CloudFlare Zero Trustってなんだ? | ブログ
🌥

CloudFlare Zero Trustってなんだ?

CloudFlare

0.四行で

  1. ランサムウェアの実情、ゼロトラストについて調べた
  2. CloudFlare Zero Trusについて調べた
  3. 実際の自社運用方法を考えた
  4. まとめ


1.ランサムウェアの実情、ゼロトラストについて調べた

ランサムウェア、こえ~

piyokango(https://x.com/piyokango)さんをフォローしていると毎日のようにランサムウェアの
ニュースを見る
また、HackManac(https://x.com/H4ckManac)でも、日本だけではなく世界中で被害発生を確認できる。


本当に、明日は我が身だ

実際のランサム被害経由

警視庁の公開している"サイバー空間をめぐる脅威の情勢等"
を見るに、RDP、VPNの感染経由が主となっている



VPNやRDPはとても便利だが、パスワード流出やVPN機器の脆弱性を突かれて一旦内側に入られてしまうと、内側ではやりたい放題できてしまう。 その結果情報の流出や身代金の請求、業務の停止、信用問題に関わる。
企業として、情シスとして何よりも優先すべき案件なのだ。

既存のシステムじゃダメなの?

EDRやUTMも、基本的には既知のウィルスにしか対応していないのが現状。
ふるまい検知やパターンマッチング、機械学習込みでも未知のものに関しては対処できないこともある。
ホワイトリスト型の製品はそもそも動作をさせない、というモットーな為ウィルスがそもそも動作しないという強みがあるが、
ソフトウェアの許可やコンソール画面での管理が企業が大きいとかなり大変。


また、そもそもEDR製品のアップデート等を怠っている場合や、全く整備していない端末をユーザが勝手に使用している場合はどうしようもない。
情シスが常に監視している暇があるわけもなく、人間どこかしら必ずミスするものと仮定したセキュリティ対策を行う必要があるのだ。

参照:ESET NGAVとは

ゼロトラストって...?

そこで"ゼロトラスト"という考え方である

ゼロトラストとはゼロ(0)のトラスト(信頼、信用)の意

"何も信頼しない"をモットーにセキュリティ対策を考えることである

具体的な概要としては上図のような感じで、

1.ユーザがリソースにアクセス
2.アクセス時にIDプロバイダーがユーザを認証
3.ポリシーエンジンが権限、デバイスのセキュリティ、アクセス元の安全性、時間や場所 等の情報を判断


つまり
どのような通信もすべて認証し続けて、明確に許可されているトラフィックのみ通す

ものである。
既存のVPNとの違いとして、Tunnelを作り暗号化通信をするのではなく、そもそもVPNを使用せずクライアントの認証のみで行うもの、である
これによりVPN機器の脆弱性により内部に侵入されることや、VPNのID、パスワードの流出によるインシデントの発生を防げる。

2.CloudFlare Zero Trustについて調べた

クラウドフレア社が提供する、上記ゼロトラストを構成できる製品。

https://www.cloudflare.com/ja-jp/zero-trust/

特徴

①ユーザーとアプリケーション単位での詳細なアクセス制御、検証
②Cloudflareのグローバルネットワークを活用することでエッジ(近いサーバー)に接続
③ランサムウェアの主な感染源であるVPN機器が不要になる(WARPアプリで各機器認証)
④アクセスログ、フィルタリングログの保存、分析(無償版だと24hまで)
⑤50人まで無料

機能
①セキュア+高速なWebゲートウェイ、Cloudflare Gateway機能

主に既知・未知の脅威を防ぎ、ネットワーク全体のトラフィックを監視可能
クラウド上で包括的に監視、ログ確認できるからイイ!
https://www.cloudflare.com/ja-jp/zero-trust/products/gateway/

②Warpによる個別個別の機器認証の通信

デスクトップ、モバイルアプリであり、CloudFlareでゼロトラストのVPNを行うため
認証をするためのもの。(YAMAHAのクライアントアプリ的な)
VPN機器とは違い、CloudFlareGetewayで常に監視し続ける

③WireGuardによるVPNの構成

CloudFlareZeroTrustのエッジサーバーと、Warpアプリとの通信にWireGuardを使用してVPNを実現している。

参照:WireGuard

IPsec方式との差異として、
①モバイルでも高速
②設定が簡単
③暗号化方式のパターンが最新のみ

となっている。
Cloudflare Accessによって社内リソース(オンプレ、NAS)へのアクセスも制御を行うことが可能

3.実際の自社運用方法を考えた

現状

詳細は語らないが、太古からよくある構成としてのYAMAHA RTXでトンネルで拠点間接続
RTXの機能としてVPNもあり、自宅や外出先から拠点間接続。
いくつか問題点がある

①VPN機器の脆弱性を突かれる可能性
②VPN機器のパスワード流出
③VPN機器のメンテナンス工数
④UTM機器のアップデート
⑤UTM機器の全ログ監視

これらについて、CloudFlareZeroTrustの機能を使用すると以下が理想か

理想 
①VPN機器の脆弱性を突かれる可能性
 ⇒ VPN機器を使用しない為解決
②VPN機器のパスワード流出
 ⇒ VPN機器を使用しない為解決
③VPN機器のメンテナンス工数
 ⇒ VPN機器を使用しない為解決
④UTM機器のアップデート
 ⇒ UTM機器を使用しない為解決
④UTM機器の全ログ監視 
 ⇒ 全ログをCloudflareのポリシーエンジンが管理+監視を行なう

さらに副次的効果でCloudFlare社の他サービスも本格導入も視野に入れられ、
アップデートもクラウド製品な為行わずに済む。
ただ、EDP製品はフィッシング対策で必要か。
また、多層防御を込みで高度なセキュリティを構築する場合UTMはあってもいいかも。

4.まとめ

今回はちらっと調べてみた結果だが、CloudFlareZeroTrustは割とスモールに導入できそうな感はある。
ただ大規模ネットワークや事業の場合、綿密な計画を経て段階的に導入することが望ましいか。


自宅の鯖+ラズパイとかと組み合わせて遊んでみるのがよさそうだ!
構成後また記事にしたい

共有する