# Cloudflare Zero Trust Network {{#include ../../banners/hacktricks-training.md}} In un **account Cloudflare Zero Trust Network** ci sono alcune **impostazioni e servizi** che possono essere configurati. In questa pagina andremo ad **analizzare le impostazioni relative alla sicurezza di ciascuna sezione:**
### Analytics - [ ] Utile per **conoscere l'ambiente** ### **Gateway** - [ ] In **`Policies`** è possibile generare politiche per **restrigere** per **DNS**, **rete** o **richiesta HTTP** chi può accedere alle applicazioni. - Se utilizzate, le **politiche** potrebbero essere create per **restrigere** l'accesso a siti dannosi. - Questo è **solo rilevante se viene utilizzato un gateway**, altrimenti non c'è motivo di creare politiche difensive. ### Access #### Applications Su ciascuna applicazione: - [ ] Controlla **chi** può accedere all'applicazione nelle **Policies** e verifica che **solo** gli **utenti** che **hanno bisogno di accesso** all'applicazione possano accedere. - Per consentire l'accesso verranno utilizzati **`Access Groups`** (e possono essere impostate anche **regole aggiuntive**) - [ ] Controlla i **provider di identità disponibili** e assicurati che **non siano troppo aperti** - [ ] In **`Settings`**: - [ ] Controlla che **CORS non sia abilitato** (se è abilitato, verifica che sia **sicuro** e non consenta tutto) - [ ] I cookie dovrebbero avere l'attributo **Strict Same-Site**, **HTTP Only** e il **binding cookie** dovrebbe essere **abilitato** se l'applicazione è HTTP. - [ ] Considera di abilitare anche il **Browser rendering** per una migliore **protezione. Maggiori informazioni su** [**remote browser isolation here**](https://blog.cloudflare.com/cloudflare-and-remote-browser-isolation/)**.** #### **Access Groups** - [ ] Controlla che i gruppi di accesso generati siano **correttamente ristretti** agli utenti che dovrebbero consentire. - [ ] È particolarmente importante controllare che il **gruppo di accesso predefinito non sia molto aperto** (non **consente troppe persone**) poiché per **default** chiunque in quel **gruppo** potrà **accedere alle applicazioni**. - Nota che è possibile dare **accesso** a **TUTTI** e altre **politiche molto aperte** che non sono raccomandate a meno che non siano 100% necessarie. #### Service Auth - [ ] Controlla che tutti i token di servizio **scadano in 1 anno o meno** #### Tunnels TODO ### My Team TODO ### Logs - [ ] Potresti cercare **azioni inaspettate** da parte degli utenti ### Settings - [ ] Controlla il **tipo di piano** - [ ] È possibile vedere il **nome del proprietario della carta di credito**, **ultime 4 cifre**, **data di scadenza** e **indirizzo** - [ ] È consigliato **aggiungere una scadenza per il posto utente** per rimuovere gli utenti che non utilizzano realmente questo servizio {{#include ../../banners/hacktricks-training.md}}