Cloudflare Zero Trust の CASB機能 をまとめてみた
クラウドサービスを利用する上でセキュリティを考える時に Cloud Access Security Broker (CASB) というソリューションがあります。
クラウドサービスが増えて、利用者の利便性や、ビジネスのコラボレーションが向上する中、従業員がコーポレートポリシーに従っていないSaaSにアクセスできてしまったり、その利用状況を可視化できない環境ができやすくなっています。
そういった可視性の確保や、コーポレートポリシーを一元的に強制するソリューションである CASB を Cloudflare Zero Trust ではどう実現しているかまとめてみました。
そもそも CASB とは
ユーザーとクラウドサービスとの間に単一のコントロールポイントを置き、クラウドサービス利用の可視化、コーポレートポリシーの適用と制御を行います。
大きくは下記の4つの機能を備えています。
CASB が持つべき4つの柱(特徴)
- 可視性
社内で利用されているクラウドサービスを検出して、利用状況を可視化することができる。
どのサービスにアクセスしたか、時間帯ごとの利用頻度や、アクセスしたユーザーを可視化することで、クラウドサービスの利用に存在するリスクを把握することができる。
-
コンプライアンス
利用するクラウドサービスとの通信に対して、一元的なポリシーの制御を提供することができる。
利用が禁止されているクラウドサービスの通信をブロックしたり、リスクが高いクラウドサービスの利用を制限することができる。また、企業が準拠するPCIやHIPPA等のコンプライアンスに違反した通信を制御することができる。 -
データセキュリティ
クラウドサービスを介した情報漏洩を防ぐことができる。
DLP(Data Loss Prevention)機能と連携して、機密性の高い情報を検出して流出を防ぐ。ユーザーや位置情報、ウィルス対策状況、行動などのコンテキストを条件に付加してデータの持ち出し制御を行うことができる。 -
脅威の検出と防御
利用しているクラウド環境への不審なアクセスや挙動、不審なファイルを検出し、隔離することができる。
共有アカウントの利用や、過剰な範囲のファイル公開、大量のデータダウンロードといった内部不正の可能性がある異常な挙動を検知することができる。
Cloudflare Zero Trust の CASB
Shadow IT Discovery
Cloudflare Zero Trust ではCloudflareプラットフォームを経由した通信の統計情報をCloudflareダッシュボード上のAnalyticsの画面で確認することができます。Shadow IT Discovery によって無許可のクラウドへのアクセスにラベル付けをして、誰がどんな頻度でアクセスしたのかを分析することができます。
Shadow IT Discovery (Private Network)
Access Analytics の Private Network画面ではこちらの記事でも紹介させていただいた Private Network で接続した社内リソースへのアクセスに関する統計情報を提供してくれます。
Shadow IT Discovery の確認方法に戻って、下図のように Unique origin users では、 Approved(許可)、Unapproved(不許可)、In review(レビュー中)、Unreviewed(レビュー未実施)にカテゴライズされたアプリケーションへ通信したユーザー数をグラフ化します。
Review all をクリックすることで、どの社内リソースへのアクセスを許可しているのか、あるいは不許可としているかを確認することができます。
詳細画面にて、そのリソースに対してのアクセスを「許可」、「不許可」、「レビュー中」、「レビュー未実施」のラベル付けをすることができます。
ここでは、Shadow IT Discovery で分析をするためのラベル付けのみになり、実際にアクセスを制御する場合はポリシーで設定していく必要があります。
その他、ユーザーごとのアクセス統計やリソースごとのアクセス統計を見ることで、傾向を見ることができます。
Shadow IT Discovery (SaaS)
同様に Access Analytics の SaaS画面では、社内で利用しているしていない問わず、SaaSへのアクセスに関する統計情報を可視化してくれます。
Review all をクリックすることで、どの社内リソースへのアクセスを許可しているのか、あるいは不許可にしているかを確認することができます。
SaaSにおいても、ラベルを付けをして今後の分析に役立たせることができます。
Gateway HTTP Policy
先程は無許可の SaaS へのアクセスはどんなものがあるかを分析しましたが、今度は HTTP Policy を使って、SaaS へのアクセスを制御していきます。コンテンツカテゴリーまたはアプリケーション毎に、特定のファイルタイプのダウンロード/アップロードをブロックしたり、ダウンロード/アップロード自体をブロックすることができます。
Gateway、Firewall Policies の HTTP Policy でポリシーを作成していきます。
特定のコンテンツカテゴリーに対してファイルタイプ別の制御をしたり、特定のアプリケーションに対してアップロードやダウンロード自体を制御することができます。
特定のIdPグループなどアイデンティティベース(例えば、開発部だけにSaaS利用を限定するなど)でのアクセスをコントロールすることができます。
リソースにアクセスするエンティティのコンプライアンス要件(例えば、WARPがインストールされているや特定バージョン以上のデバイスに利用を限定するなど)をチェックして、アクセスの許可/不許可を決定することもできます。
通信を許可または拒否することで、アクセスをコントロールします。
Cloudflare DLP
Cloudflare DLP はビルトインルールやカスタムルール、サードパーティーとの統合によって、機密情報を含むコンテンツを検出することができます。
ここで作成した DLPルール は先程の HTTP Policy の中で設定することが可能となっています。
設定の方法や注意点については下記のブログでも紹介しているので、ご参考ください。
さらにこの後紹介する API-driven CASB と連携させることによって、Microsoft の Microsoft Information Protection sensitivity label を Cloudflare Zero Trust に統合したり、Google Workspaces では Google Workspaces 内に保存されたファイルコンテンツに Cloudflare Zero Trust で定義した DLPルール に含まれた内容がないかスキャンをかけることもできます。
AV inspection
ファイルのダウンロード/アップロード時にコンテンツを検査し、脅威が検出された場合にブロックすることができます。
Settings の Network で有効化することができます。
API-driven CASB
CASB の Integrations から、SaaSサービスを統合するとSaaSサービス側の API を利用したリスク検出や、大量のダウンロードなどの不審なユーザー行動検出を行うことができます。
現時点で統合可能なSaaSはこちらに記載されています。
統合した後、SaaSサービスをスキャンし、リスクがあればSeverity(重大度)とともに表示することが可能です。
最後に
いかがでしたでしょうか。
今回まとめてみたように Cloudflare Zero Trust のCASB機能も必要な機能は抑えられてきた印象があります。また Cloudflare の新機能の開発スペースも非常に速いので、今後のCASBに関する新機能のローンチについても目が離せません。
