推奨HTTPポリシー
私たちは、組織のインターネットおよびSaaSアプリのセキュリティ戦略を構築するために、以下のHTTPポリシーを追加することをお勧めします。
All-HTTP-Application-InspectBypass
埋め込み証明書を使用するアプリケーションのHTTP検査をバイパスします。これにより、初期展開から発生する可能性のある証明書ピンニングエラーを回避できます。
| Selector | Operator | Value | Action |
|---|---|---|---|
| Application | in | Do Not Inspect | Do Not Inspect |
Android-HTTP-Application-InspectionBypass
証明書ピンニングを使用するAndroidアプリケーション(Google Driveなど)のHTTPS検査をバイパスします。これは、Gateway検査と互換性がありません。
| Selector | Operator | Value | Logic | Action |
|---|---|---|---|---|
| Application | in | Google Drive | And | Do Not Inspect |
| Passed Device Posture Checks | in | OS Version Android (OS version) |
All-HTTP-Domain-Inspection-Bypass
TLS検査と互換性がないと特定されたカスタムドメインリストのHTTP検査をバイパスします。
| Selector | Operator | Value | Logic | Action |
|---|---|---|---|---|
| Domain | in list | DomainInspectionBypass | Or | Do Not Inspect |
| Domain | in list | Known Domains |
All-HTTP-SecurityRisks-Blocklist
Block security categories, such as Command and Control & Botnet and Malware, based on Cloudflare’s threat intelligence.
| Selector | Operator | Value | Action |
|---|---|---|---|
| Security Risks | in | All security risks | Block |
All-HTTP-ContentCategories-Blocklist
Entries in the security risk content subcategory, such as New Domains, do not always pose a security threat. We recommend you first create an Allow policy to track policy matching and identify any false positives. You can add false positives to your Trusted Domains list used in All-HTTP-Domain-Allowlist.
After your test is complete, we recommend you change the action to Block to minimize risk to your organization.
| Selector | Operator | Value | Action |
|---|---|---|---|
| Content Categories | in | 疑わしいコンテンツ, セキュリティリスク, その他, 成人向けテーマ, ギャンブル | Allow |
All-HTTP-DomainHost-Blocklist
Block specific domains or hosts that are malicious or pose a threat to your organization. Like All-HTTP-ResolvedIP-Blocklist, this blocklist can be updated manually or via API automation.
| Selector | Operator | Value | Logic | Action |
|---|---|---|---|---|
| Domain | in list | Domain Blocklist | Or | Block |
| Host | in list | Host Blocklist | Or | |
| Host | matches regex | .*example\.com |
All-HTTP-Application-Blocklist
Block unauthorized applications to limit your users’ access to certain web-based tools and minimize the risk of shadow IT. For example, the following policy blocks popular AI chatbots.
| Selector | Operator | Value | Action |
|---|---|---|---|
| Application | in | Microsoft Copilot, ChatGPT, Google Gemini | Block |
PrivilegedUsers-HTTP-Any-Isolate
重要なシステムに定期的にアクセスする特権ユーザーのトラフィックを隔離します。また、脅威分析やマルウェアテストなどのアクションを実行します。
セキュリティチームは、マルウェア検出を引き起こす可能性のある脅威分析やマルウェアテストを実行する必要があることがよくあります。同様に、特権ユーザーは、重要なシステムへのアクセスを得ようとする攻撃者の標的となる可能性があります。
| Selector | Operator | Value | Action |
|---|---|---|---|
| User Group Names | in | Privileged Users | Isolate |
Quarantined-Users-HTTP-Restricted-Access
Restrict access for users included in an identity provider (IdP) user group for risky users. This policy ensures your security team can restrict traffic for users of whom malicious or suspicious activity was detected.
| Selector | Operator | Value | Logic | Action |
|---|---|---|---|---|
| Destination IP | not in list | Quarantined-Users-IPAllowlist | And | Block |
| User Group Names | in | Quarantined Users |
All-HTTP-Domain-Isolate
高リスクドメインを隔離するか、データ流出やマルウェア感染を避けるために知られているリスクのあるドメインのカスタムリストを作成します。理想的には、インシデントレスポンスチームがAPI自動化を使用してブロックリストをリアルタイムで更新し、脅威保護を提供できます。
| Selector | Operator | Value | Logic | Action |
|---|---|---|---|---|
| Content Categories | in | 新しいドメイン, 新たに見られたドメイン | Or | Isolate |
| Domain | in list | ドメイン隔離 |