本日より、ネットワークアクセスを制御するために定期的な認証を要求する Zero Trustルールの構築が可能になりました 。この機能は、長年、Webベースのアプリケーションでご利用可能となっていましたが、この度、TCP接続とUDPフローにこのレベルのきめ細かな提案を加えることが可能になりましたのでご案内いたします。
Zero Trustのクライアントベースセッションが一般に利用可能になったことをお知らせします。2021年のCIO Weekで、この機能のベータプログラムを発表しました。この一般利用可能なバージョンには初期のユーザーからのフィードバックが反映されています。この記事では、Zero Trustクライアントベースセッションがなぜ重要なのか、この機能がどのように機能するのか、そしてベータ版での新情報について、改めて説明します。
セッションを使用してトラフィックを保護
CloudflareのZero Trust Network Access(ZTNA)のセキュリティを強化するために、Zero Trustクライアントベースのセッションを構築しました。Zero Trustクライアントは、ユーザーの端末上で実行するソフトウェアで、端末からの送信されるすべてのトラフィックをインターネットに送信する前にCloudflareに転送します。これには、一般的に機密性の高いビジネスアプリケーションを格納する内部IPやホスト名宛てのトラフィックも含まれます。従来はこれらの機密性の高いアプリケーションへのアクセスに VPN を使用していました。VPNとは異なり、CloudflareのZTNAでは特定のリソースにアクセス権を持つユーザーに関して管理者がきめ細かなポリシーを設定できます。ただし、ユーザーが端末をZero Trustクライアントに登録した場合、そのセッションの持続が永続的である点が唯一の欠点です。この場合、ノートパソコン、共有ワークステーション、個人が所有するデバイスの紛失や盗難が、必要以上に大きなリスクになります。これを解決するために、当社ではZero Trustクライアントベースのセッションを構築しました。
Zero Trustクライアントベースのセッションでは、特定のリソースにアクセスしようとしたユーザーに対し、IDプロバイダーに関する再認証要求が表示されます。この認証ポップアップは、保護されたリソースにアクセスしようとしたときにのみ表示されます。したがって、セッションが不要なユーザーにポップアップは表示されることはありません。リソースに応じて、ユーザーが再認証する頻度を管理者が指定できますが、これは、ユーザーの最後の正常な認証記録が保存され、設定されたセッションに関するZTNAポリシーで評価されるためです。
ベータ期間中に判明したこと
Zero Trustのクライアントベースセッションのベータ期間中、お客様やCloudflare自身のセキュリティチームと密接に連携し、すぐに改善すべき点を洗い出しました。一般公開に先立ち、お節介なポップアップと、常に有効にできるとは限らないブラウザベースの認証を2つの主要な改善点として特定しました。認証用のポップアップを、過度に押しつけがましくならないようにユーザーに適度かつ適切に提供するための新しい戦略を策定しました。将来的には、認証用の通知を受け取るタイミングをユーザーが管理できるようにする予定です。もうひとつの改善点は、特定のマシンやオペレーティングシステムでは、ブラウザベースの認証が常に有効にできるとは限らないという点です。今後は、Zero Trustクライアントそのものから直接認証するオプションを追加する予定です。
次は何を?
これは、Zero Trustのクライアントベース認証の始まりに過ぎません。将来的には、多要素認証の拡張機能や、証明書やService Tokenを使用する自動登録のオプションも追加する予定です。使い方は簡単です。本ガイドに従って、Cloudflare Zero TrustダッシュボードでZero Trustクライアントベースのセッションをセットアップしてください。