Zscaler ( ゼットスケーラー ) Web セキュリティサービス ~ トラフィック転送とユーザ管理について ~ 2018 年 8 月ノックス株式会社 ノックス株式会社 Copyright (C) 2017 NOX Co., Ltd. All Rights Reserved.

Similar documents
untitled

2013 London New York Paris 2013 Tokyo Singapore

2

Microsoft PowerPoint - SSO.pptx[読み取り専用]

製品概要

PowerPoint Presentation

カリキュラム構成及び履修方法


PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

Cisco1812-J販促ツール 競合比較資料 (作成イメージ)

A-FR

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

PowerPoint Presentation

Microsoft PowerPoint - ã…Šã…¬ã…fiㅥㅼ盋_MVISONCloud製åfi†ç´¹ä»‰.pptx

前提情報

_EMS概要_クラウドを使う上で考慮すべきこと(セキュリティ視点で60分語るv4)_E5まで

2014年ニッセイ基礎研シンポジウム 変化する経済・都市と不動産

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

JP1 Version 12

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

<4D F736F F F696E74202D D352E8ED093E08AC28BAB835A834C A BAD89BB82CC8CE492F188C42E707074>

McAfee Web Gateway Cloud Service インストール ガイド


PowerPoint プレゼンテーション

Microsoft Word - Gmail-mailsoft_ docx


_mokuji_2nd.indd

弊社アウトソーシング事業

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

プロキシ・ファイアウォール       通信許可対象サーバリスト

Microsoft PowerPoint - 【Webnner】はじめてのHULFT-WebFT.pptx

FUJITSU Cloud Service K5 認証サービス サービス仕様書

PowerPoint Presentation

内容 1 本書の目的 用語 WiMAX WiMAX LTE WiMAX2+ サービス WiMAX サービス WiMAX2+ デバイス ノーリミットモード

Mobile Access簡易設定ガイド

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

Mobile Access IPSec VPN設定ガイド


PowerPoint プレゼンテーション

IceWall FederationによるOffice 365導入のための乱立AD対応ソリューション(オンプレミス型)

( 目次 ) 初回ログインクリプト便送信クリプト便受信ご参考 P2~ P6~ P11~ P14~ 本マニュアルは NRIセキュアテクノロジーズ株式会社 ( 以下 NRI 社 という ) より提供されました2014 年 12 月 1 日時点の クリプト便 ユーザーマニュアルをもとに作成しております 最

WebEx を使用したリモート調査とは お客様のデスクトップ画面を共有し 障害調査を共同で実施するサービスです リモート調査は 精度の高い調査により 障害の早期解決を図るために実施します 対象の機器にアクセスできる中継端末をご用意頂く必要があります インターネット接続が可能な中継端末を経由して調査を

PowerPoint プレゼンテーション

本製品に接続された端末の IPv6 情報が表示されます 端末に割り当てられた IPv6 アドレス IPv6 アドレスを取得した端末の MAC アドレスが確認できます 注意 : 本ページに情報が表示されるのは本製品が 上位から IPv6 アドレスを取得した場合のみとなります DDNSサービス :DDN

Microsoft PowerPoint iDoors製品紹介資料(デモキット無し).pptx

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

Web会議システム IC3(アイシーキューブ)│FAQ│IC3:キヤノンITソリューションズ株式会社

CA Federation ご紹介資料

統合 ID 管理システム SECUREMASTER/EnterpriseIdentityManager(EIM) 連携先システム : AD 1, 業務サーバ 3 監査オプション : あり ユーザ ID 情報を一元管理し 業務システム (CSV インポートが可能なシステム ) や AD などの ID

wdr7_dial_man01_jpn.indd

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

home-unit2_quickguide_ras_v1.1

福岡大学ネットワーク認証・検疫システム実施マニュアル

iNFUSE インフューズ

ROBOTID_LINEWORKS_guide

McAfee Web Gateway Cloud Service インストール ガイド

ネットキーの操作手順について

共有フォルダ接続手順 1 共有フォルダ接続ツールのダウンロード 展開 CSVEX のトップページから共有フォルダ接続ツールの zip ファイルをダウンロードします ダウンロードした zip ファイルを右クリックして すべて展開 を選択します (Windows 環境では zip ファイルを解凍しなくて

カスタマーコントロール接続設定 (VPN クライアントソフト設定マニュアル :SSL-VPN 経由 ) 第 1.8 版 2017 年 4 月 KDDI 株式会社 1 Copyright KDDI Corporation All Rights Reserved.

