# Cloudflare Zero Trust Network {{#include ../../banners/hacktricks-training.md}} **Cloudflare Zero Trust Network** アカウントには、構成可能な **設定とサービス** があります。このページでは、各セクションの **セキュリティ関連設定** を **分析** します。
### Analytics - [ ] 環境を **理解する** のに役立ちます ### **Gateway** - [ ] **`Policies`** では、アプリケーションにアクセスできるユーザーを **DNS**、**ネットワーク**、または **HTTP** リクエストによって **制限** するポリシーを生成できます。 - 使用される場合、**ポリシー** を作成して悪意のあるサイトへのアクセスを **制限** できます。 - これは **ゲートウェイが使用されている場合のみ関連** します。使用されていない場合、防御的ポリシーを作成する理由はありません。 ### Access #### Applications 各アプリケーションについて: - [ ] **誰** がアプリケーションにアクセスできるかを **Policies** で確認し、**アクセスが必要なユーザーのみ** がアプリケーションにアクセスできることを確認します。 - アクセスを許可するために **`Access Groups`** が使用され(**追加ルール** も設定可能)、 - [ ] **利用可能なアイデンティティプロバイダー** を確認し、**あまりオープンでない** ことを確認します。 - [ ] **`Settings`** で: - [ ] **CORSが有効でないこと** を確認します(有効な場合は、**安全であり、すべてを許可していない** ことを確認します)。 - [ ] クッキーには **Strict Same-Site** 属性、**HTTP Only** が必要で、アプリケーションがHTTPの場合は **binding cookie** を **有効** にする必要があります。 - [ ] より良い **保護のために** **Browser rendering** を有効にすることも検討してください。**リモートブラウザアイソレーションの詳細は** [**こちら**](https://blog.cloudflare.com/cloudflare-and-remote-browser-isolation/)**。** #### **Access Groups** - [ ] 生成されたアクセスグループが **正しく制限** されていることを確認します。 - [ ] **デフォルトのアクセスグループがあまりオープンでない** ことを特に確認することが重要です(**多くの人を許可していない**)。デフォルトでは、その **グループ** の誰でも **アプリケーションにアクセス** できるようになります。 - **EVERYONE** に **アクセス** を与えることや、**非常にオープンなポリシー** を設定することが可能ですが、100% 必要でない限り推奨されません。 #### Service Auth - [ ] すべてのサービストークンが **1年以内に期限切れ** になることを確認します。 #### Tunnels TODO ### My Team TODO ### Logs - [ ] ユーザーからの **予期しないアクション** を検索できます ### Settings - [ ] **プランタイプ** を確認します - [ ] **クレジットカードの所有者名**、**最後の4桁**、**有効期限**、および **住所** を確認できます - [ ] 実際にこのサービスを使用していないユーザーを削除するために **ユーザーシートの有効期限を追加** することを推奨します {{#include ../../banners/hacktricks-training.md}}