今回からは、Cloudflare の Access で利用できるゼロトラストネットワークアクセス (ZTNA) の紹介になります。
Access ではリモートアクセスの通信方式として大きく以下2つに分類され、お客様の業務形態に応じて選択が必要になります。
ここではゼロトラストの基本理念そのものの紹介はしませんが、今回のコラムでは、「Web Application 型 のリモートアクセス」についてZTNA がどのように実装されているか、その特徴を実際の導入手順を追いながら紹介します。
Web Application 型のリモートアクセスは、ゼロトラストネットワークアクセス (ZTNA) を理念として、従来の VPN システムでは必要だったVPN アプライアンス や VPN クライアントを必要とせずに、端末からは Web ブラウザだけで通信する方式です。
ただ、Web ブラウザで通信するために、通信は原則 Web アプリケーションのみに限定されます。
どの端末からのアクセスも可能にする一方で、ユーザ認証を必須とし、ユーザ ID や 属性、アプリケーション単位での細かい制御ができます。
Access の環境準備としては、固定的な VPN アプライアンスは不要ですが、通信対象となる Web サーバに社外からの通信経路を確保するために、Web サーバに cloudflared (デーモン) をインストールして、Web サーバ発信の Gateway トンネルを構成する必要があります。
このようなリモートアクセスを構成するために、以下より具体的な実装の流れを通じて紹介していきます。
Identity Provider との認証連携はオプションではありますが、利用するには Identity Provider 側の設定と合わせて準備する必要があります。
Web Application 型では、どの端末でも利用できるため、ユーザ認証は必須と考えた方がよいでしょう。
現在 Identity Provider を利用していない場合は、メールアドレスと認証コードによる簡易的なユーザ認証も可能です。(One-time PIN)
Cloudflare では現在以下のような Identity Provider に対応しています。( IdP 連携方法は省略)
社外から 社内環境 または IaaS 環境の Web サーバにアクセスするにしても、当然ながら Web サーバへの通信経路がなければ通信できません。
Access では、WAN 接続するような固定的な VPN アプライアンスは必要ありませんが、Gateway 間でトンネル接続が必要になります。
Web Application 型では一般的に、Web サーバに cloudflared (エージェント) をインストールして、 Gateway とトンネル接続させます。
このトンネル接続により、Gateway から Web サーバへの通信経路が確保されます。
また、 VPN アプライナンスを無くし、トンネルを cloudflared 端末発信とすることで、外部からの攻撃に対してもより強固になりました。
上記の Web サーバに cloudflared (エージェント) をインストールする構成の際に、Web サーバの Public Hostname を設定します。
Cloudflare のドメイン機能を利用して、外部から Public Hostname の名前解決できる仕組みを提供することで、Web ブラウザから Public Hostname でアクセスすることができます。
画像サンプルでは 、登録ドメイン [ example.com ] で Public Hostname を設定しています。
Web Application 型では、ゼロトラストネットワークアクセス (ZTNA) の理念に沿って、様々なアプリケーションポリシーを設定できます。
Application ポリシーでは、利用できる Identity Provider の指定、アクセスできるユーザ ID やグループ属性での一致条件、Web アプリケーションのオプション設定、その他ブラウザ分離など追加のセキュリティ機能など、様々なポリシーを設定できます。
端末の Web ブラウザで 対象 Web サーバの Public Hostname でアクセスすると、自動的に Cloudflare の IdP 認証画面にリダイレクトされ、指定された Identity Provider を選択してユーザ認証を行います。
Identity Provider を利用していない場合は、メールアドレスと One-Time PIN による簡易的なユーザ認証も可能です。
例えば、 Azure AD 連携の場合は、Microsoft サインイン画面が表示され、ユーザ認証を実施します。
ユーザ認証の成功、および、事前に定義された Web Application ポリシーの一致条件を満たすと、その Web アクセスは Gateway から Web サーバにトンネル転送されて通信できるようになります。
以上、Web Application 型の導入の流れを説明した上で、Web Application 型が適している条件、また制限される事項をまとめてみました。
以上で、Web Application 型のリモートアクセスの紹介は終わりです。
次回のコラムでは、もう一方の WARP Client 型のリモートアクセスの紹介となりますが、ゼロトラストネットワークアクセス (ZTNA) を採用するにしても、現実的には、お客様の利用方法や通信形態によって、WARP Client 型 と Web Application 型の2つの実装の検討が必要になりますので、もし、Cloudflare のゼロトラストをご検討される場合は、両者の比較検討に少しでも役立てれば幸いです。
執筆者:
三井情報株式会社
ソリューション技術グループ ソリューション第二技術本部 次世代基盤技術部 第二技術室