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

2015 Microsoft Corporation. All rights reserved 1 Office 365 / モバイル活用を促進させる最新のクラウド管理ソリューション 日本マイクロソフト株式会社

次 はじめに ブラウザーサポート デフォルトのIPアドレスについて

新環境への移行手順書

Symantec Endpoint Protection 12.1 の管理練習問題 例題 1. 管理外検出でネットワーク上のシステムを識別するとき 次のどのプロトコルが使用されますか a. ICMP b. TCP c. ARP a. UDP 2. ある管理者が Symantec Endpoint P

How to Use the PowerPoint Template

スライド 1

PowerPoint プレゼンテーション

Cloud Gate SSO 携帯端末ID制限

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

VPN 接続の設定

プレゼンテーション

目次 1. はじめに WEB インタフェース... 4 アクセス方法... 4 操作方法 FTP クライアント FFFTP(WINDOWS) インストール方法 アクセス方法 操作方法 CYBERD

Microsoft Word - MyWebPortalOffice_Levelup.doc

2 0. 事前準備

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

TGP ネットワーク クライアント証明書 VPN ソフト導入手順 OS:MacOS X ブラウザ :Safari 2018/11/02 Copyright 2018 環岐阜地区医療介護情報共有協議会 All Right Reserved. 0

KS_SSO_guide

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

Hik-Connect アカウントにデバイスを追加する方法ユーザーは Hik-Connect APP ウェブポータル ivms4500 アプリまたは ivms クライアント経由で Hik-Connect 機能を有効にすることができます 注 : iv

Office365 AL-Mail

6 接続の使用準備ができました 画面が表示されます 閉じる をクリックします 認証に事前共有キーを使う の キー に リモートアクセス接続用シークレットキー を入力後 OK をクリックします 今すぐ接続します はクリックしません. アダプターの設定 (Window 7) コントロールパネル - ネッ

2. 機能 ( 標準サポートプロトコル ) NTT ドコモの Android スマートフォン / タブレットでは標準で対応している VPN プロトコルがあります 本章では 動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-to-

FOOD EXPO 2013 FOOD EXPO

リモートアクセス Smart Device VPN ユーザマニュアル [ マネージドイントラネット Smart Device VPN 利用者さま向け ] 2015 年 10 月 20 日 Version 1.6 bit- drive Version 1.6 リモートアクセス S

<4D F736F F F696E74202D F F72756D A835A837E B D D B E F08EA98DDD82C990DA91B182B782E D E67658

レイヤ 3 アウトオブバンド(L3 OOB) の設定

PowerPoint プレゼンテーション

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

目次はじめに... 2 Office365ProPlus のインストール 複数の Office 製品の共存インストールについて ソフトウェア使用許諾契約の確認 Office365 ProPlus のダウンロードとインストール

ERM IoT GTAG CAAT LLC protiviti.jp 1

AutoCAD WS Mobile アプリケーション

MPサーバ設置構成例

Microsoft Word - ssVPN MacOS クライアントマニュアル_120版.doc

1. 概要 この章では HDE Controller X LG Edition をお使いの方に向けて LGWAN 接続に特化した設定の説明をします HDE Controller X LG Edition 以外の製品をご利用のお客様はこの章で解説する機能をお使いになれませんのでご注意ください 452

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

Microsoft Word - MyWebMedical40_client_guideIE8.doc

ムの共有アドレス帳 インスタント メッセージングの宛先に活用することも考えられる 統合アカウント管理 認証 認可 ( アクセス制御 ) の機能 サービス機能 サービス定義統合アカウント管理利用者の認証情報 ( ユーザ ID パスワード) と属性情報 ( グループ 所属部門等 ) を一元的に管理する機

Transcription:

Zscaler ( ゼットスケーラー ) Web セキュリティサービス ~ トラフィック転送とユーザ管理について ~ 2018 年 8 月

はじめに 本資料は Zscaler サービスをご利用いただく際のトラフィック転送とユーザ管理に関するガイドラインについてまとめたものであり 弊社から Zscaler サブスクリプションを販売したお客様によるご利用のみを目的としています 各転送方式の詳細設定方法などご不明な点は弊社サポート窓口 (support@nox.co.jp) までお問い合わせください なお 資料作成時点での情報を前提としてまとめたもののため Zscaler サービスの仕様変更により内容が変更される可能性があります 1

