Cloudflare Zero Trust Network

Dans un compte Cloudflare Zero Trust Network, il y a certains paramètres et services qui peuvent être configurés. Sur cette page, nous allons analyser les paramètres liés à la sécurité de chaque section :

Analytics

• Utile pour connaître l'environnement

Gateway

• Dans Policies, il est possible de générer des politiques pour restreindre par DNS, réseau ou requête HTTP qui peut accéder aux applications.

• Si utilisé, des politiques pourraient être créées pour restreindre l'accès aux sites malveillants.

• Cela est uniquement pertinent si une passerelle est utilisée, sinon, il n'y a aucune raison de créer des politiques défensives.

Access

Applications

Sur chaque application :

• Vérifiez qui peut accéder à l'application dans les Policies et assurez-vous que seulement les utilisateurs qui ont besoin d'accès à l'application peuvent y accéder.

• Pour permettre l'accès, des Access Groups vont être utilisés (et des règles supplémentaires peuvent également être définies)

• Vérifiez les fournisseurs d'identité disponibles et assurez-vous qu'ils ne sont pas trop ouverts

• Dans Settings :

• Vérifiez que CORS n'est pas activé (s'il est activé, vérifiez qu'il est sécurisé et qu'il ne permet pas tout)

• Les cookies doivent avoir l'attribut Strict Same-Site, HTTP Only et le binding cookie doit être activé si l'application est HTTP.

• Envisagez également d'activer le rendu du navigateur pour une meilleure protection. Plus d'infos sur l'isolation du navigateur à distance ici.

Access Groups

• Vérifiez que les groupes d'accès générés sont correctement restreints aux utilisateurs qu'ils doivent autoriser.

• Il est particulièrement important de vérifier que le groupe d'accès par défaut n'est pas très ouvert (il ne permet pas trop de personnes) car par défaut, quiconque dans ce groupe pourra accéder aux applications.

• Notez qu'il est possible de donner accès à TOUS et d'autres politiques très ouvertes qui ne sont pas recommandées sauf si 100 % nécessaire.

Service Auth

• Vérifiez que tous les jetons de service expirent dans 1 an ou moins

Tunnels

TODO

My Team

TODO

Logs

• Vous pourriez rechercher des actions inattendues de la part des utilisateurs

Settings

• Vérifiez le type de plan

• Il est possible de voir le nom du propriétaire de la carte de crédit, derniers 4 chiffres, date d'expiration et adresse

• Il est recommandé d'ajouter une expiration de siège utilisateur pour supprimer les utilisateurs qui n'utilisent pas vraiment ce service