新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

CloudflareのセキュリティがZero Trustを実現する仕組み

2022-06-24

5分で読了
この投稿はEnglishFrançaisDeutsch한국어Español简体中文でも表示されます。

Cloudflare Oneウィークでは、従来のアプライアンスをZero Trustサービスに置き換える方法について書いた、シナリオブックを提供しました。自社製品を使うことは当社チームの文化とも言えるもので、Zero Trustを導入したときの経験を共有させていただけたらと思います。

How Cloudflare Security does Zero Trust

当社も多くのお客様と同じような道筋をたどってきました。セキュリティソリューションだけでなく、作業を必要以上に難しくしていたツールもより良いものにしたいと考えていました。当初は不便なVPNを使ったリモート接続に代わるものを探していましたが、すぐに従業員のWebブラウジングと電子メールを保護するZero Trustソリューションをデプロイしました。次は、新しい CASB の製品で、SaaSのセキュリティをアップグレードしていきたいと考えています。

Zero Trustの利用開始は敷居が高いと思われるかもしれません。そこで当社のたどってきた道筋を知っていただき、どのようなメリットを得ることができたのかを伝えられたらと考えています。

VPNを置き換える:Cloudflare Accessの始動

2015年当時、Cloudflareの内部でホストされているアプリケーションはすべて、ハードウェアベースのVPNを介して到達していました。オンコールエンジニアは、ノートパソコン上でクライアントを起動してVPNに接続し、Grafanaにログオンしていました。それはもどかしく、時間のかかるプロセスでした。

Cloudflareが作るプロダクトの多くは、自分たちのチームが直面している課題を直接的に解決するもので、Accessはその好例と言えるでしょう。2015年に社内プロジェクトとして発足したAccessにより、従業員はIDプロバイダーを通じて社内アプリケーションにアクセスできるようになりました。まずはAccessの背後にあるたった1つのアプリケーションで、インシデント応答時間の改善を目指しました。携帯電話で通知を受けたエンジニアは、リンクをタップし、ブラウザで認証した後、すぐに必要なアクセス可能になったのです。新しい認証フローを使い始めたら、あらゆるところに取り入れて欲しいという声が上がりました。セキュリティチームは最終的にCloudflareのアプリをAccessの背後に移動することを義務付けましたが、長い間、Accessは完全にオーガニック(自然流入)のままでした。そのため、チームは使用を熱望していました。

ネットワークエッジで認証を行うことで、VPNのような遅延もなく、世界中に分散した従業員を安全にサポートできるようになりました。さらに当社のチームは目下、最も安全で使用可能な認証メカニズムで内部アプリケーションを保護することに取り組んでおり、二要素認証は実装可能な最も重要なセキュリティコントロールの1つとなっています。Cloudflare Accessを使用することで、IDプロバイダーの強力な二要素認証メカニズムに依存することができます。

すべての第二認証要素が同じレベルのセキュリティを実現できるわけではありません。中間者攻撃(MITM)に対して脆弱な認証方式もあります。このような攻撃は、しばしば悪者がフィッシングによってワンタイムパスワードを盗み取り、プライベートリソースにアクセスする特徴があります。その可能性を排除するために、Cloudflareは FIDO2 対応のセキュリティキーを実装しました。FIDO2は、フィッシングを防ぐために設計された認証プロトコルであり、ソフトトークンに依存していた当時の状況を改善するものだと考えました。

FIDO2の導入には互換性という問題はあったものの、何としてもセキュリティ体制を強化したかったのです。Cloudflare Accessのおかげで、システムへのアクセスをFIDO2のみに限定することができました。Cloudflareの従業員は当社のアプリケーションにアクセスする際、ハードウェアキーを使用することが義務付けられました。Accessのオンボーディングは使い勝手の良さだけでなく、セキュリティキーの強化により、セキュリティ体制が大幅に改善されました。

脅威の軽減とデータ流出の防止:Gatewayとリモートブラウザの隔離

セキュアDNSの現場へのデプロイ

それから数年が経った2020年、多くのお客様のセキュリティチームは、オフィスで有効化した制御をリモートワーカーに展開する作業に苦心していました。そこで当社は、マルウェア、ランサムウェア、フィッシング、コマンドおよび制御、シャドーIT、その他のインターネット上のリスクから、すべてのポートとプロトコルを保護するCloudflare Gatewayをお客様に提供するサービスを開始しました。Gatewayは、お客様が導入されたポリシーに従ってトラフィックを誘導し、フィルタリングを行います。

当社のセキュリティチームは、まずGatewayの力を借りて、全オフィスにDNSフィルタリングを導入しました。Gatewayは1.1.1.1と同じネットワークの上に構築されているため、世界最速のDNSリゾルバであるCloudflareのオフィスでは、現在または将来的に、新たな遅延を発生させることなくDNSフィルタリングを行うことができます。各オフィスは最も近いデータセンターに保護された状態で接続します。

リモートユーザー向けのセキュアなDNSをデプロイ

CloudflareのWARPクライアントも、当社の1.1.1.1の上に構築されています。DNSリゾルバ。それはオフィス内で提供されるセキュリティとパフォーマンスを、遠隔地にある企業のデバイスにまで拡張します。WARPクライアントをデプロイすると、企業の端末は最寄りのCloudflareデータセンターに接続し、Cloudflare Gatewayにルーティングされます。企業の端末とインターネットの間に位置することで、端末からの接続全体をセキュアにし、さらにスピードとプライバシーを向上させることができます。

