クライアントレスウェブアイソレーション
クライアントレスウェブアイソレーションを使用すると、ユーザーはデバイスにCloudflare WARPクライアントをインストールすることなく、高リスクまたは機密性の高いウェブサイトをリモートブラウザで安全に閲覧できます。
- In Zero Trust ↗, go to Settings > Browser Isolation.
- Enable Clientless Web Isolation.
- 権限を設定するには、管理を選択します。認証方法やルールを追加して、リモートブラウザにアクセスできるユーザーを制御できます。
ゲートウェイは、DNSポリシーを介して、アイソレートされたセッションのDNSクエリをフィルタリングおよび解決します。エンタープライズユーザーは、リゾルバポリシーを作成することで、プライベートリゾルバを介してのみ利用可能なドメインを解決できます。
ゲートウェイのDNSおよびリゾルバポリシーは、デバイスの設定に関係なく、クライアントレスウェブアイソレーションのトラフィックに常に適用されます。
クライアントレスウェブアイソレーションは、<your-team-name>が組織のチーム名であるプレフィックス付きURLを介して実装されます。
https://<your-team-name>.cloudflareaccess.com/browser/<URL>たとえば、www.example.comをアイソレートするには、ユーザーは好みのブラウザでhttps://<your-team-name>.cloudflareaccess.com/browser/https://www.example.com/にアクセスします。
<url>が提供されていない場合、ユーザーはターゲットURLを入力したり、ウェブサイトを検索したりできるCloudflare Zero Trustのランディングページが表示されます。
ユーザーがクライアントレスウェブアイソレーションURLを介してウェブサイトにアクセスすると、トラフィックはCloudflare Gatewayを通過します。これにより、ユーザーのデバイスにWARPがインストールされていなくても、リモートブラウザが接続できるウェブサイトを制御するためにHTTPポリシーを適用できます。
たとえば、サードパーティのセキュアウェブゲートウェイを使用してexample.comをブロックする場合、ユーザーはhttps://<your-team-name>.cloudflareaccess.com/browser/https://www.example.com/にアクセスすることでリモートブラウザでページにアクセスできます。https://<your-team-name>.cloudflareaccess.com/browser/https://www.example.com/をブロックするには、example.comをブロックするCloudflare Gateway HTTPポリシーを作成します。
| Selector | Operator | Value | Action |
|---|---|---|---|
| Domain | in | example.com | Block |
TLS復号化がオンになっている場合、ゲートウェイはクライアントレスウェブアイソレーションURLを介してアクセスされるすべてのサイトを復号化します。TLS復号化と互換性のないサイトに接続するには、アプリケーションまたはドメインに対して「検査しない」HTTPポリシーを追加する必要があります。
| Selector | Operator | Value | Action |
|---|---|---|---|
| Domain | is | mysite.com | Do Not Inspect |
クライアントレスウェブアイソレーションを使用すると、ユーザーはCloudflare Tunnelを介して接続された任意のプライベートIPリソースにアクセスできます。詳細については、プライベートネットワークに接続するを参照してください。
たとえば、トンネルに192.0.2.1を追加した場合、ユーザーはリモートブラウザを介してhttps://<your-team-name>.cloudflareaccess.com/browser/http://192.0.2.1にアクセスすることでアプリケーションに接続できます。
コピー/ペースト、印刷、またはキーボード入力を無効にするなどのリモートブラウザコントロールを設定できます。これらの設定は、アイソレートアクションを選択したときにゲートウェイのHTTPポリシービルダーに表示されます。
クライアントレスウェブアイソレーションには、埋め込まれたアドレスバーがあります。この機能は、プレフィックス付きURLを持つアイソレートされたページを訪問する際のユーザーの体験を向上させるために設計されています。
クライアントレスアドレスバーには、ホスト名ノッチ、フルアドレスバー、隠しの3つのビューがあります。ユーザーが選択したビューは、ドメインやリモートブラウジングセッションを超えて記憶されます。
デフォルトでは、アイソレートされたドメイン名は、アイソレートされたページの上部中央に位置するノッチに表示されます。
拡張またはホスト名テキストを選択すると、ノッチがフルアドレスバーのビューに拡張されます。ノッチによってアイソレートされたページのコンテンツが隠されている場合、フルアドレスバーのビューに拡張することでコンテンツにアクセスできるようになります。
フルアドレスバーを使用すると、ユーザーはアイソレートされたウェブサイトを検索して移動できます。ユーザーは、キーボードでCTRL + Lを押すことで、いつでもアドレスバーにジャンプできます。
アドレスバーをオンまたはオフにするには、ユーザーはアイソレートされたページの任意の場所を右クリックし、アドレスバーを表示/非表示を選択できます。
- 認証イベント — ユーザーログインイベントは、アクセス監査ログに記録されます。
- HTTPリクエストログ — リモートブラウザからインターネットへのトラフィックは、ゲートウェイリクエストログに記録されます。
Cloudflare WARPがインストールされていない状態でウェブサイトをアイソレートしたい場合は、トラフィックをクライアントレスウェブアイソレーションのプレフィックス付きURLにリダイレクトする必要があります。これを行う方法の1つは、サードパーティのセキュアウェブゲートウェイを介して行うことです。ユーザーをリモートブラウザにリダイレクトするには、以下の例のようなカスタムブロックページを実装できます。
<!DOCTYPE html><html> <head> <title>リモートブラウザへのウェブサイトのリダイレクト</title> <script> window.location.href = "https://<your-team-name>.cloudflareaccess.com/browser/<URL>}"; </script> <noscript> <meta http-equiv="refresh" content="0; url=https://<your-team-name>.cloudflareaccess.com/browser/<URL>" /> </noscript> </head> <body> <p> このウェブサイトはリモートブラウザにリダイレクトされています。自動的にリダイレクトされない場合は、<a href="https://<your-team-name>.cloudflareaccess.com/browser/<URL>" >こちら</a > を選択してください。 </p> </body></html>