デバイスの姿勢
Cloudflare Zero Trustを使用すると、WARPクライアントやサードパーティのエンドポイントセキュリティプロバイダーからの追加のシグナルに基づいてZero Trustポリシーを構成できます。デバイスの姿勢チェックが構成されている場合、ユーザーは管理されたデバイスまたは健康なデバイスを持っている場合にのみ、保護されたアプリケーションまたはネットワークリソースに接続できます。
セットアップ手順と要件は、デバイスの姿勢属性によって異なります。以下のリンクを参照して、プロバイダーのセットアップガイドを確認してください。
- WARPクライアントチェックはCloudflare WARPクライアントによって実行されます。
- サービス間チェックはサードパーティのデバイス姿勢プロバイダーによって実行されます。
- アクセス統合チェックは、Accessアプリケーションに対してのみ構成可能です。これらの属性はGatewayポリシーでは使用できません。
GatewayまたはAccessポリシーにデバイスの姿勢チェックを統合する前に、合格/不合格の結果が期待通りであることを確認してください。特定のデバイスの最新のテスト結果を表示するには:
- Zero Trust ↗に移動し、My Team > Devicesを選択します。
- デバイスを選択します。
- View detailsを選択します。
- Posture checksタブを選択します。
デバイスの姿勢チェックをAccessポリシーまたはGatewayのネットワークまたはHTTPポリシーで使用できます。Accessでは、有効なデバイスの姿勢属性が利用可能なセレクターのリストに表示されます。Gatewayでは、Passed Device Posture Checkセレクターを選択すると属性が表示されます。
WARPクライアントおよびサービス間の姿勢チェックは、デバイスの姿勢情報を検出するためにトラフィックがWARPを通過することに依存しています。Split Tunnel構成で、以下のドメインがWARPに含まれていることを確認してください:
- アクセスポリシーの一部として姿勢チェックが行われる場合にCloudflare Zero Trustに認証するために使用されるIdP。
- アクセスポリシーの一部として姿勢チェックが行われる場合の
<your-team-name>.cloudflareaccess.com。 - アクセスまたはGatewayポリシーによって保護されているアプリケーション。
Accessは、姿勢チェックのために設定されたポーリング頻度と同じレートでデバイスの姿勢の変化を検出します。
Gatewayは、すべてのリクエストでネットワークおよびHTTPポリシーを評価するため、姿勢結果のローカルキャッシュを維持し、これは5分ごとにのみ更新されます。したがって、Gatewayポリシーには追加の5分の遅延がかかります。たとえば、ポーリング頻度を10分に設定した場合、Gatewayがデバイスの姿勢の変化を検出するまでに最大15分かかることがあります。
flowchart LR accTitle: デバイス姿勢ポリシーの適用 A[デバイス] --schedule--> B[WARPクライアント]--> C((Cloudflare)) --> D[アクセスポリシー] C --5 min--> E[キャッシュ] --> F[Gatewayポリシー] A --> G[サービスプロバイダー] --interval--> C
デフォルトでは、Cloudflare上の姿勢結果は新しいデータによって上書きされるまで有効です。expiration時間を指定するには、APIを使用してください。ポーリング頻度よりも長い有効期限を設定することをお勧めします。
デフォルトでは、WARPクライアントはデバイスの状態変化を5分ごとにポーリングします。ポーリング頻度を変更するには、APIを使用してscheduleパラメータを更新してください。
サービス間統合を設定する際に、CloudflareがサードパーティAPIをどのくらいの頻度でクエリするかを決定するためのポーリング頻度を選択します。APIを介してポーリング頻度を設定するには、intervalパラメータを使用してください。