ゼロトラスト
以下のセクションでは、さまざまなゼロトラスト製品がデータローカリゼーションスイートとどのように連携できるかについての詳細を説明します。
地域サービスは、すべてのサポートされている地域でゲートウェイと共に使用できます。地域サービスは、WARPモードでゲートウェイ内のWARPクライアントを使用する場合にのみ適用されることに注意してください。
エンタープライズ顧客は、1つまたは複数のCloudflareネットワークロケーションにジオロケートされた専用エグレスIP(IPv4およびIPv6)またはIPの範囲を購入できます。これにより、エグレストラフィックは、エグレスポリシーで選択した都市にジオロケートされます。
地域サービスの一環として、Cloudflare Gatewayは、WARPクライアント(デフォルトのゲートウェイWARPモード)を使用している場合にのみ、TLS復号化を実行します。
一致したDLPルールのペイロードをログに記録し、公開鍵で暗号化することで、後で自分だけが確認できるようにすることができます。
Cloudflareは暗号化されたペイロードを復号化できません。
SSHプロキシとコマンドログを構成することができます。ハイブリッド公開鍵暗号化(HPKE)キーのペアを生成し、公開鍵sshkey.pubをダッシュボードにアップロードします。すべてのプロキシされたSSHコマンドは、この公開鍵を使用して即座に暗号化されます。一致する秘密鍵は、あなたの手元にあり、ログを表示するために必要です。
地域サービスは、Cloudflareがトラフィックを復号化する場所を制御します。ほとんどのDNSトラフィックは暗号化されていないため、ゲートウェイDNSは地域サービスを使用して地域化することはできません。
詳細については、以下のWARP設定セクションを参照してください。
ゲートウェイに独自の証明書を持ち込むことができますが、これらはまだ特定の地域に制限することはできません。
デフォルトでは、Cloudflareはグローバルネットワーク全体のデータセンターからログを保存し、配信します。データに対する地域的な制御を維持するために、カスタマーメタデータ境界を使用して、データストレージを特定の地理的地域に制限できます。詳細については、Logpushデータセットのサポートに関するセクションを参照してください。
顧客は、Cloudflareが保存するログを減らすオプションもあります:
- ログからPIIを除外できます。
- ログを無効にするか、ブロックされたリクエストのみをログに記録できます。
Cloudflare Accessによって保護されたアプリケーションのすべてのリバースプロキシリクエストがFedRAMP準拠のデータセンターでのみ発生するようにするには、地域をFedRAMPに設定した地域サービスを使用する必要があります。
Cloudflareトンネルを構成して、ソフトウェアが展開された場所に関係なく、米国内のデータセンターにのみ接続できます。
プライベートDNSリゾルバーを使用するために、WARP設定ローカルドメインフォールバックを使用できます。これは自分で管理できます。
スプリットトンネルを使用すると、どのIPアドレス/範囲および/またはドメインがCloudflareを通過するか、または除外されるかを決定できます。