ポリシー設計

プライベートネットワークアクセスのためのポリシー構築は、主にGateway DNSおよびGateway Networkポリシービルダー内で行われます。ほとんどの場合、顧客はDNS解決、SNIホスト名の値、およびIPアドレスのグループ化を混合して、特定のアプリケーションに関連するポリシーを定義するための基準としています。

考慮事項

ポリシーを構築する前に、いくつかの質問を自問することが役立ちます。

• すべてのユーザーとサービスがすべての接続されたサブネットにアクセスできるべきですか？明示的な例外はありますか？
• すべてのアプリケーションは主要なネットワーク範囲内に存在し、静的または動的なホストおよびIPアドレスによって定義されていますか？
• 完全にエフェメラルなIPまたはサブドメインに依存するDevOpsワークフローはありますか？
• ポリシーで使用されるアイデンティティとデバイスポスチャの真実のソースはありますか？
• デフォルト拒否モデルを即座に実装する予定ですか？言い換えれば、明示的な許可ポリシーに一致するユーザーを除いて、すべてのユーザーをブロックしますか？

ポリシー構築の準備

Zero Trust Network Accessポリシーを計画する際には、以下のアプローチを推奨します。

1. 真実のソースを特定する

アイデンティティ

ユーザーのメール、ユーザーグループ、およびその他のアイデンティティベースの属性の真実のソースとして使用するアイデンティティプロバイダーを特定します。

ノート

アイデンティティプロバイダーがCloudflareに接続されていることを確認し、デバイス登録権限でユーザーが利用できることを確認してください。

グループメンバーシップに基づいてサービスへのアクセスを付与する予定がある場合は、ユーザー登録を確認し、ターゲットユーザーがそのグループ値をUser Registryに持っていることを確認してください。

デバイスポスチャ

ほとんどの顧客は、企業デバイスの使用に依存するポリシーも構築します。たとえば、企業デバイスを使用しているすべてのユーザーは*.jira.internal.comにアクセスできますが、個人デバイスを使用しているユーザーはdev.internal.jira.comにのみアクセスできます。これを効果的にするために、企業デバイスの真実のソースを定義することをお勧めします。これは、特定の発行された証明書の存在、一致したハッシュを持つプロセスの存在、またはCrowdstrikeやSentinelOneなどのサポートされているサードパーティエンドポイントセキュリティプロバイダーとのAPI統合であることがあります。

ノート

ポリシーで使用するデバイスポスチャチェックを必ず有効にしてください。

2. ネットワークを定義する

ほとんどの企業には、物理的または仮想的な一連の相互接続されたネットワークがあります。ユーザーが現在アクセスしているすべての関連ネットワーク、サブネット、またはセグメントのリストを準備します。たとえば、

ネットワーク名	場所	IP範囲	VPN経由でアクセス可能？
Corporate DC	AWS US East - VA, USA	10.0.0.0/8	はい

3. アプリケーションを定義する

次に、ネットワーク上のすべての関連内部アプリケーションのリストを準備します。これらのアプリケーションは、異なるポリシー要件（たとえば、異なるユーザーアイデンティティまたはデバイスポスチャ要件）を持ちます。各アプリケーションは、IPリスト、ホスト名/ドメインリスト、またはその両方によって定義されるべきです。

アプリケーション名	ローカルIP	ホスト名	IP経由でアクセス可能？	静的または動的IP？
Company Wiki	10.128.0.10	wiki.internal.com	はい	静的

たとえば、a.internal.comにあるアプリケーションが、静的IPアドレスを持つロードバランサーを指しており、アプリケーションを提供する一連の動的ホストをバランスさせている場合があります。アプリケーションホストのIPが動的であるため、ベストプラクティスは、ロードバランサーIPのネットワークポリシーとアプリケーションホスト名のDNSポリシーの2つのポリシーを構築することです。

一方、ロードバランサーの背後のIPが静的または半動的である場合、ネットワークポリシーでアプリケーションIPを直接使用することが理にかなうかもしれません。インフラストラクチャプロバイダーでホストの変更が行われるたびに、Cloudflare API呼び出しを介してアプリケーションIPリストを更新するワークフローを構築できます。

4. 既存のポリシーをリストアップする

VPNプロバイダーからZero Trustに移行したい既存のセキュリティポリシーやブロックリストを収集します。

Descalerプログラム

Zscalerから移行するエンタープライズ組織の場合、Descalerツールキット ↗を使用して、Zscaler Internet Access (ZIA)からポリシーをエクスポートし、Cloudflare Gatewayにインポートできます。