アクセスアプリケーションの隔離

ノート

ブラウザ隔離アドオンが必要です。

Cloudflare Browser Isolationは、ウェブ経由で提供されるアクセスアプリケーションと統合し、機密アプリケーションをデータ損失から保護します。特定のユーザーがブラウザ隔離を通じてのみアプリケーションにアクセスすることを要求するアクセスポリシーを構築でき、異なるポリシーに一致する他のユーザーは引き続きアプリケーションに直接アクセスできます。たとえば、第三者の契約者や企業デバイスを持たない他のユーザーに対して追加のセキュリティ対策を講じたい場合があります。

Cloudflareは、すべての隔離されたトラフィックを当社のセキュアウェブゲートウェイ検査エンジンを通じて送信し、ゲートウェイHTTPポリシーを適用できます。これには以下が含まれます：

• 特定のアクションとHTTPリクエストメソッドを制限します。
• リクエストボディを検査し、ユーザーがエンドポイントエージェントを展開したかのように、データ損失防止（DLP）プロファイルに対して特異性と制御を持って一致させます。
• 隔離されたセッション中にユーザーがカット＆ペースト、ファイルのアップロードとダウンロード、印刷を行う能力を制御します。

前提条件

Your browser must allow third-party cookies on the application domain.

ブラウザ隔離の有効化

1. In Zero Trust ↗, go to Settings > Browser Isolation.
2. Enable Clientless Web Isolation.

3. Next, go to Access > Applications.
4. Choose a self-hosted application and select Configure.
5. Choose an Allow policy and select Configure.
6. Under Additional settings, turn on Isolate application.
7. Save the policy.

Browser Isolation is now enabled for users who match this policy. After the user logs into Access, the application will launch in a remote browser. To confirm that the application is isolated, refer to Check if a web page is isolated.

You can optionally add another Allow policy for users on managed devices who do not require isolation.

アクセスポリシーの例

以下の例では、ポリシー1は企業デバイスを使用している従業員がアプリケーションに直接アクセスすることを許可します。ポリシー1に一致しないユーザー、たとえば管理されていないデバイスを使用している従業員や契約者は、隔離されたブラウザでアプリケーションを読み込みます。

flowchart LR
accTitle: プライベートウェブアプリケーションのアクセスポリシー
A[フルタイム従業員]-->policy1-->D
B[契約者]-->policy2-->E
subgraph C[アクセスアプリケーション]
  policy1["ポリシー 1:
  デバイスポスチャーチェックに合格した従業員を許可"]
  policy2["ポリシー 2:
  契約者を許可し隔離"]
end
D[通常のブラウジング]
E["HTTPポリシーが適用された
隔離されたブラウジング"]

ポリシー 1: デバイスポスチャーチェックに合格した従業員を許可

ダッシュボード

アクション	ルールタイプ	セレクター	値
許可	含む	終了するメール	@team.com
	必要	デバイスポスチャー - シリアル番号リスト	企業のシリアル番号

追加設定	ステータス
アプリケーションを隔離	無効

API

curl https://api.cloudflare.com/client/v4/accounts/{account_id}/access/apps/{app_uuid}/policies \
--header "X-Auth-Email: <EMAIL>" \
--header "X-Auth-Key: <API_KEY>" \
--header "Content-Type: application/json" \
--data '{
  "decision": "allow",
  "name": "デバイスポスチャーチェックに合格した従業員を許可",
  "include": [
    {
      "email_domain": {
        "domain": "team.com"
      }
    }
  ],
  "exclude": [],
  "require": [
    {
      "device_posture": {
        "integration_uid": "<SERIAL_NUMBER_LIST_UUID>"
      }
    }
  ],
  "precedence": 1
}'

シリアル番号のリストを作成するには、ゼロトラストリストの作成を参照してください。

ポリシー 2: 契約者を許可し隔離

ダッシュボード

アクション	ルールタイプ	セレクター	値
許可	含む	終了するメール	@team.com, @contractors.com

追加設定	ステータス
アプリケーションを隔離	有効

API

curl https://api.cloudflare.com/client/v4/accounts/{account_id}/access/apps/{app_uuid}/policies \
--header "X-Auth-Email: <EMAIL>" \
--header "X-Auth-Key: <API_KEY>" \
--header "Content-Type: application/json" \
--data '{
  "decision": "allow",
  "name": "契約者を許可し隔離",
  "include": [
    {
      "email_domain": {
        "domain": "team.com"
      }
    },
    {
      "email_domain": {
        "domain": "contractors.com"
      }
    }
  ],
  "exclude": [],
  "require": [],
  "precedence": 2,
  "isolation_required": true
}'

