3.9K Views
November 22, 23
スライド概要
Cloudflare Meet-up Tokyo Vol.2 登壇資料
Work at JapanDigitalDesign
Cloudflare Zero Trust と ふれあってみた Yuhei Takahashi 2023.09.06 © 2023 Japan Digital Design, Inc. 1
2023.09までに触ったことがあるCloudflare製品は Cloudflare Registrar のみでした CONFIDENTIAL © 2023 Japan Digital Design, Inc. 2
先に登壇が決まり、急遽ネタ探しをすることに CONFIDENTIAL © 2023 Japan Digital Design, Inc. 3
Cloudflare にもZero Trust サービスが…! CONFIDENTIAL © 2023 Japan Digital Design, Inc. 4
https://about.me/yuhei :Work - よくパブリッククラウドを触っています - 社内ITも対応していたりします - コーポレートカルチャー周りの取り組みもしています :Home 髙橋 祐平 Japan Digital Design inc. Technology and Development Div Engineer (Infra) - イヤイヤ期ビギナーの娘(2歳)に翻弄されています - 夜はもっぱらハイラル出張です - Google Local Guideのレベルアップが好きです(level.8) CONFIDENTIAL© 2023 Japan Digital Design, Inc. 5
三菱UFJフィナンシャル・グループの デジタル戦略子会社としてスピンアウト 会社概要 社名 Japan Digital Design株式会社 設立 2017年10月2日 代表者 代表取締役 CEO 浜根 吉男 従業員数 82名(2023年6月時点) 株主構成 株式会社三菱UFJフィナンシャル・グループ 株式会社三菱総合研究所 三菱UFJリサーチ&コンサルティング株式会社 CONFIDENTIAL © 2023 Japan Digital Design, Inc. 6
⾦融業界においても注⽬されているゼロトラスト CONFIDENTIAL © 2023 Japan Digital Design, Inc. 7
そもそもゼロトラストってなんだっけ ゼロトラスト (ZT) は、 ネットワークが侵害されている場合であっても、 情報システムやサービスにおいて、 各リクエストを正確かつ最⼩の権限となるようにアクセス判断する際の不確 実性を最⼩化するために設計された概念とアイデアの集合体のことである。 NIST SP800-207(原⽂および⽇本語訳)より抜粋 CONFIDENTIAL © 2023 Japan Digital Design, Inc. 8
ゼロトラストモデル: Never Trust, always verify (決して信⽤するな、常に検証せよ) CONFIDENTIAL © 2023 Japan Digital Design, Inc. 9
ゼロトラストを前提としたソリューションをまとめたフレームワーク: SASE (Secure Access Service Edge) CONFIDENTIAL © 2023 Japan Digital Design, Inc. 10
SASEで求められるサービス群 (データ元: Published 24 June 2022 Gartner®: 2022 Strategic Roadmap for SASE Convergence) CONFIDENTIAL © 2023 Japan Digital Design, Inc. 11
SASEで求められるサービス群 今回はこことふれあってみました (データ元: Published 24 June 2022 Gartner®: 2022 Strategic Roadmap for SASE Convergence) CONFIDENTIAL © 2023 Japan Digital Design, Inc. 12
Cloudflare RBI (Remote Browser Isolation) ブラウザを分離することで、脅威も分離する - Webコンテンツの読み込み/実行をエッジ環境で実行 - ユーザをマルウェア感染やゼロデイ攻撃から保護 - エージェントレスなRBIも可能 - ダウンロード/アップロード/クリップボード/キーボー ド入力/印刷機能の制限などルール構築が可能 - 使用する帯域幅も少なく、シームレスなユーザエクス ペリエンス CONFIDENTIAL © 2023 Japan Digital Design, Inc. 13
Cloudflare RBI と触れ合ってみる 1. Update Plan エージェントレスのみであればデモで可能なようだったが、 エージェントを使ってみたかったので。 (このあたりは詳しくみれていないです、もしかしたらできたの かも?どなたかぜひ🙏) CONFIDENTIAL © 2023 Japan Digital Design, Inc. 14
