はじめに
背景
多くの組織は、セキュリティとコストのバランスを取るために、Zero Trust (ZT) アーキテクチャを導入する必要があります。Cloudflare Zero Trust は、安全で効率的なワークフローを実現するために設計されています。
ゴール
この記事では、Cloudflare Zero Trust を使用して Zero Trust アーキテクチャを導入するためのステップバイステップガイドを提供します。導入の目的は、マルウェアやフィッシングサイトへの接続を遮断し、コストを削減し、端末の管理を容易にすることです。
Zero Trust アーキテクチャ概要
Before/After
従来のセキュリティアーキテクチャでは、内部ネットワークにアクセスするユーザーとアプリケーションは、信頼された領域とみなされていました。しかし、Zero Trust アーキテクチャでは、すべてのユーザーとアプリケーションは、各自のアイデンティティと割り当てられたロールに基づいて評価されます。
After
Cloudflare Zero Trust を使用すると、次のことが実現できます。
- DNS フィルターを使用して、社内外問わず、リソースへのアクセスを制御できます。
- Security Category の適用を使用して、リスクを軽減できます。
- DEX を使用して、端末の情報と状態を容易に管理できます。
前提条件
必要な構成
- Cloudflare Secure Web Gateway の運用
- Gateway、WARP Client、DEX の使用
- Azure AD (Entra ID) を使用する IdP
必要な手順
- WARP インストール
- IdP 連携
- トラフィックポリシー作成(DNS)
導入手順
Phase 1: WARP インストール
WARP Client をインストールして、端末のファイアウォールを構成します。
Phase 2: IdP 連携
Azure AD (Entra ID) を使用して、IdP 連携を設定します。
Phase 3: トラフィックポリシー作成(DNS)
DNS フィルターを使用して、リソースへのアクセスを制御します。
ポリシー設定例
Security Category の適用
Security Category を使用して、リスクを軽減します。
動作確認
SSL インスペクションの確認
SSL インスペクションを確認して、HTTPS の安定性を確認します。
運用ポイント
SSL インスペクションについて
SSL インスペクションは、HTTPS の安定性を確認するために使用しますが、煩雑になりがちなので、まだ見送っている場合は、Cloudflare Zero Trust を使用して、SSL インスペクションを容易に管理できます。
導入効果
コストダウン
Cloudflare Zero Trust を使用すると、コストが削減されます。
端末の管理
DEX を使用すると、端末の情報と状態を容易に管理できます。
まとめ
Cloudflare Zero Trust を使用して、Zero Trust アーキテクチャを導入することで、リソースへのアクセスを制御し、リスクを軽減し、コストを削減し、端末の管理を容易にすることができます。
参考リンク
- Cloudflare Zero Trust
- Azure AD (Entra ID)
- WARP Client
- DEX