Introducing Clientless Web Isolation

本日、CloudflareのクライアントレスWeb分離のベータ版を発表いたします。これはブラウザの分離の新しいオンランプで、Zero Trust Network Access(ZTNA)とゼロデイ、フィッシング、データ損失防止をネイティブに統合し、あらゆるデバイスであらゆるWebサイト、社内アプリ、SaaSアプリケーションを閲覧するユーザーに対してリモートブラウジングの利点を提供します。エンドポイントデバイスにソフトウェアをインストールしたり、証明書を設定したりする必要はありません。

マネージドおよびアンマネージドデバイスのための安全なアクセス

2021年初頭、Cloudflareは、CloudflareのZero Trustプラットフォームとネイティブに統合された高速で安全なリモートブラウザであるブラウザの分離の一般提供を発表しました。このプラットフォームは、 Cloudflare for Teamsとも呼ばれ、当社のSecure Web Gatewayソリューション( ゲートウェイ )と、ZTNAソリューション( アクセス)による安全なインターネットアクセスとの結合を実現しています。

通常、管理者はCloudflareのデバイスクライアントをエンドポイントにデプロイし、Cloudflareが安全なDNSおよびHTTPSインターネットプロキシとして機能するように、ブラウザの分離を導入します。このモデルは、管理者がチームのデバイスを管理する際に、ユーザーと機密性の高いアプリケーションを保護します。また、エンドユーザーにとっては、ローカルブラウザのような摩擦のない体験となり、実際に近くのCloudflareデータセンターで稼働している安全なマシンでブラウジングしていることをほとんど意識することはないでしょう。

ブラウザの分離と安全なインターネットアクセスのエンドツーエンドの統合により、管理者は、ユーザーが近くのCloudflareデータセンターにある安全なマシンで実際に閲覧していることを意識せずに、チーム全体にブラウザの分離を簡単にデプロイすることができます。しかし、エンドポイントクライアントの管理は、アンマネージドデバイスのユーザーや、サードパーティーの組織が管理するデバイスの契約者にとって、設定のオーバーヘッドを追加する可能性があります。

CloudflareのクライアントレスWeb分離は、ハイパーリンクを通じてリモートブラウザへの接続を効率化します(例: https://<your-auth-domain>.cloudflareaccess.com/browser )。Cloudflare AccessがサポートするIDプロバイダーを通してユーザーが認証されると、ユーザーのブラウザはHTML5を使用して、ソフトウェアをインストールせずに近くのCloudflareデータセンターでホストされるリモートブラウザへの低遅延接続を確立します。管理・拡張するサーバーも、設定する地域もありません。

リスクの高いリンクを安全に閲覧する

電子メールやWebサイトのリンクをクリックするだけで、未知のゼロデイ脅威を悪用し、エンドポイントのを侵害する可能性のあるアクティブなWebコンテンツのペイロードをブラウザにダウンロードし、実行させることができます。

CloudflareのクライアントレスWeb分離は、プレフィックス付きURL(例: https://<your-auth-domain>.cloudflareaccess.com/browser/https://www.example.com)を通じて開始することが可能です。カスタムブロックページ、メールゲートウェイ、発券ツールに、リスクの高いリンクの前にブラウザの分離を設定するだけで、リスクの高いクリックを自動的にリモートブラウザに送り、ターゲットリンクに存在する可能性がある悪意のあるコードからエンドポイントを保護します。

Screenshot of clientless web isolation homepage

ここCloudflareでは、Cloudflareを保護するためにCloudflareの製品を使用しており、実際、このクライアントレスWeb分離アプローチを私たち自身のセキュリティ調査活動にも使用しています。リスクの高いリンクの前に認証ドメインを付けることで、当社のセキュリティチームは、潜在的に悪意のあるWebサイトやフィッシングサイトを安全に調査することができます。

危険なコードが従業員の端末に到達することなく、調査が終了すると、リモートブラウザは終了し、次の調査のために既知のクリーンな状態にリセットされます。

Zero Trustアクセスとリモートブラウジングを統合

企業のデータには管理されたネットワーク内のマネージドデバイスからのみアクセスできる時代はとうの昔に過ぎ去りました。アプリケーションアクセスがマネージドデバイスからのみ行われることを確認するための厳格なデバイスポスチュア制御に依存している企業には、請負業者やBYODワークフォースをサポートするためのツールがほとんどありませんでした。これまで管理者は、コストとリソースのかかる仮想デスクトップインフラ(VDI)環境を導入することで、この問題に対処してきました。

さらに、アプリケーションへのアクセスを保護する場合、Cloudflare Accessは、ユーザーデバイスにクライアントソフトウェアをインストールすることなく、Webベースのアプリケーションに最小特権とデフォルト拒否のポリシーを適用することに優れています。

CloudflareのクライアントレスWeb分離はZTNAのユースケースを増強し、ローカル印刷コントロール、クリップボード、ファイルアップロード/ダウンロード制限など、Accessおよびゲートウェイで保護されたアプリケーションがブラウザの分離データ保護コントロールを利用して、アンマネージドデバイスに機密データが転送されないようにしす。

隔離されたリンクは、アクセス  アプリランチャー ブックマークとして簡単に追加できるため、チームや契約社員がワンクリックで簡単にどのサイトにもアクセスできるようにすることができます。

Screenshot of Access App Launcher bookmark linking to Browser Isolation

最後に、リモートブラウザが侵害の影響を軽減するからといって、インターネットへのアクセスが管理されないままでよいというわけではありません。リモートブラウザからターゲットWebサイトへのすべてのトラフィックは、CloudflareのSWGソリューション(ゲートウェイ)によって保護、検査、記録され、HTTPポリシーと アンチウイルススキャンによって既知の脅威がフィルタリングされるようにします。

クライアントレスWeb分離のベータ版に参加

クライアントレスなWeb分離は、Cloudflare for Teamsの加入者で、ブラウザの分離をプランに追加している場合に、機能として利用できるようになります。近日中にCloudflareのクライアントレスWeb分離機能のベータ版へのアクセスを開始する予定です。参加にご興味のある方は、こちらからサインアップしてください。お知らせをいち早くお届けします。

私たちは、クライアントレスWeb分離モデルによる安全なブラウジングとアプリケーションアクセスのユースケースに興奮しています。現在、あらゆる規模のチームが、世界のどこにいても、アンマネージドデバイスにシームレスなZero Trust接続を提供できるようになりました。