2022年5月、「Cloudflare Zero Trust」が無料で提供開始となりました。以前より「Cloudflare Freeプラン」内で同じことはできていた模様ですが、製品のリブランディングでゼロトラストという名前が与えられ、本家Cloudflareからもやや独立した売り方をしています。ゼロトラストって言葉入れときゃいいんでしょ、的な。
少し触ってみました。
■「Cloudflare Zero Trust」の特徴・良い点
・IdpとWEBファイアウォールが合体している、しかも50人まで無料
・SSLインスペクションができる
・めっちゃシンプル、わりきった機能とメニューでわかりやすい
・個人ユースの場合、AV&WEBファイアウォールがただで使えるので、無料のアンチウイルス+WEBファイアウォール製品を入れなくても良い。※デフォルトのWindowsDefender + Cloudflare Zero Trustで安全。(Sophos Homeが無料で使えるのであまり利点ではないけど)
・スマホ、タブレットもAV&WEBファイアウォールを通せるので安全に使える
■ここがちょっと・・
・逆に細かく設定できない、ログが細かく見れない
・IdpとWEBファイアウォールしかない
・固定IPを取得できない
・VPNで安全とか言ってるけど、いや今日日HTTPSだからウリ文句になんないでしょ
SSLインスペクションでSSLの中身を解いてアンチウイルスかけてくれたりして嬉しいんだけど、そこまでやるならDLPとCASBもつけてくださいよ。ってかうちの会社はDLPをやりてーんだよ。
設定についてはメニューもかなり絞られているので簡単でわかりやすいかと思いますがゼロトラストが新しい概念なので、製品を理解するのにまる1日かかってしまいました。設定方法や説明を掲載してくださっている方のリンクをまず紹介
「Cloudflare Zero Trust」 で組織のゼロトラストネットワークを構成する
https://zenn.dev/hiroe_orz17/articles/67f63b9c7a9da5
ゼロトラスト・アーキテクチャを無料で(やれるだけ)実現する
https://www.slideshare.net/KeioOyama/ss-248376579
VPN装置やファイアウォールを無料でクラウド化! より使いやすく進化した「Cloudflare Zero Trust」
https://internet.watch.impress.co.jp/docs/column/shimizu/1410247.html
上記サイトを見れば製品理解と設定はできてしまうと思います。細かい補足をしていこうと思います。
■ノウハウなど
この製品で使われる設定項目ですが、
Gateway=WEBファイアウォールの設定
Access=SSOとアプリケーションProxyの設定
と思って頂くとわかりやすいかと。逆に今2つしか機能がありません。
この製品がよくわからんのは”Setting”からファイアウォールの設定を一部行うこと。Gatewayのメニューの中に配置しなかったのはなぜだ・・?TLS decryptionやAV Inspectionを有効にしておきます。証明書のインストールは”信頼されたルート証明機関”に配置。
Security Riskを全般的に”HTTP”のセクションでブロック設定。
DNS&NetworkでよくあるWEBカテゴリベースのフィルタ設定ができます
