CloudflareのZero Trustについて初心者むけの情報が不足していると感じたので、まとめてみます。
🔒 そもそも「ゼロトラスト」とは?
「Zero Trust(ゼロトラスト)」は、直訳すると「なにも信頼しない」という意味になります。
従来とられていた「境界型セキュリティ」は、会社のネットワーク内(オフィス内など)に入ってしまえば、そこにいる人やデバイスは基本的に「安全」として扱っていました(いわば「お城の中にいれば安全」という性善説モデル)。
しかしコロナ禍によるテレワークの普及やクラウドサービスの利用増加により、社内外の様々なデバイスから企業のデータへアクセスするようになりました。サイバーセキュリティの脅威の増加などの背景もあり、従来の境界型なセキュリティ対策だけでは不十分になってきています。
そこで登場したのがこの ゼロトラスト です。
🔑 ゼロトラストの基本原則
- どんなネットワークであっても常に脅威になり得ることを想定する
- アクセスできる範囲は、その人が業務を行う上で必要最小限に絞る
- 継続的にモニタリングを行い、不審なアクティビティを検出できるようにする
つまり、「一度ログインしたからといって、その後ずっと自由に社内のあらゆる情報にアクセスできるわけではない」という考え方です。毎回「あなたは本当にアクセスして良い人(デバイス)ですか?」を確認するイメージです。
☁️ Cloudflare Zero Trust ってなに?
Cloudflare Zero Trust は、このゼロトラストの考え方を比較的簡単に、そして効率的に実現できるクラウドベースのサービスです。専門的な知識がそれほど多くない担当者でも導入を進めやすく、運用管理の負担も軽減できるように設計されています。
主な機能
| 機能名 | かんたんな説明 | 補足 |
|---|---|---|
| Access | 社内システムや特定のクラウドアプリケーションへのアクセスに、多要素認証などの強力なログイン制御を追加します。 | 誰が・いつ・どのデバイスから・何にアクセスできるかを細かく設定可能 |
| Gateway | 従業員がインターネットを閲覧する際に、フィッシングサイト、マルウェア配布サイトなどの危険なWebサイトや不正なアプリへのアクセスを自動でブロックします。 | DNSフィルタリングやHTTPインスペクションを通じて、有害なコンテンツからユーザーを保護。 |
| Tunnel | 社内ネットワークにあるサーバーやシステムに、従来のVPN装置なしで、Cloudflareのネットワーク経由で安全にアクセスできる暗号化された通路(トンネル)を作成します。 | Cloudflareの高速なグローバルネットワークを利用するため、パフォーマンスが向上する場合がある。 |
| Device Posture | 接続元のデバイス(PCやスマホ)が、OSのバージョンが最新か、特定のセキュリティソフトが動作しているかなど、予め定めたセキュリティ基準を満たしているかをチェックします。 | 安全でない状態のデバイスからのアクセスを制限することが可能。 |
これらの機能を活用することで、「信頼できないネットワーク」上でも安全に業務を行える環境を構築します。
また、Cloudflareは世界中に広がる高速なネットワークを持っており、ウェブサイトやアプリケーションの表示速度を向上させるCDN(コンテンツデリバリーネットワーク)やドメイン管理を行えるCloudflare Registrarといった多種多様なサービスも提供しています。これらを組み合わせることで、より包括的な対策を行えます。
✨試してみるには?
Cloudflare Zero Trustは、小規模なチームや個人から大企業まで対応できるよう、柔軟なプランが用意されています。多くの場合、無料から試せるプランや機能も提供されているため、まずは一部のユーザーやシステムで試験的に導入してみることも可能です。
✏️re4lityの実際の使用状況
私が実際に使用しているのはAccessというサービスになります。このサービスを用いて、自身のドメインでホストしているサークルの内部用サイトの閲覧権限の制御を行っています。詳しい設定などについては別記事でまとめます。
所属サークルが比較的小規模な組織であるためアカウントの無料枠内で実装できており、とても助かっています。
学生なのでCloudflareの収益に貢献することは全然できていませんが、こうやって自身の活用状況をまとめて1人でも多くの人がこのサービスに関心を寄せてもらえたらいいなという気持ちでこの記事を作成しています。