🎛️

Cloudflare Zero Trust と CrowdStrike Zero Trust Assessment 連携について

2023/09/24に公開

はじめに

Cloudflare Zero TrustサービスとCrowdStrike Zero Trust Assesment連携について
簡単にまとめた記事になります。

Cloudflare Zero Trust

Cloudflare Zero Trustは、エンドユーザーやデバイス、アプリケーションにアクセスする際の全てのリクエストを認証認可し、一つの統一されたプラットフォームで提供します。場所やデバイスを問わず、あらゆるアプリケーションにアクセスするあらゆるユーザーを保護します。

https://www.cloudflare.com/ja-jp/zero-trust/products/

CrowdStrike Zero Trust Assessment

CrowdStrike Zero Trust Assessment (ZTA) は、エンドポイントのセキュリティとコンプライアンスをリアルタイムでチェックします。Zero Trust Assessmentは、組織の現在のセキュリティポスチャを評価し、Zero Trustモデルに基づいてリスクを特定・軽減するための推奨事項を提供するサービスです。

https://www.crowdstrike.com/resources/videos/zero-trust-assessment-demo/

連携の利点

  • 統合されたセキュリティ: CloudflareとCrowdStrikeの連携により、ゼロトラストアクセスとネットワーク、デバイスポリシーにエンドポイントセキュリティとのギャップを埋めることができます。これにより組織全体のデバイスポスチャを強化することができます。

実装の概要

CloudflareとCrowdStrikeはAPIを通じて連携します。これにより、エンドポイントでの脅威検出時にCloudflareが自動的に対策を実施することができるようになります。また、セキュリティイベントやログデータを共有することで、より高度な分析や応答策を策定することができます。

CrowdStrikeアカウント

今回は特別にお試しでご招待していただきました。
Eメールアカウントの登録と二要素認証設定が必要になります。

CrowdStrike Falcon Sensorインストール

Windows/Mac/Ubuntu/RHEL/SLES/Debian/Amazon Linuxに対応。

今回は手持ちのmacOSにFalcon Sensorをインストール
インストール時にCustomer IDの入力が必要ですが
ダウンロードページに記載があるのでコピペ

CrowdStrikeとの接続を確認

MacPro ~ % sudo /Applications/Falcon.app/Contents/Resources/falconctl stats
=== CloudInfo ===

Cloud Info
    Host: ts01-gyr-maverick.cloudsink.net
    Port: 443
    State: connected

CrowdStrike ポリシーとグループについて

CrowdStrikeは、エンドポイント保護プラットフォーム (EPP) として知られるクラウドベースのセキュリティソリューションを提供しています。CrowdStrike Falconは、エンドポイントにリアルタイムで脅威を検出、防御、対応するための多数の技術を持っています。その中の重要な機能の一部として、ポリシーとグループが存在します。

ポリシー

ポリシーは、特定のセキュリティ関連の動作や設定を定義するルールセットです。これには、マルウェア保護、脅威検出の感度、アプリケーションのコントロール、デバイス制御、他の特定のセキュリティ関連の動作などが含まれることがあります。

ポリシーには、「防止ポリシー (Prevention Policy)」、「センサー更新ポリシー (Sensor Update Policy)」など種類があります。

CrowdStrikeでは、管理者は様々なポリシーを作成し、適用することができます。これにより、特定のエンドポイントやユーザーグループに対して、カスタマイズされた保護設定を適用することが可能です。

グループ

グループは、複数のエンドポイントを組織化するための概念です。グループを使用することで、管理者はエンドポイントを特定の部門、地域、用途などに基づいてセグメント化できます。例えば、経理部門とエンジニアリング部門で異なるセキュリティ要件がある場合、それぞれの部門に対して別々のグループを作成し、それぞれのグループに異なるポリシーを適用することができます。

今回インストールしたmacOSのホストを「ホストグループ」に所属させ、ホストグループにポリシーを割り当てることで、ホストのグループ毎に各種設定を管理できます。

グループはまた、エンドポイントの管理やモニタリングを簡単にするためのツールとしても使用されます。グループに基づいてエンドポイントのアクティビティをフィルタリングしたり、特定のグループに対して一括してアクションを実行することも可能です。

CrowdStrike Zero Trust Assessmentホスト評価

サブスクリプション:Falcon Insight XDR が必要です。

Crowd Strike Zero Trust Assesment(ZTA)は、組織内のホストのOS設定やセンサー設定をモニタリングします。 対象となるホストをきめ細かく評価することで、各ホストのセキュリティポスチャを端的に表すスコアを導き出します。

各ホストのセキュリティスコアを1~100で計算します。スコアが高いほど、ホストのセキュリティポスチャが優れていることを意味します。


macOSセキュリティ設定や適用ポリシーにより自動的に評価されスコアが導き出されました。
こちらのスコアがCloudflare Zero Trustサービスと連携することが可能です。

種類 スコア 概要
OS signal 1-100 ホストのOS設定評価
Sensor config 1-100 Falconセンサーによる評価
Overall ZTA 1-100 総合評価

Cloudflare Zero TrustとCrowdStrikeを連携する

CrowdStrike APIクライアントキーを作成

Cloudflare Zero TrustサービスのWARP Client設定

Device posture providersで追加

CrowdStrikeで取得したAPI URL, Customer ID, Client IDを登録

設定が問題なければテストで合格

Service provider checksを追加

CrowdStrike ZTAスコア範囲等を設定し保存

下記スコアとZTAバージョン指定が可能

Selector Value Description
OS 1-100 ホストのOS設定評価
Sensor 1-100 Falconセンサーによる評価
Overall 1-100 総合評価
Version 2.1.0 ZTAスコアバージョン

Cloudflare Zero Trust Gateway ポリシー

Secure Web GatewayポリシーにDevice Postureで指定することが可能です。
CrowdStrike ZTAスコアを満たしている端末のみ特定サイトやネットワーク接続を許可する
といったことが可能となります。


まとめ

CloudflareとCrowdStrikeを連携することにより包括的なセキュリティと迅速なネットワークブロッキングが可能です。又、両方のサービスを組み合わせることで、統一されたダッシュボードとアラートメカニズムを通じてセキュリティの監視と管理が容易になります。

CloudflareのZero TrustソリューションとCrowdStrikeのエンドポイントセキュリティを組み合わせることで、強力なZero Trustセキュリティアーキテクチャを実現することができます。

*日々CrowdStrikeとの連携が進んでいます。
https://blog.cloudflare.com/cloudflare-email-security-now-works-with-crowdstrike-falcon-logscale/

Discussion