Zscaler ( ゼットスケーラー ) Web セキュリティサービス ~ トラフィック転送とユーザ管理について ~ 2018 年 8 月
はじめに 本資料は Zscaler サービスをご利用いただく際のトラフィック転送とユーザ管理に関するガイドラインについてまとめたものであり 弊社から Zscaler サブスクリプションを販売したお客様によるご利用のみを目的としています 各転送方式の詳細設定方法などご不明な点は弊社サポート窓口 (support@nox.co.jp) までお問い合わせください なお 資料作成時点での情報を前提としてまとめたもののため Zscaler サービスの仕様変更により内容が変更される可能性があります 1
Zscaler サービス概要 クラウド上で動作するセキュリティ Web プロキシです あらゆる場所 端末からの通信のセキュリティを強化します トラフィックを Zscaler に転送いただくことでご利用いただくサービスです パブリッククラウドプライベートアプリパブリッククラウドパブリッククラウドプライベートアプリプライベートアプリ ポリシー一元管理 Exploits Malware APT Botnets リアルタイムの可視化 ( 脅威 アプリケーション ユーザー ) 持ち出し端末 PAC / Mobile Agent トラフィック転送 拠点 GRE/IPSEC Mobile Employee HQ Remote Offices 2
クラウドデータセンタ ( ノード ) Oslo Stockholm Moscow Chicago Schaumburg San Francisco Sunnyvale Denver Los Angeles Dallas Ft. Worth Mexico City < 最新ノードリスト > Lima Zscaler.net https://ips.zscaler.net/cenr Zscalertwo.net Santiago https://ips.zscalertwo.net/cenr Zscloud.net https://ips.zscloud.net/cenr Toronto New York Herndon Washington DC Marietta Atlanta Miami Sao Paulo Amsterdam Gdansk London Frankfurt (West) Paris Zurich Milan Madrid Tel Aviv Kuwait City Cairo Dubai Riyadh Mumbai Chennai Lagos Johannesburg Cape Town Hong Kong Singapore Tianjin Tokyo Shanghai Taipei Manila Sydney Melbourne 3
Zscaler へのトラフィック転送 世界中に展開されたどのノードを利用しても一元的なサービス利用が可能です トラフィック転送方法はご利用の全拠点 端末で共通の方法である必要はなく 各拠点 端末ごとに最適な方法を選択いただくことが可能です 自動的に近いノードを選択する方法が用意されています ノードや回線の障害 メンテナンスなどに対する可用性向上のためプロキシ先を冗長してご利用ください 4
Zscaler へのトラフィックの転送方法 複数のユーザトラフィックの転送方法をサポートします 透過プロキシ型 ルーティングでトラフィックを転送 IPsec/GRE SD-WAN 明示プロキシ型 Zscalerノード宛にトラフィックを転送 PACファイル Zscaler App( ユーザエージェント ) # IPsec は最大 200Mbps 例 )IPsec/GRE 例 )Zscaler App 社内 NW 5
各転送方式の特徴 透過プロキシ型明示プロキシ型 GRE IPSec VPN PACファイル Z-App 利点 Primary ZEN が利用不可の場合 Secondary にフェールオーバー可能 Primary ZEN が利用不可の場合 Secondary にフェールオーバー可能 Primary ZEN が利用不可の場合 Secondary にフェールオーバー可能 複数の端末 OS をサポート オーバーヘッドが最小 端末側の設定不要 主要なブラウザでサポート Zscaler がサポートする全ての認証方式で認証可能 端末側の設定不要 社内ネットワークからの通信を強制的に転送可能 社内ネットワーク 社外ネットワークどちらでも利用可能 容易な制御が可能 社内ネットワークからの通信を強制的に転送可能 ローカル IP に対するポリシー適用 ロギングが可能 Internet Explorer の PAC 設定は AD の GPO による強制が可能 アップデートはメーカのリモート管理により自動的な実施が可能 ローカル IP に対するポリシー適用 ロギングが可能 社外ネットワークからの通信用に PAC ファイルを併用することを推奨 ルータが GRE に対応し グローバル IP が固定 IP の必要がある 動的 IP で利用可能 社外ネットワークからの通信用に PAC ファイルを併用することを推奨 VPN 機器が VPN フェールオーバーをサポートしている必要がある 暗号化された VPN トンネル利用にはオプションのサブスクリプションが必要 スループットの上限がトンネルごと 200Mbps 注意点 Zscaler に PAC ファイルをホストすることで 変数により自動ノード選択が可能 利用者がPACファイルをサポートしないブラウザを利用しないように権限管理する必要がある ネットワーク管理者がPACファイルを書き換える権限を持つ必要がある Trusted Network 検出機能によりプロキシ動作の無効化が容易に可能 クライアントを必要なデバイスにインストールする必要がある ユーザ認証方法とユーザプロビジョニングを Zscaler サービス側で設定する必要がある 6
