン
DNS Tunneling [DNSトンネリング]とは、DNSトンネリングアクティビティが検出されたドメイン
Malware [マルウェア]とは、悪意のあるコンテンツやその他の侵害されたWebサイトをホストするサイト
Phishing [フィッシング]とは、個人情報を盗むことで知られるドメイン
Private IP Address   [プライベートIPアドレス]が返されるドメイン
Spam [スパム]とは、不要な懸賞、アンケート、広告でユーザーをターゲットにすることで知られるサイト
Spyware   [スパイウェア]とは、望ましくない広告を表示するコード、またはユーザーの知らないうちにユーザー情報を収集するコードを配布または含むことが知られているサイト

※汎用DNSリゾルバの[1.1.1.2]は上記のサブカテゴリの中の一部を使ったブロックになります。

 

上記のセキュリティカテゴリでアクセスをブロックするという事は、デバイスをインターネットの脅威から守る事を意味します。

 

しかし、セキュリティカテゴリのブロック運用を行っていると、アクセスが必要なサイトがこれでブロックされる事があります。

この様な場合は[ブロックされるサイトのアクセス許可]を行うとアクセスは可能になりますが、このサイトに危険なコードが仕込まれているとデバイスが危険に晒されます。

ここに登場するのが[TLS decryption]機能です。

[Split Tunnels]を[Include]で運用している場合は、この機能を働かせる為に[Include設定のSplit Tunnels]で上記で許可するサイトのドメインを追加します。

これによりアクセス許可されたサイトに危険なコードが書かれていても、Cloudflareがユーザに代わってアクセスしてくれるのでデバイスを守る事ができます。

 

また恒久対策としてブロックされるサイトを[Cloudflare Raderのサイト評価]で内容を確認し、[Cloudflare Rader]にセキュリティカテゴリーの変更申請を行う事もできます。

これを行うと[Cloudflare Rader]はサイトを再評価して、問題がない場合はセキュリティカテゴリの評価を変更してくれます。

具体的な事例は[4.セキュリティカテゴリのブロック事例]を参照して下さい。

 

2.セキュリティカテゴリのブロック方法

ここでは[Split Tunnels]を[Include]で運用する事を想定しています。

よって、セキュリティカテゴリのブロックは[DNSポリシー]で行います。

1.ポリシー設定画面の起動

[Gateway Firewall Policies]を実行します。

下図の[DNS]タブを選択し、[+ Add a Policy]ボタンを挿入します。

 

2.ポリシーの設定

①ポリシー名の設定

下図の[Name your policy]の[Policy name]欄でどの様なポリシーかが判る名前を付けます。

例)セキュリティカテゴリ

■上記で設定した名前が一覧リストに表示されます。

 

②どのカテゴリをブロックするのか条件を設定します。

[Build an expression]の下図の[Traffic]欄にブロックする条件を設定します。

Selector:▼から[Security Categories]を選択

Operator:▼から[in]を選択

Value:[All security risks]で検索し✓します。

■上記はセキュリティカテゴリ全体でブロックする設定例ですが、サブカテゴリ単位で設定しても問題ありません。

 

③ブロックの指定

下図の[Select an action]の[Action]欄の▼で[Block]を選択します。

 

④ブロック方法の設定

[Configure policy settings]欄で下記を設定します。

Filter by resolved IP category :ON

(グローバルIP指定の場合は逆引きでドメインを探して検査する)

Ignore CNAME domain categories :ON

(CNAMEで指定されているドメインは無視する)

Display block page :ON

[Show a custom message]に✓し[Custom message]欄にブロックした時に表示するメッセージを入力します。(この機能を働かせる為には[ブロック画面のカスタマイズ]が必要です)

例)DNSポリシーのセキュリティカテゴリでブロックされました。

­ ­その他のブロックオプション

Display block notification for WARP Client

この機能はブロックの情報をもっと詳細に連絡できる機能ですが、Enterprise版が必須で、無償版では利用できません。

 

⑤保存する

画面の右下の[Save Policy]ボタンを挿入すると下図が表示されます。

 

3.ブロックできたのか?を確認する方法

Cloudflareでは設定が上手く機能しているのか?を調べる為に下記のテストサイトを用意しています。

カテゴリ URL
Anonymizer https://anonymizer.testcategory.com
Brand Embedding https://brandembedding.testcategory.com
Command and Control & Botnet https://commandandcontrolandbotnet.testcategory.com
Cryptomining https://cryptomining.testcategory.com
DGA Domains  https://dgadomains.testcategory.com
DNS Tunneling https://dnstunneling.testcategory.com
Malware https://malware.testcategory.com
Phishing https://phishing.testcategory.com
Private IP Address https://privateipaddress.testcategory.com
Spam https://spam.testcategory.com
Spyware https://spyware.testcategory.com

 

上記をアクセスしてブロックされる場合は、下記画面が表示されます。

失敗した時は下図が表示されます。

 

4.セキュリティカテゴリのブロック事例

セキュリティカテゴリのブロック運用を行った結果、判ったことを下記で解説します。

1.[DNS Tunneling]でブロックされる事例

セキュリティカテゴリでブロックされるのはこの[DNS Tunneling]が多いです。

­ ­DNS Tunnelingとは

DNS(Domain Name System)とはアクセスしたいURLをグローバルIPに変換してくれる仕掛けです。

この通信は通常は暗号化されないUDPでポート53でクライアントとDNS間で通信されます。

DNS Tunnelは悪意ある第3者がこの通信にトンネルを仕掛けて、ユーザIDやパスワードを盗んだり、マルウェアをクライアント側に送り込む等のハッキング手法に利用されます。

最近の状況は[DNSに対する脅威の進化状況]レポートを参照して下さい。

①東北地方の自治体HP

2023年以前は東北地方の自治体のHPの多くが[DNS Tunneling]でブロックされていましたが、2024年2月以降は解除されました。

詳細は[自治体HPの[DNS Tunneling]問題]を参照して下さい。

 

②NHK+

NHK+のログインページも、これでブロックされていましたが2024年7月に解除されました。

詳細は[NHKプラスの [DNS Tunneling] 問題]を参照して下さい。

 

2.[Anonymizer]でブロックされる事例

①タクシー求人サイト

タクシー求人サイトが[Anonymizer]でブロックされた事例ですが2024年7月に解除されました。

詳細は[タクシー求人サイトの[Anonymizer]問題]を参照して下さい。

 

3.[Phishing]でブロックされる事例

①株式会社SHIFT AI

AI副業が学べるスクールが[Phishing]でブロックされた事例ですが2024年9月に解除されました。

詳細は[AIのスクールサイトの[Phishing]問題]を参照して下さい。

 

 結論

セキュリティカテゴリでブロックされた場合、下記の2つの対策が考えられます。

①[ブロックされるサイトのアクセス許可]と[Include設定のSplit Tunnels]でブロックされたサイトを許可してアクセスする。

②[Cloudflare Raderの評価]からブロック理由を調査し、許可申請を行う。

今までの経験ではこれで解決する事例が多い様です。

よって当面の対策は①で、恒久対策として②を利用する運用になると思います。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。