HTTPポリシーの例

隔離されたブラウザでのファイルダウンロードを無効にする

管理されていないデバイスのユーザーがプライベートアプリケーションからファイルをダウンロードするのを防ぎます。

ダッシュボード

セレクター	演算子	値	ロジック	アクション
ホスト	in	internal.site.com	And	隔離
デバイスポスチャーチェックに合格	not in	企業のシリアル番号

ポリシー設定	ステータス
ファイルダウンロードを無効にする	有効

API

curl https://api.cloudflare.com/client/v4/accounts/{account_id}/gateway/rules \
--header "X-Auth-Email: <EMAIL>" \
--header "X-Auth-Key: <API_KEY>" \
--header "Content-Type: application/json" \
--data '{
  "name": "隔離されたブラウザでのファイルダウンロードを無効にする",
  "conditions": [
    {
      "type": "traffic",
      "expression": {
        "in": {
          "lhs": "http.request.host",
          "rhs": [
            "internal.site.com"
          ]
        }
      }
    },
    {
      "type": "device_posture",
      "expression": {
        "any": {
          "in": {
            "lhs": {
              "splat": "device_posture.checks.passed"
            },
            "rhs": [
              "<SERIAL_NUMBER_LIST_UUID>"
            ]
          }
        }
      }
    }
  ],
  "action": "isolate",
  "precedence": 14002,
  "enabled": true,
  "description": "",
  "rule_settings": {
    "block_page_enabled": false,
    "block_reason": "",
    "biso_admin_controls": {
      "dcp": false,
      "dcr": false,
      "dd": true,
      "dk": false,
      "dp": false,
      "du": false
    }
  },
  "filters": [
    "http"
  ]
}'

シリアル番号のリストを作成するには、ゼロトラストリストの作成を参照してください。

機密データのファイルダウンロードをブロック

ノート

データ損失防止アドオンが必要です。

管理されていないデバイスのユーザーがクレジットカード番号を含むファイルをダウンロードするのをブロックします。このロジックには2つのポリシーが必要です：

• ポリシー 1: 隔離されたブラウザでのファイルダウンロードを無効にする

• ポリシー 2: クレジットカード番号をブロック

ダッシュボード

セレクター	演算子	値	ロジック	アクション
ホスト	in	internal.site.com	And	ブロック
DLPプロファイル	in	金融情報	And
デバイスポスチャーチェックに合格	not in	企業のシリアル番号

API

curl https://api.cloudflare.com/client/v4/accounts/{account_id}/gateway/rules \
--header "X-Auth-Email: <EMAIL>" \
--header "X-Auth-Key: <API_KEY>" \
--header "Content-Type: application/json" \
--data '{
  "name": "クレジットカード番号をブロック",
  "conditions": [
    {
      "type": "traffic",
      "expression": {
        "and": [
          {
            "in": {
              "lhs": "http.request.host",
              "rhs": [
                "internal.site.com"
              ]
            }
          },
          {
            "any": {
              "in": {
                "lhs": {
                  "splat": "dlp.profiles"
                },
                "rhs": [
                  "<DLP_PROFILE_UUID>"
                ]
              }
            }
          }
        ]
      }
    },
    {
      "type": "device_posture",
      "expression": {
        "any": {
          "in": {
            "lhs": {
              "splat": "device_posture.checks.passed"
            },
            "rhs": [
              "<SERIAL_NUMBER_LIST_UUID>"
            ]
          }
        }
      }
    }
  ],
  "action": "block",
  "precedence": 14003,
  "enabled": true,
  "description": "",
  "rule_settings": {
    "block_page_enabled": false,
    "block_reason": "",
    "biso_admin_controls": null
  },
  "filters": [
    "http"
  ]
}'

DLPプロファイルを構成するには、事前定義されたプロファイルの更新またはカスタムプロファイルの作成を参照してください。