Cloudflare Zero Trust 実装

実施したいこと link

• １．インターネットアクセスのセキュリティ強化および可視化（SWG）
• ２．ローカルサーバへのVPNアクセス（SDP）

背景 link

ニュースで「Cloudflare One」が無償化？（うろ覚えだが）と見たため。

Cloudflare Zero Trust とは link

Cloudflare Zero Trustの公式docs上で、以下記載がある。

Cloudflare Zero Trust は、エンタープライズ アプリケーション、ユーザー、デバイス、ネットワークを保護する Secure Access Service Edge (SASE) プラットフォームの名称である Cloudflare One の一部です。

SWGやSDP（説明は別途）の機能も持ち合わせており、ライセンスの範囲内であれば個人での利用も可。
以下、SWGの実装と、SDPの実装で分けて記載する。

実装：SWG(Secure Web Gateway) link

• １．アカウント作成 link

  • https://dash.cloudflare.com/sign-up ←ここから作成。
  • ログイン後、「Zero Trust」で画面遷移。
    
    

• ２．Idpの設定（認証） link

  • 以下参考に、設定を行う。
  • https://developers.cloudflare.com/cloudflare-one/identity/idp-integration/
    
    
  • 「Settings」 > 「Authentication」で認証関連の設定へ移動。

  • 

  • 「Login Method」に、 https://developers.cloudflare.com/cloudflare-one/identity/idp-integration/google/を参考に、
  • Google Idpの設定を行う。
    
    

• ３．デバイス権限の設定（認可） link

  • 以下参考に、設定を行う。
  • https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/deployment/device-enrollment/
    
    
  • 「Settings」 > 「WARP Client」へ移動。

  • 

  • 「Device Enrollment」」の「Manage」へ移動。
  • ここで、Google Idpを利用したログインに指定する。
  • notifications

    しかし、設定した以外のGoogleアカウントもアプリを使えそう（？） 厳密に指定するのであれば、上記ルール指定時に「Email」属性も使うといいかも。

  • 

• ４．利用するクライアントでルート証明書をインストール link

  • 以下参考に、証明書を取得する。
  • https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/user-side-certificates/
    
    
  • クライアント⇔インターネット間のSSL通信を、Cloudflareがプロキシして検査する関係上、通信経路が、
  • クライアント⇔Cloudflare⇔インターネットというようになる。
    
    
  • そうすると、クライアントから見ると、帰ってくる証明書はCloudflareのものになる。
  • あらかじめ信頼済みとして登録してないと、証明書エラーが発生する。
    
    
  • 任意の証明書の利用も可能だが、ここではCloudflare発行の証明書を利用する。
  • 「Settings」 > 「Resource」 > 「Certificates」から、IN-USEとなっている証明書の3点リーダーをクリックして、ダウンロード。
    その後、インストール。

  • 

• ５．アプリのインストール link

  • WARPというアプリのインストールが必要。
  • 以下からインストール。
  • https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/download-warp/
    
    
  • デプロイ手順は、「Manual Deployment」を参考に。
  • https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/deployment/manual-deployment/
    
    
  • ここまでで、WARPクライアントでインターネット通信がプロキシされるはず。
    
    

• ６．ポリシーの設定 link

  • SWGのポリシーは以下の種類がある。
    
    

  • ・DNSポリシー link

    • DNSクエリの精査。
      
      

  • ・ネットワークポリシー link

    • TCP/UDPパケットの検査。
      
      

  • ・HTTPポリシー link

    • HTTPリクエストの検査。
      
      

  • ・Egressポリシー link

    • インターネットアクセスの際の送信元IPに、任意の固定IPを設定できる。
      
      

  • ・リゾルバーポリシー link

    • DNSクエリを任意のDNSサーバで解決するように設定できる。
      
      
  • 「Gateway」>「Firewall Policy」から、以下参考に実装。
  • 　https://developers.cloudflare.com/cloudflare-one/policies/gateway/
    
    
    
    

• 実装後、実際にWARPクライアントをONにしたうえでサイトへアクセスしてみると、
  「Logs」>「Gateway」からログを確認できる。

• notifications

  モードが2種類あり、「Gateway with DoH」はDNSクエリのみCloudflareで検査し、
  「Gateway with WARP」は、実際にHTTPS等をCloudflare側で復号して検査する。
  WARPクライアントに指定しているプロファイルによっては、これらのモードが選択できない場合もあるため、うまくプロキシできない場合には要チェック。

実装：SDP(Software Defined Perimeter) link

全体の大まかな流れとしては、LAN内に専用のサーバーを作成し、WARPクライアントとサーバーのアウトバウンド通信のそれぞれをつないでSDPを実装しているような感じ。後述の手順は、以下参考に作成。
https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/

• １．トンネルの作成 link

  • 「Access」>「Tunnel」から、Cloudflaredを選択。

  • 

  • トンネル名を付けて、CloudflaredをインストールするマシンのOSにしたがってスクリプトを取得する。
  • 私が実装したのは、Miracle Linuxで構成されているサーバーのため、Red Hatのスクリプトを取得する。
    
    
  • 出てきたスクリプトをサーバー上で実行すると、Cloudflare側の画面下部に以下が表示され、「接続済み」となる。

  • 

  • サーバー側ではサービスが作成され、systemctlで確認できる。

  • 

• ２．プライベートネットワークの設定 link

  • 接続したいプライベートネットワークを設定する。一旦サーバーのセグメントを指定。
  • パブリックホスト名は設定不要。

  • 

  • トンネルが作成され、「ステータス」がHEALTHYになっていればOK。

  • 

  • notifications

    他にも追加したいIPセグメントがあれば、追加する。

• ３．プロファイルの設定 link

  • 接続したいIPセグメントに対して、Cloudflareトンネルを通るように設定が必要。
  • デフォルトの設定では、プライベートIP宛ての通信は、Cloudflareではなくローカルに流れてしまう。
    
    
  • 「Settings」>「WARP Client」にある各プロファイルの設定画面に入り、以下セクションの設定を変更する。

  • 

  • 私の環境では、以下プライベートIPをすべて削除した。

  • 

  • notifications

    変更後、画面戻った後にはプロファイルの保存を忘れずに。

• ４．ポリシー設定 link

  • SWGの時と同じ要領で、ポリシーを設定する。
    
    
  • HTTPSの通信等、SSLが必要な通信に関しては、個人の環境では自己署名証明書のケースが多いと思われる。
  • その場合、証明書エラーではじかれるので、HTTPポリシーで証明書チェックをバイパスする設定が必要。

  • 

• ５．動作確認 link

  • 私の環境内でのUTM（FortiGate）でログを確認すると、該当通信の送信元IPアドレスが、Cloudflaredを実行しているサーバーとなっていることがわかる。

参考・引用 link

1. https://developers.cloudflare.com/cloudflare-one/setup/
2. https://developers.cloudflare.com/cloudflare-one/identity/idp-integration/
3. https://developers.cloudflare.com/cloudflare-one/identity/idp-integration/google/
4. https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/deployment/device-enrollment/
5. https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/user-side-certificates/
6. https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/download-warp/
7. https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/deployment/manual-deployment/
8. https://developers.cloudflare.com/cloudflare-one/policies/gateway/
9. https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/