Cloudflare Zero Trust と CrowdStrike Zero Trust Assessment 連携について
はじめに
Cloudflare Zero TrustサービスとCrowdStrike Zero Trust Assesment連携について
簡単にまとめた記事になります。
Cloudflare Zero Trust
Cloudflare Zero Trustは、エンドユーザーやデバイス、アプリケーションにアクセスする際の全てのリクエストを認証認可し、一つの統一されたプラットフォームで提供します。場所やデバイスを問わず、あらゆるアプリケーションにアクセスするあらゆるユーザーを保護します。
CrowdStrike Zero Trust Assessment
CrowdStrike Zero Trust Assessment (ZTA) は、エンドポイントのセキュリティとコンプライアンスをリアルタイムでチェックします。Zero Trust Assessmentは、組織の現在のセキュリティポスチャを評価し、Zero Trustモデルに基づいてリスクを特定・軽減するための推奨事項を提供するサービスです。
連携の利点
- 統合されたセキュリティ: CloudflareとCrowdStrikeの連携により、ゼロトラストアクセスとネットワーク、デバイスポリシーにエンドポイントセキュリティとのギャップを埋めることができます。これにより組織全体のデバイスポスチャを強化することができます。
実装の概要
CloudflareとCrowdStrikeはAPIを通じて連携します。これにより、エンドポイントでの脅威検出時にCloudflareが自動的に対策を実施することができるようになります。また、セキュリティイベントやログデータを共有することで、より高度な分析や応答策を策定することができます。
CrowdStrikeアカウント
今回は特別にお試しでご招待していただきました。
Eメールアカウントの登録と二要素認証設定が必要になります。
CrowdStrike Falcon Sensorインストール
Windows/Mac/Ubuntu/RHEL/SLES/Debian/Amazon Linuxに対応。
今回は手持ちのmacOSにFalcon Sensorをインストール
インストール時にCustomer IDの入力が必要ですが
ダウンロードページに記載があるのでコピペ
CrowdStrikeとの接続を確認
MacPro ~ % sudo /Applications/Falcon.app/Contents/Resources/falconctl stats
=== CloudInfo ===
Cloud Info
Host: ts01-gyr-maverick.cloudsink.net
Port: 443
State: connected
CrowdStrike ポリシーとグループについて
CrowdStrikeは、エンドポイント保護プラットフォーム (EPP) として知られるクラウドベースのセキュリティソリューションを提供しています。CrowdStrike Falconは、エンドポイントにリアルタイムで脅威を検出、防御、対応するための多数の技術を持っています。その中の重要な機能の一部として、ポリシーとグループが存在します。
ポリシー
ポリシーは、特定のセキュリティ関連の動作や設定を定義するルールセットです。これには、マルウェア保護、脅威検出の感度、アプリケーションのコントロール、デバイス制御、他の特定のセキュリティ関連の動作などが含まれることがあります。
ポリシーには、「防止ポリシー (Prevention Policy)」、「センサー更新ポリシー (Sensor Update Policy)」など種類があります。
CrowdStrikeでは、管理者は様々なポリシーを作成し、適用することができます。これにより、特定のエンドポイントやユーザーグループに対して、カスタマイズされた保護設定を適用することが可能です。
グループ
グループは、複数のエンドポイントを組織化するための概念です。グループを使用することで、管理者はエンドポイントを特定の部門、地域、用途などに基づいてセグメント化できます。例えば、経理部門とエンジニアリング部門で異なるセキュリティ要件がある場合、それぞれの部門に対して別々のグループを作成し、それぞれのグループに異なるポリシーを適用することができます。
今回インストールしたmacOSのホストを「ホストグループ」に所属させ、ホストグループにポリシーを割り当てることで、ホストのグループ毎に各種設定を管理できます。
グループはまた、エンドポイントの管理やモニタリングを簡単にするためのツールとしても使用されます。グループに基づいてエンドポイントのアクティビティをフィルタリングしたり、特定のグループに対して一括してアクションを実行することも可能です。
CrowdStrike Zero Trust Assessmentホスト評価
サブスクリプション:Falcon Insight XDR が必要です。
Crowd Strike Zero Trust Assesment(ZTA)は、組織内のホストのOS設定やセンサー設定をモニタリングします。 対象となるホストをきめ細かく評価することで、各ホストのセキュリティポスチャを端的に表すスコアを導き出します。
各ホストのセキュリティスコアを1~100で計算します。スコアが高いほど、ホストのセキュリティポスチャが優れていることを意味します。
macOSセキュリティ設定や適用ポリシーにより自動的に評価されスコアが導き出されました。
こちらのスコアがCloudflare Zero Trustサービスと連携することが可能です。
| 種類 | スコア | 概要 |
|---|---|---|
| OS signal | 1-100 | ホストのOS設定評価 |
| Sensor config | 1-100 | Falconセンサーによる評価 |
| Overall ZTA | 1-100 | 総合評価 |
Cloudflare Zero TrustとCrowdStrikeを連携する
CrowdStrike APIクライアントキーを作成
Cloudflare Zero TrustサービスのWARP Client設定
Device posture providersで追加
CrowdStrikeで取得したAPI URL, Customer ID, Client IDを登録
設定が問題なければテストで合格
Service provider checksを追加
CrowdStrike ZTAスコア範囲等を設定し保存
下記スコアとZTAバージョン指定が可能
| Selector | Value | Description |
|---|---|---|
| OS | 1-100 | ホストのOS設定評価 |
| Sensor | 1-100 | Falconセンサーによる評価 |
| Overall | 1-100 | 総合評価 |
| Version | 2.1.0 | ZTAスコアバージョン |
Cloudflare Zero Trust Gateway ポリシー
Secure Web GatewayポリシーにDevice Postureで指定することが可能です。
CrowdStrike ZTAスコアを満たしている端末のみ特定サイトやネットワーク接続を許可する
といったことが可能となります。
まとめ
CloudflareとCrowdStrikeを連携することにより包括的なセキュリティと迅速なネットワークブロッキングが可能です。又、両方のサービスを組み合わせることで、統一されたダッシュボードとアラートメカニズムを通じてセキュリティの監視と管理が容易になります。
CloudflareのZero TrustソリューションとCrowdStrikeのエンドポイントセキュリティを組み合わせることで、強力なZero Trustセキュリティアーキテクチャを実現することができます。
*日々CrowdStrikeとの連携が進んでいます。
Discussion