レイヤーセキュリティ手法
SaaSアプリケーションへのフロントドアアクセスを保護するモデル(またはモデルの組み合わせ)を決定したら、複数のCloudflareコントロールを重ねることで、他の一般的なSaaSセキュリティの懸念事項に対処できます。
Access for SaaSまたはZero TrustのWARP enrollment settingsを通じて、SaaSアプリケーションへのエンドポイントアクセスをデバイスポスチャーコントロールで制御できます。デバイスポスチャーは、SaaSアプリケーションにアクセスする管理されたエンドポイントの定義を決定できます。
また、健康的または半健康的な管理されたエンドポイントの定義を行い、潜在的なセキュリティの懸念に基づいてステップアップセキュリティポリシーを適用することもできます。これらのコントロールは、管理されていないエンドポイントに対して施行されるコントロールとは別です。
管理されていないエンドポイントに対しては、エージェントをインストールすることなく、SaaSアプリケーション内でアップロード/ダウンロードコントロール、HTTPフィルタリング、データ損失検出/防止ポリシーなどの選択的インラインセキュリティを提供できます。 インラインセキュリティはBrowser Isolationを通じて提供できますが、一貫して適用するためにはfront door control(例えばAccess for SaaS)が必要です。
Cloudflareは、WARPクライアントまたはクライアントレスWebアイソレーションを使用してSaaSアプリを隔離することができます。
ユーザーのデバイスがWARPクライアントに登録されている場合、Cloudflareはブラウザセッションを透過的に隔離します。言い換えれば、ユーザーのブラウザはexample.comを表示しますが、Cloudflareは隔離されたブラウザでトラフィックをレンダリングすることによってトラフィックを隔離します。
Clientless Web Isolationを使用すると、Cloudflareはウェブアドレスに静的リンクを追加します。例えば、ユーザーのブラウザが隔離されたセッションでexample.comにアクセスすると、<your-team-name>.cloudflareaccess.com/browser/https://www.example.comが表示されます。
ブラウザアイソレーションがトラフィックを隔離すると、CloudflareはTLS復号化、HTTP検査、ネットワーク検査、DNSフィルタリング、DLPポリシー評価のセキュリティスタックをリクエストボディ内のトラフィックに適用できます。これにより、管理されていないエンドポイントが敏感なシステムにアクセスする際のセキュリティを確保するためのソリューションが提供され、リスクがあると見なされる可能性のあるユーザーやサービスからのトラフィックをアップグレードすることができます。ブラウザアイソレーションのいかなる方法も、ユーザーを専用のイーグレスIPアドレスに接続するため、一貫して各アクセス方法にポリシーを適用できます。