HOME  /ZeroTrust
 /CloudflareのWARP運用の[Exclude]と[Include]の違いを理解する
2024年10月11日

CloudflareのWARP運用の[Exclude]と[Include]の違いを理解する


下図はデバイスにインストールした[WARP]から[外部アクセス]や[内部アクセス]を行う概念図です。

■WARPは[クライアント]と[Gateway]間にVPNトンネルを張ります。

このトンネルを分割する方法[Split Tunnels]に[Exclude]と[Include]があります。

赤→外部アクセスで、青→内部アクセスです。

1.外部アクセス

[Gateway]の下記のポリシーを経由してインターネットアクセスを行います。

DNSポリシー :ドメイン名で判断するポリシーです。

HTTPポリシー:URLで判断するポリシーです。

例えばあるニュースサイトをブロックしたい場合、

DNSポリシーでニュースサイトのドメインをブロックすると、ニュースサイト全体がブロックされます。

HTTPポリシーでこのニュースサイトのスポーツのURLだけをブロックすると、スポーツニュースだけをブロックすることができます。

この様により細かな制御ができるのがHTTPポリシーです。

 

WARPアクセスはDNSポリシーは必ず経由しますが、HTTPポリシーを経由させるか否かは[Split Tunnels]が[Exclude]か[Include]によって指定方法が異なります。

 

2.内部アクセス

内部のIPアドレスの処理方法も[Split Tunnels]が[Exclude]か[Include]によって指定方法が異なります。

 

下記に各々の概要を解説します。

1.Exclude運用

2.Include運用

1.Exclude運用

[Split Tunnels]の[Exclude]は除外指定です。

具体的な設定方法は[WARPを[Exclude]で運用する]を参照して下さい。

ポイントは下記になります。

①除外指定をした[ドメイン]以外は、すべてHTTPポリシーを経由します。

デフォルトで除外ドメインは登録されてないので、通信は総てHTTPポリシー経由になります

 

②除外指定した[IPアドレス]以外のローカルアクセスは総て拒否します。

デフォルトでローカルで利用されるIPアドレスが総て登録されています。

そこで利用したいIPレンジを削除しないとローカルにアクセスできません

私の事例では[192.168.1.0/24]と[192.168.10.0/24]を利用しているので[192.168.0.0/16]を削除しないとこのIPアドレスにアクセスできません。

 

 Excludeを利用してみた上での感想

インターネットアクセス①

[Exclude]運用は、HTTPをHTTPSに自動変換してアクセスしてしまうので、HTTPサイトをアクセスすると証明書エラーになります。

これを解決する為には、HTTPの明示指定アクセスか、ブラウザの設定を変更する必要があります。

インターネットアクセス②

[Exclude]運用は、総てのインターネットアクセスに[TSL decryption]が働きます。

インターネットアクセスはブラウザ以外にPCにインストールしたThenderbird等のアプリケーションもアクセスします。

これらのアプリケーションは独自の証明書を利用してアクセスするので[TSL decryption]が働くとエラーになるのでHTTPポリシーに[Cert Pinning]等の設定が必要になります。

ローカルアクセス

[PCが接続されているネットワーク]と[アクセスしたいネットワーク]を意識して、WARPの接続方法を変更しないとアクセスできません。

以上の結果から、[Exclude] 運用はメリットも大きいが利用方法の制限も多いです。

よって大企業がCloudflare社のコンサルを受けながら利用する仕掛けの様に感じました。

 

2.Include運用

こちらが中小企業や個人が利用するのに適した設定です。

[Split Tunnels]の[Include]は包含指定です。

具体的な設定方法は[WARPを [Include] 運用する]を参照して下さい。

ポイントは下記になります。

①指定した[ローカルIP]だけ通信を許可します。

②指定した[ドメイン]だけHTTPポリシーを経由させます。

指定しないドメインはDNSポリシーだけが適用されます

デフォルトで[ローカルIP]も[ドメイン]も登録されていません。

 

そこで[Include]運用を行う場合は最低限下記を登録する必要があります。

[セキュリティ]空間のドメイン名

[チーム名].cloudflareaccess.com

認証に使用されるIdPのドメイン名

Google認証の場合は[accounts.google.com]

ブラウザ分離のURL

edge.browser.run

ローカルのIPアドレス

[セキュリティ空間]と接続したローカルIPアドレスを指定します。

私の場合は[192.168.1.0/24]と[192.168.10.0/24]です。

WARP to WARPで利用される仮想IPアドレス

100.96.0.0/12

⑥TSL decryptionを機能させたいドメイン

セキュリティカテゴリでブロックされたサイトを[アクセス許可]する場合に対象ドメインを登録します。

尚、ドメイン登録はサブドメインも含めて登録して下さい。

例えばURLが[https://www.asahi.com/]の場合は、[www.asahi.com]又は[*.asahi.com]で、ワイルドカード形式の場合は下記の注意点を参照して下さい。

これによりに危険なサイトをアクセスしても[TSL decryption]が稼働するのでデバイスは守られます。

 

­ ­ワイルドカード形式のドメイン指定の注意点

ドメイン名の指定にワイルドカード形式が利用できますが、下記の制限があります。

Windows、Lonux、MacのWARPはドメインの IP アドレスが解決された直後に、スプリット トンネリング用のルーティング テーブルに動的に挿入する事ができる為、ワイルドカード形式が利用できます。

 

しかしスマートデバイスのWARPはトンネルが構築された時点のテーブルだけが適用される為、ワイルドカード形式ドメインは対象外となります。

よってワイルドカード形式の指定はPCだけで良い場合以外は利用できません。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。