チュートリアル: Microsoft Entra 外部 ID で Cloudflare Web Application Firewall を構成する
このチュートリアルでは、Cloudflare Web Applcation Firewall (Cloudflare WAF) を構成して、分散型サービス拒否 (DDoS)、悪意のあるボット、Open Worldwide Application Security Project (OWASP) 上位 10 件のセキュリティ リスクなどの攻撃から組織を保護する方法について説明します。
前提条件
開始するには、以下が必要です。
- Microsoft Entra 外部 ID テナント
- Microsoft Azure Front Door (AFD)
- WAF を使用した Cloudflare アカウント
Microsoft Entra 外部 ID を使用したコンシューマーと顧客向けのテナントとアプリのセキュリティ保護について説明します。
シナリオの説明
- Microsoft Entra 外部 ID テナント: テナントに対して定義されたカスタム ポリシーを使用してユーザー資格情報を検証する ID プロバイダー (IdP) および承認サーバーです。
- Azure Front Door: Microsoft Entra 外部 ID に対してカスタム URL ドメインを有効にします。 カスタム URL ドメインへのトラフィックは、Cloudflare WAF を経由し、AFD に移動してから、Microsoft Entra 外部 ID テナントに送信されます。
- Cloudflare WAF: 承認サーバーへのトラフィックを保護するためのセキュリティを制御します。
カスタム URL ドメインを有効にする
最初の手順では、AFD でカスタム ドメインを有効にします。 「外部テナントのアプリに対してカスタム URL ドメインを有効にする (プレビュー)」の手順を使用します。
Cloudflare アカウントを作成する
- Cloudflare.com/plans に移動してアカウントを作成します。
- WAF を有効にするには、[Application Services] タブで [Pro] を選択します。
ドメイン ネーム サーバー (DNS) の構成
ドメインの WAF を有効にします。
Cloudflare のセキュリティ コントロール
最適な保護のために、Cloudflare のセキュリティ制御を有効にすることをお勧めします。
DDoS 保護
Cloudflare ダッシュボードに移動します。
セキュリティ セクションを展開します。
[DDoS] を選択します。
というメッセージが表示されます。
ボット保護
Cloudflare ダッシュボードに移動します。
セキュリティ セクションを展開します。
[Configure Super Bot Fight Mode] で、[Definitely automated]、[Block] を選択します。
[Likely automated]で、[Managed Challenge] を選択します。
[Verified bots]で、[Allow] を選択します。
ファイアウォール規則: Tor ネットワークからのトラフィック
組織でトラフィックをサポートする必要がない限り、Tor プロキシ ネットワークからのトラフィックをブロックすることをお勧めします。
Note
Tor トラフィックをブロックできない場合は、[Block] ではなく [Interactive Challenge] を選択します。
Tor ネットワークからのトラフィックをブロックする
Cloudflare ダッシュボードに移動します。
セキュリティ セクションを展開します。
WAF の選択
[ルールの作成] を選択します。
[Rule name] に、関連する名前を入力します。
受信要求が一致する場合、[Field] で [Continent] を選択します。
[Operator] では、[equals] を選択します。
[Value]で、[Tor] を選択します。
take action で、[Block]を選択します。
[Place at] で、[First] を選択します。
[デプロイ] を選択します。
Note
訪問者用のカスタム HTML ページを追加できます。
ファイアウォールの規則: 国または地域からのトラフィック
組織がすべての国や地域からのトラフィックをサポートするビジネス上の理由がない限り、ビジネスが発生する可能性が低い国または地域からのトラフィックに対して厳格なセキュリティ制御を推奨します。
Note
国またはリージョンからのトラフィックをブロックできない場合は、[Block] ではなく [Interactive Challenge] を選択します。
国または地域からのトラフィックをブロックする
次の手順では、訪問者用のカスタム HTML ページを追加できます。
Cloudflare ダッシュボードに移動します。
セキュリティ セクションを展開します。
WAF の選択
[ルールの作成] を選択します。
[Rule name] に、関連する名前を入力します。
受信要求が一致する場合、[Field] で [Country] または [Continent] を選択します。
[Operator] では、[equals] を選択します。
[Value]で、ブロックする国または大陸を選択します。
take action で、[Block]を選択します。
[Place at]で、[Last] を選択します。
[デプロイ] を選択します。
OWASP とマネージド ルールセット
[Managed rules] を選択します。
[Cloudflare Managed Ruleset] で、[Enabled] を選択します。
[Cloudflare OWASP Core Ruleset] で、[Enabled] を選択します。