Cloudflare Oneでゼロトラストフレームワークに触れ、ついでにISOの要件を軽くこなす
昨年のIPO後、Cloudflareは企業IT向けのセキュリティー製品を矢継ぎ早にリリースし、今年7月には待望の日本法人が設立されました。
これまでCloudflare for Teams (Access / Gateway)について実装ブログを書いてきましたが、先日、ゼロトラストコンセプトとしてCloudflare Oneが発表されましたので、実務上どのように使えるのか、既存のアプローチに比べてどのあたりが新しいのかを見てみたいと思います。
バックホールせずエッジで統制できるネットワーク
Cloudflare OneはNetwork as a Service (NaaS)、あるいはSecure Access Service Edge (SASE)と呼ばれる製品カテゴリになります。
ものすごくざっくり言ってしまうと、閉域網とリモートアクセスで構成されたWANをクラウド上の横断的なネットワークにリプレイスして、インターネットに最適化された近代化を実施することです。
昨今の企業ITはSaaSやパブリックなインターネットサービスの使用を前提としていることが多く、リモートオフィスやリモートユーザーのトラフィックをバックホールして中央管制するとネットワーク効率が著しく低下します。
インターネットの通信をプロキシエッジでゼロトラスト管制するソリューションの先駆けはZScalerのZPA(ZScaler Private Access)、ZIA(Zscaler Internet Access)ですが、Cloudflareの場合、世界中に既に無数に構築されているエッジロケーションとパブリックDNS(おそらくシェア1位)をプロキシ化するという他にはマネ出来ないアプローチをとっています。(ちなみにZScalerのプロキシエッジは全てAWS上に構築されているため、AWSセントリックな企業ITへの親和性が高いです)
ロケーションやユーザーの環境に関わらず、NaaS上のネットワークに高速アクセスし、横断的なポリシー設定をしてインターネット、SaaS、社内アプリケーションを利用します。今回は一番下のリモート環境にいるUsersがローミングエージェントを使って、ポリシーに従った安全なパブリックインターネット利用をするシナリオに触れます。
リモートワーク、シェアオフィスのセキュリティ要件を解決する
クラスメソッドグループはISO/IEC27001のもとに運営されているため、インターネットや社内外のシステムを使う場合、利用するWifiとインターネットトラフィックの管制が要求されます。
ベルリンオフィスはコワーキングスペースの店子になっているため、専用のインターネット回線を敷設しておらず、また常時リモートワークをするユーザーが多いため、許可リスト対応や状況に応じたVPNの使用など管理コストがかさみます。解決する必要があります。
1.1.1.1 WARP
1.1.1.1 WARPというモバイルアプリは既にDNSクエリのプライバシー強化とアクセスの高速化で知名度がありますが、Cloudflare Oneではこれを企業IT向けに利用して独自にポリシー設定が可能です。
1.1.1.1はその名の通りDNS、WARPの実体はWireGuard VPNを唯一商用レベルでユーザー空間実装しているBoringTunのクライアントです。WireGuardは古典的なIPSecやOpenVPNに比べコード量が少なく、軽量、高速、高効率再接続を特徴としている次世代VPNで、Cloudflare Oneの登場と同じくして各種デスクトップエージェントがリリースされたため、いよいよ実用段階に入りました。
まずはアプリをインストールします。
ポチポチ押せば完了します。モバイルアプリは既にプライベートで利用していました。
社内への一斉展開や強制インストール、接続設定にJamf、Intune、SimpleMDMといったMDM用の設定方法もあります。
Cloudflare for Teamsへの接続
Cloudflare for Teamsとの接続は社内ネットワークの場合はDNSフォワーディングを設定しますが、リモートでWARPを使う場合はDNS over HTTPS (DoH)を通じて行います。
DoHのURLのサブドメインが接続同定用のIDになります。
デスクトップではPreference --> Connectionから、モバイルアプリは設定 --> 詳細 --> DNSの設定からDoHサブドメインを入力します。
これでCloudflare for TeamsのNaaSとWireGuard接続できている状態になります。体感でブラウザのレスポンスも上がります。
これで基本的なCloudflare Gatewayのポリシー適用ができますが、Layer7フィルタリングやデバイス別のポリシー設定を行いたい場合はWARPアプリからCloudflareアカウントへログインをする設定が必要です。
Cloudflare Gatewayの設定
コンテンツフィルタリング
基本的に社内利用のコンテンツをフィルタリングをすることはないのですが、アダルトコンテンツとNetflixを試しにブロックします。
ドメインのブロックは証明書を入れていないのでSSLのエラーが、カテゴリーブロックはブロックページが表示されます。
また、検索とYoutubeのセーフサーチを強制します。
オードリー春日のパワーワードの検索結果が表示されず、ちょっとエッチなYoutuberもExplicitコンテンツ以外しか表示されません。
セキュリティ・脅威ブロッキング
こちらは本番でONにする設定で、マルウェア、スパイウェア、ランサムウェア対策をゲートウェイで施します。
こんにち、こういった脅威のほとんどはインターネットを通じて晒されるため、ゲートウェイの一本化とそこでのブロッキングは極めて有効です。またClousflareはDNSのシェアを握っているため脅威インテリジェンスに精度と早さがあり、カテゴリーフィードは20分ごとに更新されます。
エンドポイントコントロール
今回はデバイスごとのエンドポイントコントロールを実装しませんが、プラグイン的にCroudStrikeやTaniumを組み込み、Cloudflare側から一貫してポリシー設定できます。
いかがでしたでしょうか?今回はパブリック環境でのインターネット接続の保全に焦点を絞りましたが、この先の実装として、リモートアクセス、SaaSへのSAMLログイン、IDaaSの組み込みなど、Cloudflare Oneはゼロトラストを現時点で開始できる有効打であると言えるでしょう。
クラスメソッドはCloudflare for Teamsのパートナーとして、Cloudflare Oneを推進していきます。お問い合わせはこちらから。