推奨DNSポリシー
私たちは、組織のインターネットおよびSaaSアプリのセキュリティ戦略を構築するために、以下のDNSポリシーを追加することをお勧めします。
All-DNS-Domain-Allowlist
既知のドメインとホスト名をホワイトリストに追加します。このポリシーにより、ユーザーは新規ドメインやログイン画面などのブロックされたカテゴリに該当するドメインであっても、組織のドメインにアクセスできることが保証されます。
| Selector | Operator | Value | Logic | Action |
|---|---|---|---|---|
| Domain | in list | Known Domains | Or | Allow |
| Host | in list | Known Domains |
Quarantined-Users-DNS-Restricted-Access
Restrict access for users included in an identity provider (IdP) user group for risky users. This policy ensures your security team can restrict traffic for users of whom malicious or suspicious activity was detected.
| Selector | Operator | Value | Logic | Action |
|---|---|---|---|---|
| Domain | in list | Known Domains | Or | Block |
| Host | in list | Known Domains | And | |
| User Group Names | in | Quarantined Users |
All-DNS-SecurityCategories-Blocklist
Block security categories, such as Command and Control & Botnet and Malware, based on Cloudflare’s threat intelligence.
| Selector | Operator | Value | Action |
|---|---|---|---|
| Security Categories | in | All security risks | Block |
All-DNS-ContentCategories-Blocklist
Entries in the security risk content subcategory, such as New Domains, do not always pose a security threat. We recommend you first create an Allow policy to track policy matching and identify any false positives. You can add false positives to your Trusted Domains list used in All-DNS-Domain-Allowlist.
After your test is complete, we recommend you change the action to Block to minimize risk to your organization.
| Selector | Operator | Value | Action |
|---|---|---|---|
| Content Categories | in | Security Risks | Allow |
All-DNS-Application-Blocklist
Block unauthorized applications to limit your users’ access to certain web-based tools and minimize the risk of shadow IT. For example, the following policy blocks popular AI chatbots.
| Selector | Operator | Value | Action |
|---|---|---|---|
| Application | in | Microsoft Copilot, ChatGPT, Google Gemini | Block |
All-DNS-GeoCountryIP-Blocklist
リスクの高い国に分類される国でホストされているウェブサイトをブロックします。このような国の指定は、組織のユーザーによるものや、EAR ↗、OFAC ↗、およびITAR ↗を含む規制の実施によるものです。
| Selector | Operator | Value | Action |
|---|---|---|---|
| Resolved Country IP Geolocation | in | アフガニスタン, ベラルーシ, コンゴ (キンシャサ), キューバ, イラン, イラク, 北朝鮮, ミャンマー, ロシア連邦, スーダン, シリア, ウクライナ, ジンバブエ | Block |
All-DNS-DomainTopLevel-Blocklist
頻繁に悪用されるトップレベルドメイン(TLD)をブロックしてセキュリティリスクを軽減します。特に、アクセスを許可することで得られる明確な利点がない場合においては、特定の国レベルのTLDへのアクセスを制限することが、OFAC ↗やITAR ↗などの規制に準拠するために必要な場合があります。
| Selector | Operator | Value | Action |
|---|---|---|---|
| Domain | matches regex | [.](cn|ru)$ or [.](rest|hair|top|live|cfd|boats|beauty|mom|skin|okinawa)$ or [.](zip|mobi)$ | Block |
All-DNS-DomainPhishing-Blocklist
悪用されたドメインをブロックして、ユーザーを高度なフィッシング攻撃から保護します。特に、組織をターゲットにしたドメインなどです。たとえば、以下のポリシーは、組織またはその認証サービス(okta、2fa、cloudflare、ssoなど)に関連する特定のキーワードをブロックしながら、既知のドメインへのアクセスは許可します。
| Selector | Operator | Value | Logic | Action |
|---|---|---|---|---|
| Domain | not in list | Known Domains | And | Block |
| Domain | matches regex | .*okta.*|.*cloudflare.*|.*mfa.*|.sso.* |
All-DNS-ResolvedIP-Blocklist
悪意のある特定のIPアドレスをブロックして、組織に対する脅威を排除します。
You can implement this policy by either creating custom blocklists or by using blocklists provided by threat intelligence partners or regional Computer Emergency and Response Teams (CERTs). Ideally, your CERTs can update the blocklist with an API automation to provide real-time threat protection.
| Selector | Operator | Value | Action |
|---|---|---|---|
| Resolved IP | in list | IP Blocklist | Block |
All-DNS-DomainHost-Blocklist
Block specific domains or hosts that are malicious or pose a threat to your organization. Like All-DNS-ResolvedIP-Blocklist, this blocklist can be updated manually or via API automation.
| Selector | Operator | Value | Logic | Action |
|---|---|---|---|---|
| Domain | in list | Domain Blocklist | Or | Block |
| Host | in list | Host Blocklist | Or | |
| Host | matches regex | .*example\.com |