WARPを利用するとインタネットの脅威からデバイスを守る事ができる様になります。
ここではWARPクライアントをCloudflareの貴方の[セキュリティ空間]と接続するとどうなるのか?と、それと関連する設定を解説します。
下図は[Zero Trust]に接続されたWARPクライアントの概念図です。
■Cloudflere社は全世界のインターネット通信を常時監視しており、そのレポートを[Cloudflare Rader]として公開しています。
またここでは総てのWEBサイトを[セキュリティカテゴリ]と[コンテンツカテゴリ]で分類しています。
■[WARP]クライアントが貴方の[セキュリティ空間]に[認証]され接続されると、[WARP]クライアントと[Gateway]間がVPN接続されます。
■[Gateway]ではインタネットの脅威からデバイスを守る為に下記の仕掛けが利用できます。
・[Cloudflare Rader]の情報を利用して[DNSポリシー]や[HTTPSポリシー]でセキュリティリスクがあるサイトをブロックしたり、会社として許可しないカテゴリをブロックする事ができます。
・通信を[TLS decryption]機能使って危険なサイトからの攻撃をブロックする事ができます。
・[AV scanning]機能でアップロードやダウンロードするファイルのウィルスチェックを行う。
・貴方のセキュリティ空間専用のDNSリゾルバ[DNS Locations]を作成する事ができます。
[具体的な流れ]
①[Gateway]の[DNSポリシー]で[セキュリティカテゴリ]をブロックすると、インターネット上の危険なサイトはアクセスする前に総てブロックします。
②しかしブロックされるサイトをどうしてもアクセスする必要が有る場合はブロックを解除する事ができます。
この時に登場するのが[TLS decryption]機能で、この機能を利用すると危険なサイトをアクセスしてもデバイスを脅威から守る事ができます。(上図の青→)
ここで下記項目を解説します。
2.[TLS decryption]や[AV scanning]の設定を確認する
1.TSL decryption機能をもう少し詳しく
[TLS decryption]機能とは、Cloudflare社のブラウザ分離機能です。
ブラウザ分離機能とは、Webコンテンツの読み込みと実行を、デバイスのブラウザが行うのではなく、クラウド上のアプリケーションが行う機能です。
HTTPS通信の場合はブラウザとWEBサイトがSSL通信を行っています。
そこでこれを実現する為には[WARP]クライアント側に[Cloudflareの証明書]が必要で、この証明書を使用する事によりHTTPS通信の復号化が可能となりブラウザ分離が実現できます。
1.TLS decryptionを機能させる方法
[TLS decryption]は必ず実行される訳ではありません。
[TLS decryption]は[Gateway]の[HTTPSポリシー]経由した時だけ実行されます。
※[HTTPSポリシー]を設定しているか否かは関係ありません。
[WARP]と[Gateway]のVPNの張り方を[Split Tunnels]と呼び、これには [Exclude]と[Include]があります。
・[Exclude]の場合は、総てのHTTP通信が[HTTPSポリシー]経由になります。
・[Include]の場合は、指定したドメインだけ[HTTPSポリシー]経由になります。
よって[Include]で[セキュリティリスク]があるサイトをアクセス許可する場合は[Split Tunnels]に対象ドメインを追加し[TLS decryption]機能を使ってリスクがあるサイトの無害化を行います。
2.TLS decryptionが働いたのかを確認する方法
実際にこの[TLS decryption]が機能したか否かは、利用たSSL証明書を調べる事により確認できます。
①URLの前のアイコンをクリックし[この接続は保護されています]をクリックします。
■上図はChromeの場合です。
②表示された画面の[証明書は有効です]をクリックします。
③証明書を確認します。
TLS decryptionが働いた時 | 通常のアクセス |
証明書がCloudflareになっています。 | 証明書がWebサーバのSSL証明書になっています。 |
2.[TLS decryption]や[AV scanning]の設定を確認する
ここでは[TLS decryption]と[AV scanning]が利用できる設定になっているかの確認を行います。
1.Network設定の確認
[Settings]の中にある下図の[Network]を開きます。
2.Firewallの各項目の設定
[Firewall]欄にある下記項目を設定します。
①[Proxy]と[WARP to WARP]
■[Proxy]を[ON]にして、[TCP]通信と[UDP]通信に✓を入れます。
■[WARP to WARP]を[ON]します。
これはWARPクライアント間のVPN接続になります。
■[TLS decryption]を[ON]します。
■[FIPS 140-2]に準拠させるか否かは、公式ドキュメント[TLS decryption]を参照して下さい。
■[AV scanning]を[ON]にし、[Scan on file upload]と[Scan on file download]に✓を付けます。
■[Block requests for files that cannot be scanned]は✓しない方が良いと思います。
これはスキャンできないファイルはブロックするという意味で、ファイルが暗号化されていたり、パスワード保護されていたり、又は15MB以上のファイルの場合はブロックするという意味です。
以上で[TLS decryption]と[AV scanning]を利用できる準備が整いました。
3.Cloudflare証明書の自動インストール
[TLS decryption]を利用する為には、PCやスマートデバイス側にCloudflareの証明書が必要になります。
この証明書がWARPクライアントのインストール時に自動でインストールされる事が望ましいです。
そこで下記の設定で、自動インストールを行ってくれ!との設定を行います。
但し、これができるのはPCだけで、スマートデバイスはサポートされていません。
1.証明書の自動インストールの設定
[Settings]の中にある下図の[WARP Client]を開きます。
[Global settings]欄の設定
[Global settings]欄にある下記項目を設定します。
①[Install CA system certification store]を[ON]にします。
以上でWindowsやMACの場合は証明書が自動的でインストールされます。
②その他の項目
・Admin override
ユーザにWARPをOFFにする権限を与える時に利用する機能で、普通は利用しません。
・Override local interface IP
WARPのローカルIPアドレスを割り当てる時に利用する物ですが、普通は利用しません。