セキュアなDNSフィルタリングを遠隔地の従業員にも適用しようと努め、Cloudflare WARPクライアントを当社のエンドポイントデバイスにデプロイしました。これにより、当社のセキュリティチームは、DNS over HTTPS(DoH)上でDNSトラフィックを暗号化することで、プライバシーをより適切に保護できるようになりました。一方、Cloudflare Gatewayは、当社独自の脅威インテリジェンスプラットフォームである Radar に基づいてドメインを分類し、世界中のあらゆるユーザーのために高リスクで疑わしいドメインをブロックできるようにしています。

HTTPSフィルタリングとブラウザの分離を追加

DNSフィルタリングは貴重なセキュリティツールですが、ドメイン全体をブロックすることに限界があります。当社のチームはドメイン全体ではなく、悪意のあるURLだけをブロックする、より正確な手段を求めていました。Cloudflare Oneは統合プラットフォームであるため、すでにほとんどのデプロイは完了していました。あと必要なのはCloudflare Root CAをエンドポイントに追加し、Zero TrustダッシュボードでHTTPフィルタリングを有効にすることだけでした。このような簡単な手順で、よりきめ細かいブロック制御を実現することができたのです。

HTTPフィルタリングでは、精密なブロックに加え、 テナント制御 も実装可能です。テナント制御では、ゲートウェイのHTTPポリシーによって、企業のSaaSアプリケーションへのアクセスが規制されます。ポリシーは、カスタムHTTPヘッダーを使用して実装されます。カスタムリクエストヘッダーが存在し、リクエストが組織アカウントに向かう場合、アクセスは許可されます。リクエストヘッダーが存在し、リクエストが個人アカウントなどの非組織アカウントに向かう場合、リクエストはブロックされるか、隔離されたブラウザで開かれることになります。

DNSとHTTPのレイヤーでユーザーのトラフィック保護を確立後、ブラウザの分離を実装しました。ブラウザの分離を実装すると、すべてのブラウザコードはクラウド上のCloudflareのネットワークで実行されます。これにより、悪意のある攻撃や一般的なデータ流出技術からエンドポイントを分離することができます。リモートブラウザ隔離製品の中には、遅延が発生し、ユーザーがフラストレーションを感じてしまうものもあります。Cloudflareのブラウザの分離は当社のネットワークの力を使い、従業員にシームレスな体験を提供しています。ユーザーエクスペリエンスを損なうことなく、セキュリティ体制を迅速に改善することができました。

フィッシング攻撃を防止:オンボーディングArea 1メールセキュリティ

また、2020年初頭には従業員から報告されたフィッシングの試行回数が増加しました。クラウドメールプロバイダーは強力なスパムフィルタリングを備えていましたが、悪意のある脅威やその他の高度な攻撃をブロックすることはできませんでした。当社でもフィッシング攻撃の被害が増加し、頻度も増えていたことから、より徹底したメール対策を検討する必要があると考えました。

担当チームはベンダー選びの際に次の4つの点に注目しました。メールの添付ファイルをスキャンする機能、疑わしい悪意のあるリンクを分析する機能、ビジネスメールの漏えい保護機能、そして強固なAPIを備えていることをクラウドネイティブのメールプロバイダーに求めました。私たちは少なくない数のベンダーを試したあと、従業員を保護するにはArea 1が最適であるこという結論にたどり着いたのです。2020年の初めにArea 1のソリューションを実装すると、驚くべき成果が見られました。

製品に圧倒的な高評価をいただいたことと、Zero Trustポートフォリオを構築したいという思いから、 Cloudflareは、2022年4月にArea 1 Email Security の買収を行いました。当社が使用しているものと同じ保護機能をお客様に提供できることを嬉しく思います。

今後について:CloudflareのCASBを始めてみませんか

Cloudflareは、2022年2月にVectrix を買収しました。VectrixのCASBには、Cloudflare Oneへの追加が楽しみな機能があります。SaaSのセキュリティは多くのセキュリティチームにとってますます大きな関心事となっています。SaaSツール保存する機密データ量は増え続けるため、設定ミスや外部からのアクセスは大きな脅威となり得ます。しかし、このようなプラットフォームのセキュリティ確保は、リソース面で大きな課題となる可能性があります。設定ミスや外部からの共有ファイルに対する手動での確認は、時間がかかりますが、多くのお客様にとって不可欠なプロセスです。CASBは、SaaSインスタンスをスキャンし、わずか数クリックで脆弱性を特定することでセキュリティ標準を確保し、チームの負担を軽減します。

当社はSaaSセキュリティのベストプラクティスを確実に維持したいと考えており、多くのお客様と同様に、私たちも多くのSaaSアプリケーションをセキュリティで保護しています。常にプロセスを効率化する機会を求めているので、Zero Trustの最新製品の1つを搭載できることを嬉しく思っています。

機能の向上を常に追い求める

Cloudflareは自社製品のデプロイとテストに自信を持っています。セキュリティチームが製品と直接連携し、まずは自社製品を「ドッグフーディング」しています。より良いインターネットを構築することが当社の使命であり、そのために社内チームからの貴重なフィードバックを提供しています。Cloudflare製品の第一消費者として、セキュリティチームは会社をより安全に保つだけでなく、お客様のためにより良い製品を作ることに貢献しています。

Cloudflare Oneウィークはお楽しみいただけましたでしょうか。当社でのお話をシェアさせていただき、嬉しく思います。この一週間を振り返るには、 Cloudflare TVセグメント をご覧ください。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
Cloudflare One WeekセキュリティCloudflare Zero TrustゼロトラストCloudflare AccessDogfooding

Xでフォロー

Tim Obezuk|@obezuk
Cloudflare|@cloudflare

関連ブログ投稿

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...