新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

Zero Trustクライアントセッション

2022-03-18

2分で読了
この投稿はEnglish한국어Español简体中文でも表示されます。

本日より、ネットワークアクセスを制御するために定期的な認証を要求する Zero Trustルールの構築が可能になりました 。この機能は、長年、Webベースのアプリケーションでご利用可能となっていましたが、この度、TCP接続とUDPフローにこのレベルのきめ細かな提案を加えることが可能になりましたのでご案内いたします。

Zero Trustのクライアントベースセッションが一般に利用可能になったことをお知らせします。2021年のCIO Weekで、この機能のベータプログラムを発表しました。この一般利用可能なバージョンには初期のユーザーからのフィードバックが反映されています。この記事では、Zero Trustクライアントベースセッションがなぜ重要なのか、この機能がどのように機能するのか、そしてベータ版での新情報について、改めて説明します。

セッションを使用してトラフィックを保護

CloudflareのZero Trust Network Access(ZTNA)のセキュリティを強化するために、Zero Trustクライアントベースのセッションを構築しました。Zero Trustクライアントは、ユーザーの端末上で実行するソフトウェアで、端末からの送信されるすべてのトラフィックをインターネットに送信する前にCloudflareに転送します。これには、一般的に機密性の高いビジネスアプリケーションを格納する内部IPやホスト名宛てのトラフィックも含まれます。従来はこれらの機密性の高いアプリケーションへのアクセスに VPN を使用していました。VPNとは異なり、CloudflareのZTNAでは特定のリソースにアクセス権を持つユーザーに関して管理者がきめ細かなポリシーを設定できます。ただし、ユーザーが端末をZero Trustクライアントに登録した場合、そのセッションの持続が永続的である点が唯一の欠点です。この場合、ノートパソコン、共有ワークステーション、個人が所有するデバイスの紛失や盗難が、必要以上に大きなリスクになります。これを解決するために、当社ではZero Trustクライアントベースのセッションを構築しました。

Zero Trustクライアントベースのセッションでは、特定のリソースにアクセスしようとしたユーザーに対し、IDプロバイダーに関する再認証要求が表示されます。この認証ポップアップは、保護されたリソースにアクセスしようとしたときにのみ表示されます。したがって、セッションが不要なユーザーにポップアップは表示されることはありません。リソースに応じて、ユーザーが再認証する頻度を管理者が指定できますが、これは、ユーザーの最後の正常な認証記録が保存され、設定されたセッションに関するZTNAポリシーで評価されるためです。

ベータ期間中に判明したこと

Zero Trustのクライアントベースセッションのベータ期間中、お客様やCloudflare自身のセキュリティチームと密接に連携し、すぐに改善すべき点を洗い出しました。一般公開に先立ち、お節介なポップアップと、常に有効にできるとは限らないブラウザベースの認証を2つの主要な改善点として特定しました。認証用のポップアップを、過度に押しつけがましくならないようにユーザーに適度かつ適切に提供するための新しい戦略を策定しました。将来的には、認証用の通知を受け取るタイミングをユーザーが管理できるようにする予定です。もうひとつの改善点は、特定のマシンやオペレーティングシステムでは、ブラウザベースの認証が常に有効にできるとは限らないという点です。今後は、Zero Trustクライアントそのものから直接認証するオプションを追加する予定です。

次は何を?

これは、Zero Trustのクライアントベース認証の始まりに過ぎません。将来的には、多要素認証の拡張機能や、証明書やService Tokenを使用する自動登録のオプションも追加する予定です。使い方は簡単です。本ガイドに従って、Cloudflare Zero TrustダッシュボードでZero Trustクライアントベースのセッションをセットアップしてください。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
Security WeekゼロトラストCloudflare Zero TrustTCPセキュリティ

Xでフォロー

Kenny Johnson|@KennyJohnsonATX
Cloudflare|@cloudflare

関連ブログ投稿

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...