次の方法で共有

Microsoft Entra 外部 ID で Cloudflare Web Application Firewall を構成する

この記事では、Cloudflare Web Application Firewall (Cloudflare WAF) を構成して、分散型サービス拒否 (DDoS)、悪意のあるボット、Open Worldwide Application Security Project (OWASP) Top-10 セキュリティ リスクなどの攻撃から組織を保護する方法について説明します。

前提条件

開始するには、以下が必要です。

Microsoft Entra 外部 ID を使用したコンシューマーと顧客向けのテナントとアプリのセキュリティ保護について説明します。

シナリオの説明

  • Microsoft Entra 外部 ID テナント: テナントに対して定義されたカスタム ポリシーを使用してユーザー資格情報を検証する ID プロバイダー (IdP) および承認サーバーです。
  • Azure Front Door: Microsoft Entra 外部 ID に対してカスタム URL ドメインを有効にします。 カスタム URL ドメインへのトラフィックは、Cloudflare WAF を経由し、AFD に移動してから、Microsoft Entra 外部 ID テナントに送信されます。
  • Cloudflare WAF: 承認サーバーへのトラフィックを保護するためのセキュリティを制御します。

カスタム URL ドメインを有効にする

最初の手順では、AFD でカスタム ドメインを有効にします。 アプリ用のカスタムURLドメインを外部テナントで有効にするための手順「」「」を使用してください。

Cloudflare アカウントを作成する

  1. Cloudflare.com/plans に移動してアカウントを作成します。
  2. WAF を有効にするには、[Application Services] タブで [Pro] を選択します。

ドメイン ネーム サーバー (DNS) の構成

ドメインの WAF を有効にします。

  1. DNS コンソールで、CNAME の場合、プロキシ設定を有効にします。

    CNAME オプションのスクリーンショット。

  2. [DNS] の [Proxy status] で、[Proxied] を選択します。

  3. 状態がオレンジ色に変わります。

    プロキシ化状態のスクリーンショット。

カスタム ドメインの CNAME レコードが Azure Front Door エンドポイントのドメイン以外の DNS レコードを指している場合 (たとえば、Cloudflare などのサードパーティの DNS サービスを使用している場合) は、Azure Front Door で管理される証明書は自動的に更新されません。 このような場合に証明書を更新するには、 Azure Front Door で管理される証明書の更新 に関する記事の手順に従います。

Cloudflare のセキュリティ コントロール

最適な保護のために、Cloudflare のセキュリティ制御を有効にすることをお勧めします。

DDoS 保護

  1. Cloudflare ダッシュボードに移動します。

  2. セキュリティ セクションを展開します。

  3. [DDoS] を選択します。

  4. というメッセージが表示されます。

    DDoS 保護メッセージのスクリーンショット。

ボット保護

  1. Cloudflare ダッシュボードに移動します。

  2. セキュリティ セクションを展開します。

  3. [Configure Super Bot Fight Mode] で、[Definitely automated][Block] を選択します。

  4. [Likely automated]で、[Managed Challenge] を選択します。

  5. [Verified bots]で、[Allow] を選択します。

    ボット保護オプションのスクリーンショット。

ファイアウォール規則: Tor ネットワークからのトラフィック

組織でトラフィックをサポートする必要がない限り、Tor プロキシ ネットワークからのトラフィックをブロックすることをお勧めします。

Tor トラフィックをブロックできない場合は、[Block] ではなく [Interactive Challenge] を選択します。

Tor ネットワークからのトラフィックをブロックする

  1. Cloudflare ダッシュボードに移動します。

  2. セキュリティ セクションを展開します。

  3. WAF の選択

  4. [ルールの作成] を選択します。

  5. [Rule name] に、関連する名前を入力します。

  6. 受信要求が一致する場合[Field][Continent] を選択します。

  7. [Operator] では、[equals] を選択します。

  8. [Value]で、[Tor] を選択します。

  9. take action で、[Block]を選択します。

  10. [Place at] で、[First] を選択します。

  11. [デプロイ] を選択します。

    [ルールの作成] ダイアログのスクリーンショット。

訪問者用のカスタム HTML ページを追加できます。

ファイアウォールの規則: 国または地域からのトラフィック

組織がすべての国や地域からのトラフィックをサポートするビジネス上の理由がない限り、ビジネスが発生する可能性が低い国または地域からのトラフィックに対して厳格なセキュリティ制御を推奨します。

国またはリージョンからのトラフィックをブロックできない場合は、[Block] ではなく [Interactive Challenge] を選択します。

国または地域からのトラフィックをブロックする

次の手順では、訪問者用のカスタム HTML ページを追加できます。

  1. Cloudflare ダッシュボードに移動します。

  2. セキュリティ セクションを展開します。

  3. WAF の選択

  4. [ルールの作成] を選択します。

  5. [Rule name] に、関連する名前を入力します。

  6. 受信要求が一致する場合[Field][Country] または [Continent] を選択します。

  7. [Operator] では、[equals] を選択します。

  8. [Value]で、ブロックする国または大陸を選択します。

  9. take action で、[Block]を選択します。

  10. [Place at]で、[Last] を選択します。

  11. [デプロイ] を選択します。

    [ルールの作成] ダイアログの [名前] フィールドのスクリーンショット。

OWASP とマネージド ルールセット

  1. [Managed rules] を選択します。

  2. [Cloudflare Managed Ruleset] で、[Enabled] を選択します。

  3. [Cloudflare OWASP Core Ruleset] で、[Enabled] を選択します。

    [ルールの設定] のスクリーンショット。

次のステップ