HOME  /ZeroTrust
 /Cloudflare WARPのインターネットアクセスと関連設定
2024年10月11日

Cloudflare WARPのインターネットアクセスと関連設定


WARPを利用するとインタネットの脅威からデバイスを守る事ができる様になります。

ここではWARPクライアントをCloudflareの貴方の[セキュリティ空間]と接続するとどうなるのか?と、それと関連する設定を解説します。

下図は[Zero Trust]に接続されたWARPクライアントの概念図です。

■Cloudflere社は全世界のインターネット通信を常時監視しており、そのレポートを[­­Cloudflare Rader]として公開しています。

またここでは総てのWEBサイトを[セキュリティカテゴリ]と[コンテンツカテゴリ]で分類しています。

■[WARP]クライアントが貴方の[セキュリティ空間]に[認証]され接続されると、[WARP]クライアントと[Gateway]間がVPN接続されます。

■[Gateway]ではインタネットの脅威からデバイスを守る為に下記の仕掛けが利用できます。

・[­­Cloudflare Rader]の情報を利用して[DNSポリシー]や[HTTPSポリシー]でセキュリティリスクがあるサイトをブロックしたり、会社として許可しないカテゴリをブロックする事ができます。

・通信を[TLS decryption]機能使って危険なサイトからの攻撃をブロックする事ができます。

・[AV scanning]機能でアップロードやダウンロードするファイルのウィルスチェックを行う。

・貴方のセキュリティ空間専用のDNSリゾルバ[DNS Locations]を作成する事ができます。

[具体的な流れ]

①[Gateway]の[DNSポリシー]で[セキュリティカテゴリ]をブロックすると、インターネット上の危険なサイトはアクセスする前に総てブロックします。

②しかしブロックされるサイトをどうしてもアクセスする必要が有る場合はブロックを解除する事ができます。

この時に登場するのが[TLS decryption]機能で、この機能を利用すると危険なサイトをアクセスしてもデバイスを脅威から守る事ができます。(上図の青→

 

ここで下記項目を解説します。

1.TSL decryption機能をもう少し詳しく

2.[TLS decryption]や[AV scanning]の設定を確認する

3.Cloudflare証明書の自動インストール

1.TSL decryption機能をもう少し詳しく

[TLS decryption]機能とは、Cloudflare社のブラウザ分離機能です。

ブラウザ分離機能とは、Webコンテンツの読み込みと実行を、デバイスのブラウザが行うのではなく、クラウド上のアプリケーションが行う機能です。

HTTPS通信の場合はブラウザとWEBサイトがSSL通信を行っています。

そこでこれを実現する為には[WARP]クライアント側に[Cloudflareの証明書]が必要で、この証明書を使用する事によりHTTPS通信の復号化が可能となりブラウザ分離が実現できます。

 

1.TLS decryptionを機能させる方法

[TLS decryption]は必ず実行される訳ではありません。

[TLS decryption]は[Gateway]の[HTTPSポリシー]経由した時だけ実行されます。

※[HTTPSポリシー]を設定しているか否かは関係ありません。

 

[WARP]と[Gateway]のVPNの張り方を[Split Tunnels]と呼び、これには [Exclude]と[Include]があります。

・[Exclude]の場合は、総てのHTTP通信が[HTTPSポリシー]経由になります。

・[Include]の場合は、指定したドメインだけ[HTTPSポリシー]経由になります。

よって[Include]で[セキュリティリスク]があるサイトをアクセス許可する場合は[Split Tunnels]に対象ドメインを追加し[TLS decryption]機能を使ってリスクがあるサイトの無害化を行います。

 

2.TLS decryptionが働いたのかを確認する方法

実際にこの[TLS decryption]が機能したか否かは、利用たSSL証明書を調べる事により確認できます。

①URLの前のアイコンをクリックし[この接続は保護されています]をクリックします。

■上図はChromeの場合です。

②表示された画面の[証明書は有効です]をクリックします。

③証明書を確認します。

TLS decryptionが働いた時 通常のアクセス
証明書がCloudflareになっています。

証明書がWebサーバのSSL証明書になっています。

 

2.[TLS decryption]や[AV scanning]の設定を確認する

ここでは[TLS decryption]と[AV scanning]が利用できる設定になっているかの確認を行います。

1.Network設定の確認

[Settings]の中にある下図の[Network]を開きます。

 

2.Firewallの各項目の設定

[Firewall]欄にある下記項目を設定します。

①[Proxy]と[WARP to WARP]

■[Proxy]を[ON]にして、[TCP]通信と[UDP]通信に✓を入れます。

■[WARP to WARP]を[ON]します。

これはWARPクライアント間のVPN接続になります。

 

②[TLS decryption]

■[TLS decryption]を[ON]します。

■[FIPS 140-2]に準拠させるか否かは、公式ドキュメント[TLS decryption]を参照して下さい。

 

③[AV scanning]

■[AV scanning]を[ON]にし、[Scan on file upload]と[Scan on file download]に✓を付けます。

■[Block requests for files that cannot be scanned]は✓しない方が良いと思います

これはスキャンできないファイルはブロックするという意味で、ファイルが暗号化されていたり、パスワード保護されていたり、又は15MB以上のファイルの場合はブロックするという意味です。

 

以上で[TLS decryption]と[AV scanning]を利用できる準備が整いました。

 

3.Cloudflare証明書の自動インストール

[TLS decryption]を利用する為には、PCやスマートデバイス側にCloudflareの証明書が必要になります。

この証明書がWARPクライアントのインストール時に自動でインストールされる事が望ましいです。

 

そこで下記の設定で、自動インストールを行ってくれ!との設定を行います。

但し、これができるのはPCだけで、スマートデバイスはサポートされていません

 

1.証明書の自動インストールの設定

[Settings]の中にある下図の[WARP Client]を開きます。

 

[Global settings]欄の設定

[Global settings]欄にある下記項目を設定します。

①[Install CA system certification store]を[ON]にします。

以上でWindowsやMACの場合は証明書が自動的でインストールされます。

 

②その他の項目

・Admin override

ユーザにWARPをOFFにする権限を与える時に利用する機能で、普通は利用しません。

・Override local interface IP

WARPのローカルIPアドレスを割り当てる時に利用する物ですが、普通は利用しません。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。