TLS復号化を有効にする(オプション)
TLS復号化 ↗により、Cloudflare GatewayはプライベートネットワークアプリケーションへのHTTPSリクエストを検査できます。
TLS復号化を有効にすると、機密データのスキャン、リモートブラウザアイソレーションセッションの開始、リクエストの完全なURLおよびパスに基づくフィルタリングなど、高度なポリシーを適用できます。これらの機能は、機密システムのセキュリティ姿勢を向上させることができますが、TLS復号化はユーザーの特定のリソースへのアクセスを妨げる可能性もあります。たとえば、内部アプリケーションが自己署名証明書を使用している場合、ユーザーが接続できるようにするには、検査しないポリシーまたは信頼されていない証明書 パススルーポリシーを構成する必要があります。詳細については、TLS復号化の制限を参照してください。
TLS復号化が無効になっている場合、Gatewayは暗号化されていないHTTPリクエストのみを検査できます。ただし、ユーザーのアイデンティティ、デバイスの姿勢、IP、解決されたドメイン、SNI、およびZero Trustセキュリティ実装をサポートするその他の属性に基づいてHTTPSトラフィックにポリシーを適用することはできます。詳細については、Gateway HTTPポリシーのドキュメントを参照してください。
- In Zero Trust ↗, go to Settings > Network.
- Turn on TLS decryption.
次に、検査に使用するユーザー側証明書を選択します。
TLS復号化を有効にすると、GatewayはHTTPS経由で送信されるすべてのトラフィックを復号化し、HTTPポリシーを適用し、その後、ユーザーデバイス上の証明書でリクエストを再暗号化します。Cloudflareが提供する証明書をインストールする(デフォルトオプション)か、カスタムルート証明書をCloudflareにアップロードする(エンタープライズ専用オプション)を選択できます。
Cloudflareルート証明書を展開することは、TLS復号化を開始する最も簡単な方法であり、通常はテストや概念実証の条件に適しています。
他の検査や信頼目的で使用している証明書がすでにある場合、以下の理由から独自のルート証明書をアップロードすることをお勧めします:
- 単一の証明書を使用することでIT管理が簡素化されます。
- 他のサービス(gitワークフロー、他のCLIツール、または厚いクライアントアプリケーションなど)が既存の証明書ストアに依存している場合、検査で同じ証明書を提示することでトラフィックフローが中断される可能性が低くなります。
- WARP Connectorを使用してデバイスをCloudflareに接続している場合、TLSを復号化する必要があるHTTPポリシーを利用するには、アップロードした証明書またはCloudflareルート証明書と一致する証明書が必要です。ネットワークインフラストラクチャにはすでに独自のデバイス証明書が展開されている可能性が高いため、既存のPKIインフラストラクチャを検査に使用することで、Zero Trustを展開するために必要な手順を減らすことができます。