課題:
ゼロトラストによる従業員のアクセスの改善

Cloudflareの創業当初、同社は従業員に仮想プライベートネットワーク(VPN)を介した社内アプリケーションへのアクセスを提供していました。 VPNの背後にある一部のアプリケーションへのアクセスには、通常、AuthyやGoogle Authenticatorなどのアプリケーションによって生成されたワンタイムパスコード(OTP)を使用して行われる2要素認証が必要でした。

Cloudflareは、VPNよりも安全でスケーラブルなアプローチが必要であることに気づき、Cloudflare Accessを活用したゼロトラストアーキテクチャへの移行プロセスを開始しました。

OTPからフィッシング不可能なFIDO認証まで

ゼロトラストアーキテクチャへの移行の一環として、Cloudflareは2018年からFIDOベースのセキュリティキーの使用を開始しました。

FIDO2を使用した背景にある目標は、Cloudflareのゼロトラストモデルを可能にする強力な認証を提供することでした。

「フィッシングできないものが欲しかったのです」と、Cloudflareのエンタープライズセキュリティ担当ディレクターであるDerek Pitts氏は述べています。 「IDおよびアクセス管理インフラストラクチャの多くをやり直すという面倒な作業を行うのであれば、将来を見据えた回復力のあるものにしたかったのです」

選択的実施による導入の障壁の克服

CloudflareがFIDOセキュリティキーを採用するまでの道のりは、完全に平坦な道のりではありませんでした。 当初は、アカウントの復旧や紛失した物理的なセキュリティキーの交換について懸念がありました。

もう一つの課題は、CloudflareのユーザーがGoogle Authenticator(Authy)でOTPテクノロジーを使用することに慣れているという事実でした。 ユーザーの変更に対する嫌悪感と教育の管理は、OTPからFIDOセキュリティキーへの切り替えにおける重要な要素でした。 このため、Cloudflareは、ユーザーをロックアウトする可能性のあるユーザーに変更を強制しないように、選択的な強制アプローチを採用しました。

Cloudflareが行ったのは、内部ユーザーが内部サイトへのアクセスに使用するアクセスID認識プロキシにFIDOを統合することでした。 Cloudflareは当初、すべての社内サイトにFIDOをすぐに要求するのではなく、3つのサイトでのみセキュリティキーの使用を要求しました。 2020年7月20日、Twitterがソーシャルエンジニアリング攻撃の被害に遭った日に、FIDOセキュリティキーの選択的エンフォースメントが有効になりました。

「あの日は大混乱でした。私たちは
それは私たちには起こりませんでした」とピッツは言いました。

Pitts氏によると、最も機密性の高い3つの社内アプリにFIDO2/WebAuthnの使用を義務付けることで、従業員がテクノロジーに慣れるためのトレーニングの場を提供し、採用が拡大しました。 2021年、Cloudflareはネットワーク全体でFIDOセキュリティキーを要求するように切り替えました。

概要


2010年に設立されたCloudflare 世界有数の インターネットコンテンツ配信と セキュリティプラットフォーム。

概要
Cloudflareは、世界でも有数の 最も多く導入されているセキュリティと コンテンツ配信プラットフォーム。 Cloudflareの製品には以下が含まれます 以下を含むさまざまなサービス Web パフォーマンス、アプリケーション ネットワーク、ゼロトラスト、 開発者サービス。

Cloudflareのネットワークハンドル 3,600万件以上のHTTPリクエスト 毎秒、124を超えるブロック 1日に10億件のサイバー攻撃が発生しています。 ザ Cloudflareネットワークが終了しました 周囲に200の拠点 地球儀。

「選択的強制執行は、私たちにとって大きな問題となりました」とPitts氏は言います。 「これは、このプロジェクトを成功に導いた最大の強制力の1つでした」。

Cloudflareのブログ 「CloudflareがFIDO2と ゼロトラストでハードウェアキーを実装してフィッシングを防止する方法」で、FIDO認証の実装について詳しくご紹介しています。

事故の教訓:
小さな成功を可能な限り積み重ねる

当初から、強力な認証への移行には、CloudflareのCEO、CIO、CSOによるトップダウンのサポートがありました。 Pitts氏は、経営陣の賛同を得ることが重要であり、問題が発生したときにチームが押し通すのに役立つと述べました。

Cloudflareは大規模で複雑なネットワークアーキテクチャを採用しており、一夜にしてWebAuth/FIDO2に移行したわけではありません。 Pitts氏は、このテクノロジーがセキュリティの向上に有効であることを証明するのに役立った一連の小さな成功を基盤に、複数年にわたる取り組みが成功したと述べています。

スモールウィンのアプローチには、Cloudflareの選択的エンフォースメントアプローチが組み込まれています。 Pitts氏は、ユーザーがセキュリティキーを試し、そのアプローチに慣れることができるトレーニングの場を持つことが重要だと述べています。