Cloudflare

Web Application 型 ゼロトラストネットワークアクセス
ーCloudflare ゼロトラストソリューションコラムー
連載第5回

はじめに

今回からは、Cloudflare の Access で利用できるゼロトラストネットワークアクセス (ZTNA) の紹介になります。

Access ではリモートアクセスの通信方式として大きく以下2つに分類され、お客様の業務形態に応じて選択が必要になります。

  • Web Application :Web ブラウザ通信型のリモートアクセス
  • WARP Client 型:VPNトンネル接続によるリモートアクセス

ここではゼロトラストの基本理念そのものの紹介はしませんが、今回のコラムでは、「Web Application 型 のリモートアクセス」についてZTNA がどのように実装されているか、その特徴を実際の導入手順を追いながら紹介します。

Web Application 型の特徴と導入の流れ

Web Application 型のリモートアクセスは、ゼロトラストネットワークアクセス (ZTNA) を理念として、従来の VPN システムでは必要だったVPN アプライアンス や VPN クライアントを必要とせずに、端末からは Web ブラウザだけで通信する方式です。
ただ、Web ブラウザで通信するために、通信は原則 Web アプリケーションのみに限定されます。

どの端末からのアクセスも可能にする一方で、ユーザ認証を必須とし、ユーザ ID や 属性、アプリケーション単位での細かい制御ができます。

Access の環境準備としては、固定的な VPN アプライアンスは不要ですが、通信対象となる Web サーバに社外からの通信経路を確保するために、Web サーバに cloudflared (デーモン) をインストールして、Web サーバ発信の Gateway トンネルを構成する必要があります。

このようなリモートアクセスを構成するために、以下より具体的な実装の流れを通じて紹介していきます。

Web Application 型の特徴と導入の流れ

① Identity Provider 認証の準備

Identity Provider との認証連携はオプションではありますが、利用するには Identity Provider 側の設定と合わせて準備する必要があります。
Web Application 型では、どの端末でも利用できるため、ユーザ認証は必須と考えた方がよいでしょう。

現在 Identity Provider を利用していない場合は、メールアドレスと認証コードによる簡易的なユーザ認証も可能です。(One-time PIN)
Cloudflare では現在以下のような Identity Provider に対応しています。( IdP 連携方法は省略)

Cloudflare で現在対応している Identity Provider

② Access 環境の準備

社外から 社内環境 または IaaS 環境の Web サーバにアクセスするにしても、当然ながら Web サーバへの通信経路がなければ通信できません。
Access では、WAN 接続するような固定的な VPN アプライアンスは必要ありませんが、Gateway 間でトンネル接続が必要になります。

Web Application 型では一般的に、Web サーバに cloudflared (エージェント) をインストールして、 Gateway とトンネル接続させます。
このトンネル接続により、Gateway から Web サーバへの通信経路が確保されます。

また、 VPN アプライナンスを無くし、トンネルを cloudflared 端末発信とすることで、外部からの攻撃に対してもより強固になりました。

Webサーバにcloudflaredをインストールし、自動的にGatewayとトンネルを張る

③ Web サーバの Public Hostname を設定

上記の Web サーバに cloudflared (エージェント) をインストールする構成の際に、Web サーバの Public Hostname を設定します。

Cloudflare のドメイン機能を利用して、外部から Public Hostname の名前解決できる仕組みを提供することで、Web ブラウザから Public Hostname でアクセスすることができます。

画像サンプルでは 、登録ドメイン [ example.com ] で Public Hostname を設定しています。

登録ドメイン [ example.com ] で Public Hostname を設定

④ Application ポリシーを設定する

Web Application 型では、ゼロトラストネットワークアクセス (ZTNA) の理念に沿って、様々なアプリケーションポリシーを設定できます。

Application ポリシーでは、利用できる Identity Provider の指定、アクセスできるユーザ ID やグループ属性での一致条件、Web アプリケーションのオプション設定、その他ブラウザ分離など追加のセキュリティ機能など、様々なポリシーを設定できます。

⑤ Web ブラウザで Public Hostname にアクセスする

端末の Web ブラウザで 対象 Web サーバの Public Hostname でアクセスすると、自動的に Cloudflare の IdP 認証画面にリダイレクトされ、指定された Identity Provider を選択してユーザ認証を行います。

Identity Provider を利用していない場合は、メールアドレスと One-Time PIN による簡易的なユーザ認証も可能です。

メールアドレスと One-Time PIN による簡易的なユーザ認証

例えば、 Azure AD 連携の場合は、Microsoft サインイン画面が表示され、ユーザ認証を実施します。

例)Azure AD 連携の場合のユーザ認証画面

⑥ 対象 Web サーバに通信できる

ユーザ認証の成功、および、事前に定義された Web Application ポリシーの一致条件を満たすと、その Web アクセスは Gateway から Web サーバにトンネル転送されて通信できるようになります。

Web Application 型が適している条件・制限される事項

以上、Web Application 型の導入の流れを説明した上で、Web Application 型が適している条件、また制限される事項をまとめてみました。

  • ゼロトラストネットワークアクセス (ZTNA) 理念に沿った導入をしたい
  • 個人所有 PC などどの端末からでもアクセスしたい
  • アプリケーション単位の細かなアクセス制御をしたい
  • Web ブラウザを使う通信なので、原則 Web アプリケーション通信に限定される
  • 従来の VPN システムから ZTNA システムへの移行のため設計変更が必要

おわりに

以上で、Web Application 型のリモートアクセスの紹介は終わりです。

次回のコラムでは、もう一方の WARP Client 型のリモートアクセスの紹介となりますが、ゼロトラストネットワークアクセス (ZTNA) を採用するにしても、現実的には、お客様の利用方法や通信形態によって、WARP Client 型 と Web Application 型の2つの実装の検討が必要になりますので、もし、Cloudflare のゼロトラストをご検討される場合は、両者の比較検討に少しでも役立てれば幸いです。

三井情報株式会社

執筆者:
三井情報株式会社
ソリューション技術グループ ソリューション第二技術本部 次世代基盤技術部 第二技術室