Cloudflare Zero Trust Network W koncie Cloudflare Zero Trust Network istnieją pewne ustawienia i usługi , które można skonfigurować. Na tej stronie zamierzamy analizować ustawienia związane z bezpieczeństwem w każdej sekcji:
Analytics
Przydatne do poznania środowiska
Gateway
W Policies
można generować polityki, aby ograniczyć dostęp do aplikacji na podstawie DNS , sieci lub żądania HTTP .
Jeśli są używane, polityki mogą być tworzone w celu ograniczenia dostępu do złośliwych stron.
To jest istotne tylko, jeśli używany jest brama , w przeciwnym razie nie ma powodu, aby tworzyć polityki obronne.
Access
Applications
W każdej aplikacji:
Sprawdź kto może uzyskać dostęp do aplikacji w Policies i upewnij się, że tylko użytkownicy , którzy potrzebują dostępu do aplikacji, mogą uzyskać dostęp.
Aby umożliwić dostęp, będą używane Access Groups
(można również ustawić dodatkowe zasady )
Sprawdź dostępnych dostawców tożsamości i upewnij się, że nie są zbyt otwarci
Sprawdź, czy CORS nie jest włączony (jeśli jest włączony, sprawdź, czy jest bezpieczny i nie zezwala na wszystko)
Ciasteczka powinny mieć atrybut Strict Same-Site , HTTP Only i binding cookie powinien być włączony , jeśli aplikacja jest HTTP.
Access Groups
Sprawdź, czy wygenerowane grupy dostępu są prawidłowo ograniczone do użytkowników, którym powinny zezwalać.
Szczególnie ważne jest, aby sprawdzić, czy domyślna grupa dostępu nie jest zbyt otwarta (nie zezwala zbyt wielu osobom ), ponieważ domyślnie każdy w tej grupie będzie mógł uzyskać dostęp do aplikacji .
Zauważ, że możliwe jest nadanie dostępu do WSZYSTKICH i innych bardzo otwartych polityk , które nie są zalecane, chyba że są 100% konieczne.
Service Auth
Sprawdź, czy wszystkie tokeny usługowe wygasają w ciągu 1 roku lub mniej
Tunnels
TODO
My Team
TODO
Logs
Możesz szukać nieoczekiwanych działań użytkowników
Settings
Możliwe jest zobaczenie nazwy właściciela karty kredytowej , ostatnich 4 cyfr , daty wygaśnięcia i adresu
Zaleca się dodanie daty wygaśnięcia miejsca użytkownika , aby usunąć użytkowników, którzy naprawdę nie korzystają z tej usługi