hacktricks-cloud/src/pentesting-ci-cd/cloudflare-security/cloudflare-zero-trust-network.md

Cloudflare Zero Trust Network

{{#include ../../banners/hacktricks-training.md}}

Cloudflare Zero Trust Network アカウントには、構成可能な 設定とサービス があります。このページでは、各セクションの セキュリティ関連設定 を 分析 します。

Analytics

• 環境を 理解する のに役立ちます

Gateway

• Policies では、アプリケーションにアクセスできるユーザーを DNS、ネットワーク、または HTTP リクエストによって 制限 するポリシーを生成できます。
• 使用される場合、ポリシー を作成して悪意のあるサイトへのアクセスを 制限 できます。
• これは ゲートウェイが使用されている場合のみ関連 します。使用されていない場合、防御的ポリシーを作成する理由はありません。

Access

Applications

各アプリケーションについて：

• 誰 がアプリケーションにアクセスできるかを Policies で確認し、アクセスが必要なユーザーのみ がアプリケーションにアクセスできることを確認します。
• アクセスを許可するために Access Groups が使用され（追加ルール も設定可能）、
• 利用可能なアイデンティティプロバイダー を確認し、あまりオープンでない ことを確認します。
• Settings で：
• CORSが有効でないこと を確認します（有効な場合は、安全であり、すべてを許可していない ことを確認します）。
• クッキーには Strict Same-Site 属性、HTTP Only が必要で、アプリケーションがHTTPの場合は binding cookie を 有効 にする必要があります。
• より良い 保護のために Browser rendering を有効にすることも検討してください。リモートブラウザアイソレーションの詳細は こちら。

Access Groups

• 生成されたアクセスグループが 正しく制限 されていることを確認します。
• デフォルトのアクセスグループがあまりオープンでない ことを特に確認することが重要です（多くの人を許可していない）。デフォルトでは、その グループ の誰でも アプリケーションにアクセス できるようになります。
• EVERYONE に アクセス を与えることや、非常にオープンなポリシー を設定することが可能ですが、100% 必要でない限り推奨されません。

Service Auth

• すべてのサービストークンが 1年以内に期限切れ になることを確認します。

Tunnels

TODO

My Team

TODO

Logs

• ユーザーからの 予期しないアクション を検索できます

Settings

• プランタイプ を確認します
• クレジットカードの所有者名、最後の4桁、有効期限、および 住所 を確認できます
• 実際にこのサービスを使用していないユーザーを削除するために ユーザーシートの有効期限を追加 することを推奨します

{{#include ../../banners/hacktricks-training.md}}