きっかけ

Twitterで以下のツイートを見て、Yubikeyほしぃ…ということでCloudflare Zero Trustを試してみることに。

Cloudflareユーザ限定、Yubikey 5 NFCを特別価格10ドルで購入できるキャンペーンは2022年12月31日まで。自分の手元には今日届いた。Cloudflareは無料でアカウント作れるし、届いたYubikeyはCloudflare以外のサービスにも使えるよ。 / “Cloudflare Zero TrustとYubicoでシー…” https://t.co/u34qDeWBA2

— 年末u (@matsuu) 2022年11月15日

ちょっとずつ試しているので、追記していく
試した端末は

• Windows10
• iPadOS
• Android
• Linux(Ubuntu)

Cloudflare Zero Trustとはなにか？

Cloudflareが提供するゼロトラスト実現のための環境郡という言い方がいいのか、いわゆるゼロトラストソリューション。
ZTA、ZTNAって差がわかりにくいけどCloudflareのはZTNAベースかな
www.cloudflare.com

機能群としては

• DNSフィルタ
• クラウドProxy
• クラウドFW
• ネットワークコネクタ

あたりがメイン機能っぽい感じだけど、説明見るとCASBとかの機能もありそう。
このあたりの基本機能が、なんとFreeプランで大体使えるという太っ腹戦略なので個人で試してみるのにも良さそうということで登録。

Cloudflare登録している人はダッシュボードからZeroTrustを選択して進む。残念ながら英語のみっぽいけど下手な日本語にされるよりよっぽどマシ。

ダッシュボードにやることが出ているはずなので読んでいけばいいけどマニュアルはこれ

• Access Groupsにユーザとして登録するメールアドレスを含めるように作成
• Cloudflareのルート証明書をインストール
• Warpアプリをインストール
• 最初に登録したメールアドレスでログイン

と言った感じで進める。特に何も指定しないとメール宛にワンタイムコードが送られてくるので、それでログインするとTLSでCloudflareと接続しトンネルを使って各種サービスにアクセスする…という流れ
ログインに関しては各種サービスと連携もできるし、AzureADとの連携が一番良さそうな感じ

使ったときに遭遇した問題

• Androidで何故か証明書入れなくても動いた。でも再ログインしたら全くダメに

これについては原因が大体わかっていて、AndroidのアプリケーションはCA証明書をどのように使うか指定する必要があって、おそらく殆どのアプリがシステムにデフォルトで入っている証明書のみを利用している。なので、証明書エラーでほとんどのアプリがまともに使えなくて諦めた。
まともに使えたのChromeくらいかな

• iOSはほぼ問題無しに使えている

問題が出たのはウマ娘くらい？ CloudflareZeroTrustはIPが北アメリカのものになるのでこれが原因で弾かれていそう
SplitTunnel通してもいいかなと思ったけど、iOS、AndroidはSplitTunnelのドメイン指定でサブドメインの指定が出来ない（反映されない）みたいなのでまともに運用できずってことでここだけ課題か

• Windowsは本当に問題に遭遇してい…Zwiftだけ駄目だったわ。ZwiftはGatewayのフィルタに*.zwift.comをDo Not Inspectで指定してやったら通るようになったので、もしかしたらこれも証明書エラーかな？あと、ウマ娘と同じ原因っぽいのがサーバから応答が帰ってこないケースがあっておそらくIPアドレスで弾かれているのだと思われるページがいくつかあったのでそこは課題。対象のページをNot InspectにしてもProxy自体は通ってるからIPアドレスは変わらないんだよなー