冗長構成 PAC ファイル GRE/IPsec 利用により転送先の Zscaler ノードに対する冗長設定が可能です EUSA(End User Subscription Agreement) にトラフィック転送は自動フェールオーバーの構成 (PAC IPsec GRE Zscaler App) のいずれかで実現する必要があることが記載されています in order for Zscaler to provide the SaaS, Customer is responsible for forwarding its web traffic to Zscaler via valid forwarding mechanisms that allow for automatic fail over (i.e. PAC, IPSEC, GRE tunnels, and/or Zscaler App) 7
冗長構成 (PAC ファイルの利用 ) Zscaler 上にホスト PAC ファイルダウンロード時にクライアントからの送信元 IP から GeoIP によりクライアントのアクセス元の場所から近いノードを Zscaler が自動判別します < ダウンロードされた PAC ファイル > return "PROXY x.x.x.x:9400; PROXY y.y.y.y:9400 Zscaler PAC サーバ PAC PAC PAC <PAC ファイル設定 > return "PROXY ${GATEWAY}:9400; PROXY ${SECONDARY_GATEWAY}:9400 x.x.x.x( 東京ノード ) y.y.y.y( 香港ノード ) Primary: 東京ノード Secondary: 香港ノード 8
冗長構成 (GRE/IPsec の利用 ) GRE/IPsec 利用時は Primary/Secondary の 2 か所の Zscaler ノードに対してトンネルを構築します トンネル状態の監視により 障害検知時は自動的に Primary から Secondary に切り替わります トンネル状態の監視例 GRE: IP SLA IPsec: VPN monitor Primary: 東京ノード Secondary: 香港ノード 9
推奨構成 ( 社内 ~GRE+PAC ファイル ) クライアントにPACファイルを配布し プロキシ除外通信を管理 拠点ルータから東京ノード 香港ノードとGRE 接続 Zscaler 宛の通信をGREトンネル側にルーティング プロキシ通信を GRE トンネル側にルーティング Primary: 東京ノード PAC ファイルにてプロキシ通信 プロキシ除外通信を制御 Zscaler ノードは透過プロキシとして動作可能なので クライアントから東京ノード宛の通信が香港ノードに転送されても処理可能 Secondary: 香港ノード 10
推奨構成 ( 社外 ~Zscaler App) クライアントに Zscaler App をインストール プロキシ除外通信は Zscaler App のカスタム PAC 読み込みで管理 PAC ファイルを利用した冗長構成 (P8 に記載 ) と同様の仕組みを利用して Primary ノードで障害発生時は Secondary ノードを自動的に利用 Primary: 東京ノード Secondary: 香港ノード 11
ZIA: ユーザプロビジョニングとユーザ認証 Zscaler ではユーザ / グループ単位のルールを適用するため ユーザごとのアクセスログを記録するために Zscaler クラウド上に利用ユーザ用のアカウント情報の展開が必要 利用時にユーザ ID/ パスワードを基本とする認証が必要 プロビジョニングと認証それぞれどのように実現するか検討が必要 プロビジョニング ユーザ認証 12
ZIA: ユーザ情報の管理 複数のユーザ DB 管理 ユーザ認証方法をサポート プロビジョニング Zscaler 上にユーザ情報を展開 手動管理 CSVアップロード AD/LDAP Authentication Bridge SCIM SAML( 要ユーザID 部署 グループ) ユーザ認証 クライアント端末の認証 ローカルDB(Zscaler 上 ) One-Time Password/Link AD/LDAP SAML AD と連携してダイナミックにユーザ管理 ユーザ認証が可能 AzureAD を活用した SSO 実績増加中! * 連携可能なディレクトリサーバは 1 つのみ 13