Summary ¶

Zero Trust のアカウント ¶

今回は GitHub のアカウントで認証する。
MFAのアカウント増やしたくないし、 Google アカウントでやると @gmail.com になってしまったりログインする時に制約があるので GitHub に寄せておく。

そのさい、 Zero Trust では認証すると email フィールドに GitHub の Primary EMail が入るので Gmail などで label を使う設定をしていると ([email protected] など) のちのちしようとしている SSH のアクセスを ブラウザでする機能でユーザー認証できない、ため注意する。

Configure short-lived certificates · Cloudflare Zero Trust docs

Cloudflare Access can replace traditional SSH key models with short-lived certificates issued to your users based on the token generated by their …

developers.cloudflare.com

GitHub では Email の登録画面で登録した連絡先の Primary が認証時に CloudFlare に返ってくるのでこれを変更する。課題やトピック通知などは Notifications の Default notifications email で選択された連絡先に送付されるため今まで通りとなった。

Tunnels を張る ¶

今回は pfSense のライセンス形態が変更されて新規ライセンスが有料となってしまったので OPNsense の載せ替えを検討していて損タイミングでの導入になる(どうせならグローバルIPで晒してないキレイな状態で CloudFlare に向けたほうがリスクが少ないからである)

OPNsense or pfSense に cloudflared をインストールする

切断通知の設定 ¶

CloudFlare の機能として Tunnel の切断時などに通知ができるようなので設定しておく

Notifications · Cloudflare Zero Trust docs

Administrators can receive an alert when Cloudflare Tunnels in an account change their health or deployment status. Notifications can be delivered via …

developers.cloudflare.com

Dashboard での設定 ¶

Login methods ¶

GitHub の認証を追加

GitHub - IdP Integration · Cloudflare Zero Trust docs

Cloudflare Zero Trust allows your team to connect to your applications using their GitHub login. Administrators can build rules for specific …

developers.cloudflare.com

App Launcher ¶

App Launcher の設定を追加

App Launcher · Cloudflare Zero Trust docs

With the Access App Launcher, users can open all applications that they have access to from a single dashboard.

developers.cloudflare.com

Access groups ¶

Access groups の作成、最初に作っておくのが吉

Access groups · Cloudflare Zero Trust docs

An Access group is a set of rules that can be configured once and then quickly applied across many Access applications. You can assign an Access group …

developers.cloudflare.com

Application の設定 ¶

弊宅では一般家庭なので 150 ほど Application を登録必要があるのがわかったのでいろいろ確認した結果、 Application ID を Tuneel の Public hostname に指定していくことで自動化しやすいので脳死で名前を決められるようにした。

そのため下記の順番で設定する必要がある

1. Application を作る
2. Public hostname の設定

Application を作る ¶

Applications · Cloudflare Zero Trust docs

Cloudflare Zero Trust can secure self-hosted and SaaS applications with Zero Trust rules.

developers.cloudflare.com

Public hostname の設定 ¶

Public hostnames · Cloudflare Zero Trust docs

With Cloudflare Tunnel, you can expose your HTTP resources to the Internet via a public hostname. For example, you can add a route that points …

developers.cloudflare.com

SSH もやる場合 ¶

2024/02 月現在は Beta だが利用できる。

1. Short-lived certificates
2. 接続先に linux ユーザーを Email のユーザー名と同一名で作る
3. sshd の設定を更新する
4. Application の作成(Browser rendering: SSH に設定する必要があるため新規作成が必要)
   1. Public hostname を設定して ssh を指定する

Configure short-lived certificates · Cloudflare Zero Trust docs

Cloudflare Access can replace traditional SSH key models with short-lived certificates issued to your users based on the token generated by their …

developers.cloudflare.com

プログラムアクセスさせる場合 ¶

Service Auth という場所で HTTP header, TLS 証明, SSH と選べるのでどれかを選択。 API 系の同期が多いと思うので、 Service Tokens がみんな設定することになるのではないだろうか

Service tokens · Cloudflare Zero Trust docs

You can provide automated systems with service tokens to authenticate against your Zero Trust policies. Cloudflare Access will generate service tokens …

developers.cloudflare.com

参考情報 ¶

少し古いが概要を掴むには十分でボリュームのしっかりとあり大変参考になった

ゼロトラスト・アーキテクチャを無料で（やれるだけ）実現する

ゼロトラスト・アーキテクチャを無料で（やれるだけ）実現する - Download as a PDF or view online for free

www.slideshare.net