☁️くもをもくもくまなぶ

最近、Cloudflare MeetupでCloudflare Zero Trustがクライアントからインターネットの通信をキャプチャできると聞いて、実際にどういったものか無料版できる範囲で設定を試してみたので、そちらの備忘です。

Cloudflare ゼロトラスト製品 | ハイブリッドワークを保護

Cloudflareのゼロトラスト製品は場所やデバイスを問わず、あらゆるアプリケーションからでもユーザーを安全に保護します。セキュリティを強化しましょう。

https://www.cloudflare.com

「デバイスやロケーションを問わず、すべてのユーザーがすべてのアプリケーションに簡単かつ安全にアクセスできるようにします。」と謳っています。

Cloudflare WARPというクライアントソフトウェアが必要になるので、ダウンロードします。

Download WARP · Cloudflare Zero Trust docs

You can download the WARP client from Zero Trust. To do that, go to Settings > Downloads and scroll down to Download the WARP client.

https://developers.cloudflare.com

WARPと聞くと、ターミナルを思い返したり。

Warp: Your terminal, reimagined

Warp is a modern, Rust-based terminal with AI built in so you and your team can build great software, faster. Now available on MacOS.

https://www.warp.dev

Firewall PoliciesでCloudflare Zero Trustで接続してくるクライアントの通信を制御するポリシーが設定できます。

セキュアWebゲートウェイ | 脅威からの保護

CloudflareのSecure Web Gateway（SWG）で、インターネットトラフィックをフィルタリング、検査、分離しましょう。ランサムウェア、フィッシング、その他のマルウェアをブロックしましょう。その仕組みをご覧ください。

https://www.cloudflare.com

最近も同じ要領でAdmin SDK APIを有効化したり、認証情報を取得しました。

Cloudflareは設定画面の右側に手順を記載しているので上から順に従っていく形で設定完了です。

https://astro.midnight480.com/posts/aws-appfabric-gws/#Google Cloud側での設定

ここまで設定すれば、あとはドメインのユーザであれば認証のたびに自動で追加されていくので楽です。

私は、検証の目的でデバイスにユーザを個別で割り当てたかったので、Google Cloud Identity Freeで増殖して利用しています。IDとしては、そのドメインのユーザであればよいので普通に認証が通ってCloudflare Zero Trustが使えます。

Cloud Identity とは - Cloud Identity ヘルプ

Cloud Identity は IDaaS（Identity as a Service）ソリューションであり、企業向けモバイル管理（EMM）サービスです。Google Workspace で利用できる ID サービスとエンドポイント管理をスタンドアロン型のサービスとして提供します。Cloud Identity を利用することで、管理者は Google 管理コンソールからユーザー、アプリ、デバイス

https://support.google.com

導入するデバイスによって少し進め方が変わります。

なお、一般ユーザ向けに配布しているWARPからTeamへログインすることで、

WARPという表示からZero Trustに変わります。

User-side certificates · Cloudflare Zero Trust docs

Advanced security features such as HTTPS traffic inspection, Data Loss Prevention, anti-virus scanning, and Browser Isolation require users to install …

https://developers.cloudflare.com

初めて開く画面があり少し戸惑いましたが以下の手順で完了しました。

‎1.1.1.1: Faster Internet

‎1.1.1.1 w/ WARP – the free app that makes your Internet more private. 1.1.1.1 w/ WARP makes your Internet more private and safer. No one should be able to snoop on what you do on the Internet. We’ve created 1.1.1.1 so that you can connect to the Internet securely anytime, anywhere. • A better way…

https://apps.apple.com

設定 > 一般 > VPNとデバイス管理 でCloudflare for Teams ECC Certificate Authority をインストール

設定 > 一般 > 情報 > 証明書信頼設定 で Cloudflare for Teams ECC Certificate Authority を信頼

アプリをインストールすると証明書の信頼確認が促されるポップアップが表示されたので承認して完了でした。

1.1.1.1 + WARP: Safer Internet - Apps on Google Play

A More Private Internet

https://play.google.com

WARPをインストールするときに証明書なども自動で設定されるのですぐにすんなりと接続できました。

App Center

https://install.appcenter.ms

最初に接続できなくて、手動手順を行いましたが、接続できなかった原因はそちらではなかったので、おそらくWARPインストール時に問題なく設置されていると思います。

App Center

https://install.appcenter.ms

ウィルス対策ソフト（ESET)が原因でした。

ESETはmacOS BigSurあたりから内部プロキシとして通信をキャプチャするような仕組みになりました。

自身で設定ができる方はいいとは思いますが、自分はできなかったのでESETを一時的に通信の対話モードへ切り替えて、WARPの接続を起動して通信を発生させて、追加させる対応を実施しました。

Google Workspaceはドライブなどは基本的にGoogleが内部でウィルススキャンなどをするので除外しつつ、その他にもTwitterやFacebookといったサービスも通信を検査除外しました。

このあたりはFirewall をGUIで設定したことがある人には抵抗のないところです。

DEX（Digital Experience Monitoring）で、クライアントからインターネットの経路などが見えるようになるとのことでWaitlistに登録しました。

Just a moment...

https://www.cloudflare.com

Cloudflare Zero Trustの設定自体は難しくもなかったです。

しばらく個人で運用してみようと思います。０ドルなので。

会社側にも良さそうで、カスタムの費用が気になります。

また、Egress（クライアント→Cloudflare→その先）も、

Dedicated egress IPsも設定できるようなので、

リモートワークかつ外部サービスに固定のIPアドレスが必要な環境としては使えそうです。

あと、海外からのアクセスになりすますときとかもユーザ単位で一時的に設定できそう。

Egress policies · Cloudflare Zero Trust docs

Only available on Enterprise plans.

https://developers.cloudflare.com

Dedicated egress IPs · Cloudflare Zero Trust docs

Only available on Enterprise plans.

https://developers.cloudflare.com