Cloudflare SASEとMicrosoft
今日の急速に進化するデジタル環境において、組織は環境を近代化し、生産性を向上させるためにクラウド移行をますます受け入れています。Microsoftは、ハイブリッドワークをサポートするための包括的なソリューションスイートを提供するクラウドアプリケーションとサービスの主要なプロバイダーとして浮上しています。しかし、クラウドへの移行は、組織のリソースのセキュリティと整合性を確保するために対処しなければならない新たな課題とリスクももたらします。
組織がハイブリッドおよびマルチクラウド環境に移行する際、ソフトウェアとしてのサービス(SaaS)、自己ホスト型、非ウェブアプリケーションの組み合わせを管理する複雑さに直面することがよくあります。この異種エコシステムは、これらのリソースへのアクセスを保護し制御するプロセスを複雑にする可能性があります。さらに、ユーザーをアプリケーションに安全に接続するために、レガシーのオンプレミスの仮想プライベートネットワーク(VPN)ソリューションに依存することは、セキュリティのギャップを引き起こし、従業員の生産性を妨げる可能性があります。 これらの課題を克服し、より高いセキュリティ成果を達成するために、組織はクラウドセキュリティとパフォーマンスソリューションの主要なプロバイダーであるCloudflareと提携することで利益を得ることができます。Cloudflareは、Microsoftのクラウドエコシステムとのシームレスな統合を提供し、顧客がセキュリティのギャップを排除し、パフォーマンスを向上させ、ハイブリッドワーク環境全体での信頼性を確保できるようにします。
このリファレンスアーキテクチャ図では、Cloudflareのセキュアアクセスサービスエッジ(SASE)プラットフォームとMicrosoftのクラウドアプリケーションおよびサービスの組み合わせが、ゼロトラストセキュリティポスチャーを達成し、クラウドの近代化と生産性を加速し、ハイブリッドワークのための包括的なセキュリティを提供する方法を探ります。Cloudflareのセキュアネットワークアクセス、リスキーなユーザーの隔離、アプリケーションおよびデータの可視性を活用することで、組織は統一されたインターフェースを通じて管理を統合し、場所に関係なく任意のリソースへの安全なアクセスを可能にします。
このリファレンスアーキテクチャは、組織のMicrosoftデプロイメントに対して何らかの責任を持つITまたはセキュリティ専門家を対象としています。これは、MicrosoftとCloudflareがゼロトラストおよびSASEプログラムの観点からどのように統合できるかを理解するのに役立つように設計されています。
Cloudflareの基礎的な理解を深めるために、以下のリソースをお勧めします:
- ソリューションブリーフ: Cloudflare One ↗ (3分で読めます)
- ホワイトペーパー: インターネットネイティブ変革のためのリファレンスアーキテクチャ ↗ (10分で読めます)
- ブログ: ゼロトラスト、SASE、およびSSE: 次世代ネットワークのための基礎概念 ↗ (14分で読めます)
このリファレンスアーキテクチャを読むことで、以下のことを学べます:
- CloudflareとMicrosoftがどのように統合され、ゼロトラストの観点からユーザー、デバイス、アプリケーション、ネットワークを保護できるか
この文書には、CloudflareとSASEに関するより詳細なリファレンスアーキテクチャも付属しています。
この文書はCloudflareを技術的なレベルで検討していますが、プラットフォーム内のすべての製品に関する詳細は提供していません。特定の製品領域やユースケースに関する詳細情報は、開発者ドキュメント ↗を訪れてください。
Cloudflareのゼロトラストネットワークアクセス ↗(ZTNA)は、従来のVPNに対するより迅速で安全な代替手段を提供します。これは、オンプレミスのVPNインフラストラクチャを置き換え、アプリケーションがオンプレミスネットワーク、パブリッククラウド、またはソフトウェアとしてのサービス(SaaS)でホストされているかどうかに関係なく、保護します。Microsoft IntuneおよびMicrosoft Entra ID(旧Azure Active Directory)と統合することで、CloudflareのZTNAサービスは、デフォルト拒否のゼロトラストルールを強制し、ユーザーのアイデンティティとデバイスの姿勢に基づいて内部リソースへの条件付きアクセスを提供します。
MicrosoftとCloudflareは、以下の方法で統合できます。
- Microsoft Entra ID ↗を使用して、すべてのCloudflare保護リソースへの認証を行う
- Microsoft InTune ↗デバイスの姿勢をCloudflareポリシーに活用し、管理された信頼できるデバイスのみが保護されたリソースにアクセスできるようにする
- Cloudflare CASBを使用して、Microsoft 365 ↗テナントを検査し、誤って構成されたアカウントや機密データを含む共有ファイルに関するセキュリティの発見を警告する
- Cloudflareのセキュアウェブゲートウェイを使用して、Outlook、OneDrive、TeamsなどのMicrosoft SaaSアプリケーションへのアクセスを制御する
- Cloudflareのメールセキュリティサービスを使用して、フィッシング攻撃やビジネスメールの妥協からメールの保護を強化する。
CloudflareのEntra IDとの統合により、Entraのアイデンティティを利用して、Cloudflare保護アプリケーションへの認証を行うことができます。グループはSCIMを介してインポートされ、アクセスポリシーで使用されるため、管理が簡素化され、Entra IDでのグループメンバーシップの管理によってアクセス制御が抽象化されます。
- Entra IDは、管理者が条件付きアクセスポリシーを使用してアプリケーションとユーザーの両方にポリシーを作成および強制することを可能にします。
