WARPをインストールしてCloudflare Zero Trustをはじめる

Cloudflare Zero Trustを始めようと思った時に、まずエージェントのインストールが基本となってきます。Cloudflare Zero TrustではWARPというPCとモバイルにインストールできるエージェントによって通信の保護が強化できます。

WARPの特徴を確認するとともに、設定手順を見ていきたいと思います。

WARPの特徴

• デスクトップ・モバイルエージェント
  • Windows、macOS、Linux、iOS、AndroidOS、ChromeOSにインストールすることができます。詳細なバージョンについてはこちらを確認してください。※Windows Serverにはインストールすることはできませんので注意してください。
• WireGuard
  • WARPをインストールした端末とCloudflareエッジまでは、次世代VPNと言われる高速なWireGuard（VPN）を使ってアクセスします。
  • 参考：WireGuardドキュメント内のベンチマークテスト
  • WireGuardはQUICと同じようにUDP上で動作するプロトコルになります。TCP上でセッションを確立するSSL-VPNやOpenVPNに比べて、特にローミングが頻繁に発生しやすいモバイル環境で、はるかに効率よくVPNを構築／再構築することが可能です。
• 世界最速 CloudflareのDNSリゾルバ1.1.1.1を利用

WARPをインストールする利点

前述のWARPの特徴を見てもらっても多くの利点を分かってもらえたと思うのですが、WARPをインストールすることでさらに以下のような利点があります。

• 場所に依存することなく、ゲートウェイポリシーを強制することができます
• IdPなどと連携してアイデンティティベースのポリシーを強制することができます
• WARPをインストールした端末がShadow IT Discoveryに関する可視性を提供します
• デバイスポスチャーを通信のアクセス制御のための条件に加えることができます
• ZTNAを構築する手段として、Cloudflare AccessのPrivate Networkを利用することができます

WARPの通信要件

WARPはアウトバウンド方向の通信を使います。アウトバウンドに関しては特に通信制御を設けていない場合が多いと思いますが、コーポレート内で通信制限を行っている場合は下記の要件を満たす必要があります。

WARPのインストール

WARP設定までの手順

これからWARPをインストールしていきますが、最初に全体的な設定手順の流れをみておきます。

1. Cloudflareアカウントの作成
2. Cloudflare Zero Trustのプラン選択とチームの設定
3. WARPインストール時のログイン手段の設定
4. ルート証明書のインストール
5. WARPインストール
6. WARPログイン

Cloudflareアカウントの作成

コンソールへのアクセス画面のSign Upからアカウントを作成することができます。

Cloudflare Zero Trustのチームの設定とプラン選択

最初にZero Trustの管理画面にアクセスすると、チーム名の設定とCloudflare Zero Trustのプラン選択をする必要があります。

チーム名は、Cloudflare内でユニークな値を設定する必要があり、他のアカウントのチーム名と同一のものは設定することができません。チーム名+.cloudflareaccess.comのようなドメインが割り当てられ、Cloudflare Accessで登録したアプリケーションへアクセスするためのポータルのURLに利用されます。1アカウントに1つのチームドメインが紐付きます。

プランを選択します。機能は制限されますが、基本的な機能のみの利用かつ50名以下の利用であればFreeプランで利用することが可能です。

WARPインストール時のログイン手段の設定

WARPはCloudflareアカウントを作らずとも無料でダウンロードして、無料で利用することができます（上記のアカウント作成とFreeプランのサブスクリプションをせずとも）。その場合、DNSフィルタリングやHTTPフィルタリング、IdP統合などの機能は提供されませんが、WARPとCloudflare間のトンネルが構築され、全ての通信がCloudflareに向けられるようになります。

WARPのみで使うのではなく、Cloudflare Zero Trustのサービスと使うにはWARPインストール時にレジストレーションを行う必要があります。このレジストレーションは認証とルールの組み合わせによって評価されます。それぞれ以下のようなものがあります。

認証

• Eメールアドレス宛に送られるワンタイムパスワード認証
• サードパーティIdP統合による認証

IdP統合設定に関してはこちらも参考ください。

ルール

ユーザーIDに特定のEメールを持つエンティティからのアクセスや、特定の国、特定のサービストークンを持つアクセスなどの条件をレジストレーションの評価に加えることができます。

設定できる条件についてはこちらでご確認ください。

ルート証明書のインストール

GatewayはHTTPSのような暗号化された通信の中身を検査してURLコンテンツに有害なものが含まれていないかや（TLS Decryption）、ダウンロードするファイルのアンチウィルススキャンを行うため、WARPをインストールするデバイスにルート証明書をインストールする必要があります。
ルート証明書は、WARPインストールと同時に自動でインストールする方法と手動でインストールする方法があります。
いずれかの方法でインストールしておく必要があります。環境に応じてですが自動にしておくと楽でいいですね。

WARPインストール

WARPはこちらからダウンロードしてインストールすることができます。

展開方法はマニュアルでのインストール、またはIntuneやJamfを使った展開方法についてもクラウドフレアのドキュメントに記載がありますので、環境に合わせて参考にしてください。

WARPログイン

WARPインストール後、タスクトレイなどからWARP設定画面を表示させ、設定ボタンのPreferencesからログインします。

Accountの「Login with Cloudflare Zero Trust」をクリックして、アカウント作成後に決めたチーム名を入力します。

設定していた認証方法に従って、認証を行います。

「WARP」の赤文字が「Zero Trust」の青文字に変わっていればレジストレーション成功です。スイッチをオンにするとWARPがCloudflareに向けてトンネルを張りますので、WARPのインストールは以上となります。
アクセスするリソースごとにアクセス制御をかけていくことでゼロトラスト環境へ一歩近づくことができます。

まとめ

Cloudflare Zero Trustを始めるにあたってのWARPのインストール手順についてご紹介しました。WARPは４つのモードがあり、それぞれのモードによって通信の仕方も変わってきます。この辺りの話も次回まとめていきたいと思います。