ブラウザアイソレーションの設定
Cloudflare Browser Isolation seamlessly executes active webpage content in a secure isolated browser to protect users from zero-day attacks, malware, and phishing.
ブラウザアイソレーションは、従来のセキュアウェブゲートウェイの能力を超える方法を使用して、ユーザーにユニークで透明な保護を提供します。このセクションでは、デバイスまたはネットワークからのトラフィックの大部分がCloudflareに転送されることを前提に、外部サービス向けのブラウザアイソレーションに主に焦点を当てています。ブラウザアイソレーションの他のアプリケーションについては、ゼロトラストウェブアクセス(ZTWA)学習パスを参照してください。
なお、Cloudflareのブラウザアイソレーション技術は、ユーザーの日常的なブラウジングの100%に使用されることを目的に構築されました。これらの推奨事項は、ブラウザアイソレーションの使用を制限したり注意深く行うべきだと示唆するものではなく、技術と実際のセキュリティの利点をバランスさせる実用的な結果を特定するのに役立ちます。
組織がブラウザアイソレーションの実装に興味がある場合、Cloudflareが推奨するいくつかの方法があります。
Cloudflare Zero Trustの展開を開始した場合、シャドウITディスカバリーを使用してユーザートラフィックパターンを視覚化し始めたかもしれません。この機能は、ユーザーが使用している検出されたSaaSアプリケーションを可視化します。管理者は、適切な組織の使用に基づいてアプリケーションやサービスを分類できます。シャドウITディスカバリーを使用していない場合は、手動または他のツールで類似のリストを維持し、そのデータをゼロトラストリストに移行し、APIを介して更新することで同様の結果を得ることができます。
重いブロックポリシーを適用することなく、定義したカテゴリに一致するアプリケーションへのユーザートラフィックをアイソレートするポリシーを適用することで、潜在的なリスクを制御し、ユーザーの行動を形成できます。その後、コピー/ペーストやアップロード/ダウンロードを制限する能力など、ポリシーに追加のパラメータを設定できます。ユーザーはツール内の情報にアクセスできますが、データ損失のリスクを最小限に抑えることができます。
-
ゼロトラスト ↗に移動し、ゲートウェイ > ファイアウォールポリシーを選択します。
-
HTTPタブで、ポリシーを追加を選択します。
-
ポリシーに名前を付けます。
-
トラフィックで、次の式を追加します:
セレクタ 演算子 値 アクション ホスト リスト内 シャドウIT アイソレート -
ポリシー設定を構成で、次のオプションをオンにします:
- コピー / ペーストを無効にする
- ファイルダウンロードを無効にする
- ファイルアップロードを無効にする
-
ポリシーを作成を選択します。
curl https://api.cloudflare.com/client/v4/accounts/{account_id}/gateway/rules \--header "X-Auth-Email: <EMAIL>" \--header "X-Auth-Key: <API_KEY>" \--header "Content-Type: application/json" \--data '{ "action": "isolate", "description": "シャドウITのためのコピー、ペースト、アップロード/ダウンロードをブロック", "enabled": true, "filters": [ "http" ], "name": "シャドウITの相互作用をブロック", "precedence": 0, "traffic": "http.request.host in <SHADOW_IT_LIST_UUID>", "rule_settings": { "block_page_enabled": false, "block_reason": "", "override_ips": null, "override_host": "", "l4override": null, "biso_admin_controls": { "dp": false, "dcp": true, "dd": true, "du": true, "dk": false, "dcr": false } }}'未知の脅威やゼロデイ脅威から保護するためにブラウザアイソレーションを使用する一般的な方法は、セキュリティ姿勢を劇的に強化できます:すべてのHTTPトラフィックを既知の許可、既知の悪意のあるもの、未知のバケットに分けます。トラフィックを分類したら、未知のバケット内のすべてをアイソレートします。
これを実現するために、次のポリシーを作成できます:
- Cloudflareアプリケーション定義またはリストを使用して、すべての既知のアプリケーションと信頼できるウェブサイトに対する明示的な許可ポリシー
- すべてのセキュリティリスク、既知の悪意のあるトラフィック、および許可されていない使用に対する明示的なブロックポリシー
- この中間にあるすべてのトラフィックをアイソレートするポリシー
この文脈では、組織にとって未知のトラフィックがある場合、Cloudflareはデフォルトでそれをアイソレートします。Cloudflareは、クライアント側で悪意のあるコードが実行されるのを防ぎ、追加の制御を提供します。
-
既知のアプリケーションとウェブサイトを許可:
セレクタ 演算子 値 アクション ドメイン リスト内 既知のドメイン 許可 -
セキュリティリスクをブロック:
セレクタ 演算子 値 アクション セキュリティリスク in すべてのセキュリティリスク ブロック -
その他のすべてのトラフィックをアイソレート:
セレクタ 演算子 値 アクション ホスト 正規表現に一致 .*アイソレート
curl https://api.cloudflare.com/client/v4/accounts/{account_id}/gateway/rules \--header "X-Auth-Email: <EMAIL>" \--header "X-Auth-Key: <API_KEY>" \--header "Content-Type: application/json" \--data '{ "action": "isolate", "description": "既知のアプリケーションとウェブサイトを許可", "enabled": true, "filters": [ "http" ], "name": "既知のアプリとサイトを許可", "precedence": 0, "traffic": "http.request.domains in <TRUSTED_DOMAINS_LIST_UUID>", "rule_settings": { "block_page_enabled": false, "block_reason": "", "override_ips": null, "override_host": "", "l4override": null }}'curl https://api.cloudflare.com/client/v4/accounts/{account_id}/gateway/rules \--header "X-Auth-Email: <EMAIL>" \--header "X-Auth-Key: <API_KEY>" \--header "Content-Type: application/json" \--data '{ "action": "isolate", "description": "すべてのセキュリティリスクをブロック", "enabled": true, "filters": [ "http" ], "name": "セキュリティリスクをブロック", "precedence": 0, "traffic": "http.request.uri.security_category in {68 178 80 83 176 175 117 131 134 151 153}", "rule_settings": { "block_page_enabled": false, "block_reason": "", "override_ips": null, "override_host": "", "l4override": null }}'curl https://api.cloudflare.com/client/v4/accounts/{account_id}/gateway/rules \--header "X-Auth-Email: <EMAIL>" \--header "X-Auth-Key: <API_KEY>" \--header "Content-Type: application/json" \--data '{ "action": "isolate", "description": "その他のすべてのトラフィックをアイソレート", "enabled": true, "filters": [ "http" ], "name": "トラフィックをアイソレート", "precedence": 0, "traffic": "http.request.host matches \".*\"", "rule_settings": { "block_page_enabled": false, "block_reason": "", "override_ips": null, "override_host": "", "l4override": null }}'セキュリティフレームワーク内に存在する可能性のある多くのベンダーは、URL操作をサポートしています。URL操作をブラウザアイソレーションのオンランプとして使用して、追加のセキュリティ制御を追加できます。
たとえば、ZscalerやProofpointのようなベンダーは、静的または動的形式でURLにリンクを前置きすることを許可します。Cloudflareアカウント用に生成されたクライアントレスアイソレーションリンクを前置きすることで、潜在的にリスクのあるクリックに対して追加のセキュリティ利益を得ることができます。これは、今日Cloudflareを介して送信されていないトラフィック(別のプロキシを介してなど)がある場合、特定のフィルタリングされたリクエストにリンクを前置きして、エンドポイントエージェントをインストールせずにトラフィックをCloudflareのアイソレートブラウザセッションに自動的に送信できることを意味します。
flowchart TB
%% アクセシビリティ
accTitle: ブラウザアイソレーションアーキテクチャ
accDescr: インラインブラウザアイソレーションのためのユーザートラフィックの操作順序を説明するフローチャート。
%% ユーザートラフィック
user(["ユーザーが </br>risky.example.com にアクセス"])--"接続する"-->cloud[サードパーティSWGクラウド]
%% サードパーティSWG
cloud-->warning[サードパーティの中断ブロックまたは警告ページ]
warning--"Cloudflareサブドメインを追加"-->biso
%% ブラウザアイソレーション
subgraph cf [Cloudflareグローバルネットワーク]
biso[[Cloudflareクライアントレスウェブアイソレーション]]
inline(["アイソレートされたブラウザ"])
biso--"ユーザーのブラウザが </br>customer.cloudflareaccess.com/browser/risky.example.com にアクセス"-->inline
end