Cloudflare RBI と触れ合ってみる - WARP(VPNクライアント)エージェントのインストール 2.事前準備 - Cloudflare ルート証明書のインストール - IdP 登録 (今回は家庭で使っているGoogle Workspaceを使用) - Userごとの挙動制御を試すため ※今回ここは報告できず…またどこかで。 CONFIDENTIAL © 2023 Japan Digital Design, Inc. 15
Cloudflare RBI と触れ合ってみる Cloudflare RBI 用のHTTPポリシーを作成 (ザ・Firewall ポリシーでお手軽) 3. RBI用のHTTPポリシー作成 CONFIDENTIAL © 2023 Japan Digital Design, Inc. 16
Cloudflare RBI と触れ合ってみる Policy 1. Traffic: いかなるページも対象 - domain や IPでscope設定可 - 正規表現使えるの便利 3. RBI用のHTTPポリシー作成 - Cloudflare側でSecurityRiskがあると判断した ページ、という単位でも設定可 2. Action: Isolate - Allow/Blockなども可 3. Policy: コピペ禁止と印刷不可 - Download/UploadやKeyboard操作禁止など可 CONFIDENTIAL © 2023 Japan Digital Design, Inc. 17
Cloudflare RBI と触れ合ってみる Not Isolate まずはポリシー無効でアクセス 右クリックも普通に使える 4. Let’s Access CONFIDENTIAL © 2023 Japan Digital Design, Inc. 18
Cloudflare RBI と触れ合ってみる Now Isolate ポリシーを有効にしてみる 右クリックのメニューが英語に 4. Let’s Access CONFIDENTIAL © 2023 Japan Digital Design, Inc. 19
Cloudflare RBI と触れ合ってみる プリントしようとするとDisabled Now Isolate 4. Let’s Access コピーは効かず、貼り付けもグレーアウトに。 Scope を すべてのコンテンツにしているので、ページ遷移しても同様でした CONFIDENTIAL © 2023 Japan Digital Design, Inc. 20
Cloudflare RBI と触れ合ってみる 4. Let’s Access 通信の保護にはCloudflareルート証明書が使用されていることを確認 (Cloudflareを経由している) CONFIDENTIAL © 2023 Japan Digital Design, Inc. 21
Cloudflare RBI と触れ合ってみる httpのページにアクセスした場合…. 4. Let’s Access CONFIDENTIAL © 2023 Japan Digital Design, Inc. 22
Cloudflare RBI と触れ合ってみる Isolate されたログももちろん出力 4. Let’s Access CONFIDENTIAL © 2023 Japan Digital Design, Inc. 23
Cloudflare RBI と触れ合ってみる 4. Let’s Access 余談) Policy のAction をIsolate ではなく Block にすると…. CONFIDENTIAL © 2023 Japan Digital Design, Inc. 24
Cloudflare RBI と触れ合ってみる 4. Let’s Access 余談2) URLを使い、WARPを使わないエージェントレスなIsolate も可 (とりあえずWARPをOFFにして実行しましたが、他の端末でも同様でした) CONFIDENTIAL © 2023 Japan Digital Design, Inc. 25
ふれあってみた所感 とにかくサクサクで驚いた エッジ環境を噛ませているので、もっとラグがあるかと思いきや。 ほぼ気づかないレベルでした。(昔使っていたVDIレベルは覚悟していた) 設定もそこまで難儀しなかった まだ対応が英語のみのようだが、そこさえ問題なければ。 組織にどう適用させるか、がしっかり決まれば導入は容易そう。 他のCloudflare Zero Trust Suiteも気になる 他のサービスもセキュリティに加えパフォーマンスの高さを謳っていた。 また、RBIのみならず、他のサービスと使うことでSASEとしても包括的に対応できそう。 Cloudflare、好き… CONFIDENTIAL © 2023 Japan Digital Design, Inc. 26
Thank you. CONFIDENTIAL © 2022 Japan Digital Design, Inc. 27