HOME  /ZeroTrust
 /Cloudflare ZeroTrustのWARPを [Include] で運用する
2024年10月11日

Cloudflare ZeroTrustのWARPを [Include] で運用する


WARPの [Include] とは何か?は[WARP運用の[Exclude]と[Include]の違いを理解する]を参照して下さい。

 

ここでは下図の[Split Tunnels]を[Include]で利用する方法を解説します。

1.WARPの[Include]設定

2.PCでの使い方と評価

3.スマートデバイスでの使い方と評価

1.WARPの[Include]設定

1.WARP Clientを呼び出す

[Settings]の画面の中から[WARP Client]を開きます。

 

2.Device settingsを開く

[Device settings]欄にある[Default]をクリックして[Edit]で開きます。

 

3.WARPに[Include]の設定を行う。

表示された設定項目を[Include]に沿った設定にします。重要項目は背景色を変更しています。

項目 解説と推奨設定

Captive portal detection

Free WiFiの検出です。推奨設定:ON

空港、カフェ、図書館でのFree Wifi利用はインターネットに接続されてない状態でログイン画面がブラウザに表示され、これにログイン後、インターネットに接続される仕様になっています。

この設定が[ON]の場合はFree Wifiから再度、ログイン要求がきた時に、通信が切れたことを教えてくれるので、ここから再度ログインして継続利用ができます。

これが[OFF]の場合は、接続が切れたことを教えてくれないので、インターネットをアクセスした時に繋がってない事がわかり、始めから接続をやり直す使い方になります。

Mode switch WARPの接続方式選択 必須設定:OFF

WARPとGatewayの通信方法には[Gateway with WARP]と[Gateway with DoH]がありますが⑩の[Split Tunnels]が[Include]の場合は[Gateway with WARP]しか利用しません。

よってこの設定は切り替えられないようにOFFにします。

Device tunnel protocol

トンネルの方式

WireGuardがデフォルトで、MASQUEが最近追加されたトンネル方式です。

実績があるWireGuardで良いと思います。

Lock WARP switch

WARP ON/OFF スイッチのロック  推奨設定:OFF

[ON]にすると、ユーザーがWARPをON/OFFできなくなります。

運用が軌道に乗ったら[ON]で良いと思います。

Allow device to leave organization

セキュリティ空間からのログアウト  推奨設定:ON

[OFF]にするとログイン中の組織からユーザー操作でのログアウトができなくなります。

運用が軌道に乗ったら[OFF]で良いと思います。

Allow updates

WARPアプリの更新処理  推奨設定:ON

ユーザ自身でWARPクライアントのアップデートが行えます。

MDM等でWARPを管理している場合は[OFF]になります。

Auto connect

自動再接続 推奨設定:OFF

[ON]に設定するとユーザがWARPを[OFF]にしても、3分後には自動でONになります。

3分の時間設定は管理者が変更できます。

運用が軌道に乗ったら、③が[OFF]で、この設定を[ON]する運用でも良いと思います。

Support URL

URLリンク機能    推奨設定:https://チーム名.cloudflareaccess.com

WARP画面からアプリケーションランチャの起動ができる様になります.

 

スマホの場合は下記になります。

メニュー → 詳細 → フィードバック送信

Service mode

WARPの接続モード  推奨設定:Gateway with WARP

デフォルトのWARPの接続モードを指定します。

指定ドメインはHTTPポリシを利用するので[Gateway with WARP]を選定します。

Local Domain Fallback

ローカルドメインの登録テーブル

ローカルリソースをIPアドレスでアクセスするのでなく、ローカルドメインでアクセスしたい場合に設定します。

具体的な操作方法は[WARPの Local Domain Fallback]を参照して下さい。

Split Tunnels

Gatewayとの接続方式 ※最重要

[Include IPs and domains]に✓を付けてく[Manege]ボタンを挿入します。

下記の各項目を[Selector]で[Domain]又は[IP Address]を選択して登録します。

1.[セキュリティ空間]のドメイン名

[チーム名].cloudflareaccess.com

2.認証に使用するIdPのドメイン名

Google場合:accounts.google.com

3.ブラウザ分離のURL

edge.browser.run

4.ローカルリソースのIPアドレス

私の場合は[192.168.1.0/24]と[192.168.10.0/24]を[セキュリティ空間]に接続させたのでこのアドレスを登録します。

5.WARP to WARP用の仮想IPアドレス

100.96.0.0/12

6.TSL decryptionを機能させたいドメイン名

[セキュリティカテゴリでブロック]されたサイトを[アクセス許可]する場合に対象ドメインをここに登録します。

尚、ドメイン登録はサブドメインも含めて登録して下さい。

例えばURLが[https://www.asahi.com/]の場合は、[www.asahi.com]です。

これによりに危険なサイトをアクセスしても[TSL decryption]機能が稼働するのでデバイスはインターネットの脅威から守られます。

Allow users to enable local network exclusion

指定時間だけローカル ネットワークの除外を有効にする。 推奨設定:OFF

[Exclude]接続の時に利用する機能なので[Include]接続では意味がありません。

Directly route Office 365 traffic

[Include]運用ではOffice 365へのアクセスは、禁止しない限りは利用できます。

設定の変更を行った場合は最後に必ず[Save Profile]を実行して下さい。

 

2.PCでの使い方と評価

1.インターネットアクセスの評価

[Include]のWARP接続は[Gateway with WARP]になります。

インターネットアクセスは[DNSポリシー]だけが適用されます。

但し、セキュリティカテゴリでブロックされたサイトを[アクセス許可]する場合に対象ドメインを登録した場合は[HTTPポリシー]経由になり、危険なサイトをアクセスしても[TSL decryption]が稼働するのでデバイスは守られます。

 

2.ローカルアクセスの評価

[192.168.1.0/24、192.168.10.0/24]のLAN上にあるルータ、サーバ、プリンター等をIPアドレス指定でアクセスできます。

結果は下記になります。

接続方式 LAN内リソースアクセス LAN外リソースのアクセス
Gateway with WARP

 

3.結論

PCが社内にあっても、社外にあっても総てローカルに接続されている様に利用できるので大変便利です。

VPNソフト等の余分なアプリケーションは総て不要です。

SSH接続やWebDAV(一部カスタマイズが必要)も場所を問わずに利用できる様になります。

 

3.スマートデバイスでの使い方と評価

1.インターネットアクセスの評価

[Include]のWARP接続は[Gateway with WARP]になります。

インターネットアクセスは[DNSポリシー]だけが適用されます。

但し、セキュリティカテゴリでブロックされたサイトを[アクセス許可]する場合に対象ドメインを登録した場合は[HTTPポリシー]経由になり、危険なサイトをアクセスしても[TSL decryption]が稼働するのでデバイスは守られます。

 

2.ローカルアクセスの評価

[192.168.1.0/24、192.168.10.0/24]のLAN上にあるルータ、サーバ、プリンター等をIPアドレス指定でアクセスできます。

結果は下記になります。

接続方式 LAN内リソースアクセス LAN外リソースのアクセス
Gateway with WARP

 

3.インストールした各種アプリ

スマホにインストールしたアプリは[HTTPポリシー]を経由しないので問題なく利用できます。

 

4.結論

スマホもどの様な接続状態でも社内のWi-Fiに接続された様な状態で利用できる様になります。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。