7
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

新人プログラマ応援 - みんなで新人を育てよう!
@hidekko(hideaki koga)

【ついに我が家も】Cloudflareでゼロトラスト環境構築01【Zero Trust】

7
Posted at

皆様おはようございます。
つい最近我が家もZero Trust環境に移行したのでその経緯と概要を公開します。

Zero Trust製品選定

Zero Trustに移行した経緯

今後MicrosoftはWindows OSにL2TP/IPsecが非推奨になり、将来的に使えなくなることを発表しています。
我が家ではL2TP/IPsecを利用しているので移行先を検討していました。

なぜZero Trustか?従来型のVPNをZero Trustと何が違うのか?

Zero Trustだと従来のL2TP/IPsecのようにインターネットから内部へのインバウンド通信を許可する必要がないのでAttack Surfaceが減ります。
最近はやりのAttack Surface Management(=ASM)ですね。

Attack Surface Management(ASM)は公開されている攻撃対象領域を可視化・管理する考え方です。

選定基準

価格

当然我が家は逸般の誤家庭なので、検証環境も全部自腹です。
なので費用がかからないこしたことは無いです。

設定の簡便さ

こちらも分かりやすくて簡単に越したことはないですね。

実装機能の多さ

価格や設定の簡便さと矛盾しますが、搭載されている機能は多い方が良いです。
エンタープライズのZero Trust製品と当然仕組みやプロトコルは違えど、概念的に同じものであれば頭の中である程度置き換えが可能(なはず?)なので機能がエンタープライズに準拠していることも条件に含めました。

製品選定結論

上述の3つの条件を満たすZero Trust製品としてCloudflareを選びました。

構成図

基本構成

まずは構成図です。
image.png

通信経路

通信経路としては以下の通りです。
image.png
緑線は家の中のRaspberry PiにCloudflaredというDaemonをインストールし、インターネット上の自身が契約するCloudflareのテナントに接続する通信です。
この通信はポーリングではなくHTTPS(TCP: 443)ベースで確立されるWebSocketやHTTP/2などを利用した永続的なコネクションを維持するアウトバウンド通信です。
厳密には永続セッション&自動再接続のTCP:443ベース通信です。

赤線は外出先のノートPCにWARPというCloudflare謹製のエージェントをインストールし、このエージェントがインターネット上の自身が契約しているCloudflareのテナントに接続する通信です。

こうしてCloudflareをHubとしたHub&Spoke通信が確立します。

CloudflaredとCloudflare WARPの役割の違いは

  • cloudflared(Connector): 内部ネットワーク側から外向きに常時接続
  • Cloudflare WARP(Client): 外部クライアントからCloudflareへ接続

という点です。

RTX1300配下の様々なセグメントへの通信

image.png
Cloudflare WARPに落ちてきているセグメント一覧です。
これはWARPクライアント側でのスプリットトンネル設定であり、特定のプライベートネットワーク宛通信のみをCloudflare経由にするための設定です。
Cloudflared Connectorは単一セグメントに配置されていますが、RTX1300によるルーティングにより他セグメントへの到達性を持っています。
そのためCloudflare上でルートを登録することで複数セグメントへのアクセスが可能になります。

WARPエージェントから通信をルーティングしたいセグメントをCloudflare上で設定し、WARPエージェントがCloudflareに接続するとCloudflare上で設定したルーティング情報が配布される仕組みです。

従来構成との違い

表でまとめました。

項目 L2TP/IPsec Cloudflare Zero Trust
接続方式 インバウンド アウトバウンド
ポート開放 必要 不要
NAT越え 困難な場合あり 容易
セキュリティ 境界防御 ゼロトラスト

なおZero Trustは単に通信経路を変更するものではなく、「すべての通信を信頼せず検証する」という前提の設計思想であるため、認証・認可ポリシーと組み合わせて初めて効果を発揮します。

まとめ

  1. L2TP/IPsecが使えなくなるので代替案を検討する必要がある
  2. 無料でZero Trustを試すならCloudflareがおすすめ
  3. 接続先のネットワーク内にCloudflareのDaemonが動作する何某か(今回はRaspberry Pi)が必要
  4. 外出先に持っていくPCにはCloudflare WARPのエージェントをインストールする必要がある
  5. Zero Trustの通信は内部からのアウトバウンド通信のみで確立する

今回は概要のみの説明ですが、次回はCloudflared(Tunnel)の構築手順を具体的に解説します。

本日はここまで。

7
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
7
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?