- ユーザーアクセスを制御するための幅広いパラメータを提供し、ユーザーリスクレベル、サインインリスクレベル、デバイスプラットフォーム、場所、クライアントアプリなどを含みます。
- セキュリティチームは、Entra IDでセキュリティコントロールを定義し、CloudflareのZTNAサービスを使用して、すべてのリクエストに対してネットワーク層で強制することができます。
Cloudflareは、デバイスの姿勢に関する情報を含むアクセスポリシーを強制することができます。InTuneはCloudflareに統合でき、InTuneで管理および保護されたデバイスに関する情報を使用して、Cloudflare保護リソースへのアクセス制御を強制することができます。
- デバイスが私たちのエージェントを使用して接続されている場合、CloudflareのZTNAサービスは、ユーザーのデバイスの姿勢とコンプライアンス状態に関するInTuneによって提供される強化されたテレメトリとコンテキストを活用できます。
- InTuneは、ユーザーデバイスのセキュリティステータスと構成に関する詳細情報を提供し、より情報に基づいたアクセス制御の決定を可能にします。
- この統合により、管理者はコンプライアントで安全なデバイスのみが重要なネットワークおよびアプリケーションにアクセスできるようにすることができます。
企業が多数のSaaSアプリケーションを採用するにつれて、一貫したセキュリティ、可視性、およびパフォーマンスを維持することがますます困難になります。各アプリケーションには独自の構成とセキュリティ要件があるため、ITチームはコンプライアンスを維持し、さまざまな環境で機密データを保護するという課題に直面します。
Cloudflare CASB(クラウドアクセスセキュリティブローカー)は、Microsoft 365やその他の人気のあるSaaSアプリケーション全体で広範な可視性を提供することで、これらの課題に対処します。この可視性により、組織は誤った構成、公開されたファイル、ユーザーアクセス、サードパーティアクセスを迅速に特定し、安全でコンプライアントなSaaS環境を確保できます。
私たちのCASBソリューションがデータの保護を行う方法についてはこちらで詳しく学んでください。
Cloudflareのセキュアウェブゲートウェイ(SWG)は、以下の方法でMicrosoft 365への安全でセキュアなアクセスを実現するのに役立ちます:
- トラフィックの検査とフィルタリング: CloudflareのSWGは、Microsoft 365へのトラフィックを含む、インターネット行きのすべてのユーザーおよびデバイストラフィックを検査します。これにより、組織はセキュリティポリシー、コンテンツフィルタリング、および脅威防止措置を適用し、正当で承認されたトラフィックのみがMicrosoft 365サービスに到達するようにします。 上記のように、ポリシーは、管理された安全なデバイスのみがMicrosoft 365およびAzureプラットフォームの任意の部分にアクセスできるように設計できます。
- DLPプロファイルによるデータ保護: トラフィックは、デバイスの姿勢やアイデンティティ情報に基づいて検査されるだけでなく、私たちのDLPエンジンはリクエストの内容を調べ、Microsoft 365およびAzureへの機密情報のダウンロード/アップロードを許可またはブロックできます。
- Cloudflareゲートウェイの強制: Microsoft 365は、特定のIPアドレス範囲からのユーザートラフィックのみを受け入れるように構成できます。Cloudflareは、SWGから出るすべてのトラフィックに関連付けられたIPアドレスを定義し、関連付けることを可能にします。これにより、組織はMicrosoft 365がCloudflare SWGによって指定されたIPアドレス範囲からのトラフィックのみを受け入れるように構成でき、すべてのトラフィックがCloudflareのセキュリティポリシーによって検査され、承認されたことを保証します。
Cloudflare SWGをMicrosoft 365アクセスのセキュアゲートウェイとして活用することで、組織は高度な脅威保護、詳細なアクセス制御、トラフィック検査、中央集権的な可視性の恩恵を受け、リスクを軽減し、コンプライアンスを維持しながら、ユーザーに安全でセキュアな体験を提供できます。
フィッシングは、財務的損失やブランドの損害につながる侵害の90%以上の根本原因です。Cloudflareのメールセキュリティソリューションは、Microsoft 365テナントに送信されるすべてのメールの前に配置され、スパム、バルク、悪意のあるコンテンツやなりすましコンテンツをフィルタリングします。このソリューションは、Microsoftの隔離アクションのルールを活用し、さまざまなメール検出の処理方法を微調整できます。
また、既存のDNSレコードを変更する必要なく、APIを介してMicrosoft 365受信トレイをスキャンするようにクラウドメールセキュリティを構成することも可能です。
CloudflareとMicrosoftとの統合を活用することで、組織は従来のネットワークセキュリティモデルの限界を超えたゼロトラストセキュリティポスチャーを確立できます。Cloudflareのゼロトラストネットワークアクセス(ZTNA)を使用することで、組織は自己ホスト型VPNを置き換え、ユーザーのアイデンティティとデバイスの姿勢に基づいて条件付きアクセスを強制できます。Microsoft Entra IDとの統合により、認証とアクセス制御が可能になり、Microsoft InTuneはデバイスの姿勢情報を提供します。さらに、CloudflareのCASBはMicrosoft 365の構成のセキュリティに関する可視性を提供し、セキュアウェブゲートウェイはMicrosoft 365へのトラフィックを検査およびフィルタリングし、メールセキュリティはフィッシング攻撃から保護し、安全でコンプライアントな環境を確保します。このアプローチにより、アプリケーションへの迅速かつ安全なアクセスが可能になり、アイデンティティとデバイスの姿勢に基づいてユーザーアクセスを詳細に制御できます。
