最初のHTTPポリシーを作成する
TLS検査が適用されるデバイスとアプリケーションを考慮したので、最初のHTTPポリシーを作成する時が来ました。
すべてのポリシーを構築する際には、標準的な命名規則を使用してください。ポリシー名はCloudflareアカウント内で一意であり、同じ構造に従い、できるだけ説明的であるべきです。
新しいHTTPポリシーを作成するには:
-
Zero Trust ↗に移動し、Gateway > Firewall Policiesを選択します。
-
HTTPタブで、Add a policyを選択します。
-
ポリシーに名前を付けます。
-
Trafficの下で、許可またはブロックしたいトラフィックを定義する論理式を構築します。
-
トラフィックが論理式に一致したときに取るActionを選択します。たとえば、TLS検査を有効にしている場合、埋め込み証明書を使用する一部のアプリケーションは、HTTP検査をサポートしていない場合があります。これらのアプリケーションの検査をバイパスするポリシーを作成できます:
Selector Operator Value Action Application in Do Not Inspect Do Not Inspect -
Create policyを選択します。
詳細については、HTTP policiesを参照してください。
ほとんどのシナリオでは、GatewayはHTTPポリシーをトップダウン順(DNSポリシーのように)で評価します。Do Not Inspectアクションポリシーは終端アクションであるため、他のすべてのポリシーの上に論理的な順序でグループ化することをお勧めします。これにより、配置場所に関係なく、常に最初に機能的に発火します。
Do Not Inspectポリシーの順序が正しく設定されたら、Allowポリシーが続くべきであり、Allowポリシーの説明にはAllowアクションに関する特別な考慮事項(ヘッダーID、証明書の不一致処理、非隔離トラフィックなど)を含めるべきです。
次に、隔離およびブロックポリシーをリストします。ブロックポリシーを他のポリシーの結果に混ぜることを望むシナリオがあるかもしれません。それは許容されるアプローチですが、過度に許可的なAllowや過度に制限的なブロックポリシーが意図しない影響を引き起こさないようにする必要があります。
ユーザーに影響を与えるブロックや他のアクションを導入する前に、まずAllowアクションとしてポリシーを設定して影響を測定します。ユーザーの行動を監視し、その明示的なポリシーでソートしてログを確認し、どのトラフィックアクションが一致したかを確認します。アクティビティがポリシーに対して期待されるものであれば、意図されたアクションとして実装しても安全である可能性が高いです。
ポリシーが予期しないトラフィックフローや宛先(意図しないユーザーやデバイスグループなど)に一致する場合は、ポリシーが過度に許可的または制限的でないことを確認するために見直します。ポリシー設計が正しいように見える場合は、意図されたポリシーの前に他のポリシーが一致しているかどうかを確認します。すべてのポリシーが意図した通りに機能していることを確認するために、Gatewayポリシーの執行順序を確認できます。