# Cloudflare Zero Trust Network {{#include ../../banners/hacktricks-training.md}} У обліковому записі **Cloudflare Zero Trust Network** є деякі **налаштування та сервіси**, які можна налаштувати. На цій сторінці ми будемо **аналізувати налаштування, пов'язані з безпекою, кожного розділу:**
### Аналітика - [ ] Корисно для **ознайомлення з середовищем** ### **Шлюз** - [ ] У **`Політиках`** можна створювати політики для **обмеження** доступу до додатків за **DNS**, **мережею** або **HTTP** запитом. - Якщо використовується, **політики** можуть бути створені для **обмеження** доступу до шкідливих сайтів. - Це **актуально лише якщо використовується шлюз**, якщо ні, немає причин створювати захисні політики. ### Доступ #### Додатки На кожному додатку: - [ ] Перевірте **хто** може отримати доступ до додатку в **Політиках** і переконайтеся, що **тільки** **користувачі**, які **потребують доступу** до додатку, можуть отримати доступ. - Для надання доступу будуть використовуватися **`Групи доступу`** (також можуть бути встановлені **додаткові правила**) - [ ] Перевірте **доступних постачальників ідентичності** і переконайтеся, що вони **не занадто відкриті** - [ ] У **`Налаштуваннях`**: - [ ] Перевірте, що **CORS не увімкнено** (якщо увімкнено, перевірте, що воно **безпечне** і не дозволяє все) - [ ] Файли cookie повинні мати атрибут **Strict Same-Site**, **HTTP Only** і **прив'язка cookie** повинна бути **увімкнена**, якщо додаток є HTTP. - [ ] Розгляньте можливість увімкнення також **рендерингу браузера** для кращого **захисту. Більше інформації про** [**ізоляцію віддаленого браузера тут**](https://blog.cloudflare.com/cloudflare-and-remote-browser-isolation/)**.** #### **Групи доступу** - [ ] Перевірте, що згенеровані групи доступу **правильно обмежені** для користувачів, яким вони повинні надавати доступ. - [ ] Особливо важливо перевірити, що **група доступу за замовчуванням не є дуже відкритою** (вона **не дозволяє занадто багатьом людям**), оскільки за **замовчуванням** будь-хто в цій **групі** зможе **отримати доступ до додатків**. - Зверніть увагу, що можливо надати **доступ** **ВСІМ** та інші **дуже відкриті політики**, які не рекомендуються, якщо це не є 100% необхідним. #### Аутентифікація сервісу - [ ] Перевірте, що всі токени сервісу **закінчуються через 1 рік або менше** #### Тунелі TODO ### Моя команда TODO ### Журнали - [ ] Ви можете шукати **неочікувані дії** від користувачів ### Налаштування - [ ] Перевірте **тип плану** - [ ] Можна побачити **ім'я власника кредитної картки**, **останні 4 цифри**, **дату закінчення** та **адресу** - [ ] Рекомендується **додати термін дії користувацького місця**, щоб видалити користувачів, які насправді не використовують цей сервіс {{#include ../../banners/hacktricks-training.md}}