Zscaler サービス概要 クラウド上で動作するセキュリティ Web プロキシです あらゆる場所 端末からの通信のセキュリティを強化します トラフィックを Zscaler に転送いただくことでご利用いただくサービスです パブリッククラウドプライベートアプリパブリッククラウドパブリッククラウドプライベートアプリプライベートアプリ ポリシー一元管理 Exploits Malware APT Botnets リアルタイムの可視化 ( 脅威 アプリケーション ユーザー ) 持ち出し端末 PAC / Mobile Agent トラフィック転送 拠点 GRE/IPSEC Mobile Employee HQ Remote Offices 2

クラウドデータセンタ ( ノード ) Oslo Stockholm Moscow Chicago Schaumburg San Francisco Sunnyvale Denver Los Angeles Dallas Ft. Worth Mexico City < 最新ノードリスト > Lima Zscaler.net https://ips.zscaler.net/cenr Zscalertwo.net Santiago https://ips.zscalertwo.net/cenr Zscloud.net https://ips.zscloud.net/cenr Toronto New York Herndon Washington DC Marietta Atlanta Miami Sao Paulo Amsterdam Gdansk London Frankfurt (West) Paris Zurich Milan Madrid Tel Aviv Kuwait City Cairo Dubai Riyadh Mumbai Chennai Lagos Johannesburg Cape Town Hong Kong Singapore Tianjin Tokyo Shanghai Taipei Manila Sydney Melbourne 3

Zscaler へのトラフィック転送 世界中に展開されたどのノードを利用しても一元的なサービス利用が可能です トラフィック転送方法はご利用の全拠点 端末で共通の方法である必要はなく 各拠点 端末ごとに最適な方法を選択いただくことが可能です 自動的に近いノードを選択する方法が用意されています ノードや回線の障害 メンテナンスなどに対する可用性向上のためプロキシ先を冗長してご利用ください 4

Zscaler へのトラフィックの転送方法 複数のユーザトラフィックの転送方法をサポートします 透過プロキシ型 ルーティングでトラフィックを転送 IPsec/GRE SD-WAN 明示プロキシ型 Zscalerノード宛にトラフィックを転送 PACファイル Zscaler App( ユーザエージェント ) # IPsec は最大 200Mbps 例 )IPsec/GRE 例 )Zscaler App 社内 NW 5

各転送方式の特徴 透過プロキシ型明示プロキシ型 GRE IPSec VPN PACファイル Z-App 利点 Primary ZEN が利用不可の場合 Secondary にフェールオーバー可能 Primary ZEN が利用不可の場合 Secondary にフェールオーバー可能 Primary ZEN が利用不可の場合 Secondary にフェールオーバー可能 複数の端末 OS をサポート オーバーヘッドが最小 端末側の設定不要 主要なブラウザでサポート Zscaler がサポートする全ての認証方式で認証可能 端末側の設定不要 社内ネットワークからの通信を強制的に転送可能 社内ネットワーク 社外ネットワークどちらでも利用可能 容易な制御が可能 社内ネットワークからの通信を強制的に転送可能 ローカル IP に対するポリシー適用 ロギングが可能 Internet Explorer の PAC 設定は AD の GPO による強制が可能 アップデートはメーカのリモート管理により自動的な実施が可能 ローカル IP に対するポリシー適用 ロギングが可能 社外ネットワークからの通信用に PAC ファイルを併用することを推奨 ルータが GRE に対応し グローバル IP が固定 IP の必要がある 動的 IP で利用可能 社外ネットワークからの通信用に PAC ファイルを併用することを推奨 VPN 機器が VPN フェールオーバーをサポートしている必要がある 暗号化された VPN トンネル利用にはオプションのサブスクリプションが必要 スループットの上限がトンネルごと 200Mbps 注意点 Zscaler に PAC ファイルをホストすることで 変数により自動ノード選択が可能 利用者がPACファイルをサポートしないブラウザを利用しないように権限管理する必要がある ネットワーク管理者がPACファイルを書き換える権限を持つ必要がある Trusted Network 検出機能によりプロキシ動作の無効化が容易に可能 クライアントを必要なデバイスにインストールする必要がある ユーザ認証方法とユーザプロビジョニングを Zscaler サービス側で設定する必要がある 6

冗長構成 PAC ファイル GRE/IPsec 利用により転送先の Zscaler ノードに対する冗長設定が可能です EUSA(End User Subscription Agreement) にトラフィック転送は自動フェールオーバーの構成 (PAC IPsec GRE Zscaler App) のいずれかで実現する必要があることが記載されています in order for Zscaler to provide the SaaS, Customer is responsible for forwarding its web traffic to Zscaler via valid forwarding mechanisms that allow for automatic fail over (i.e. PAC, IPSEC, GRE tunnels, and/or Zscaler App) 7

冗長構成 (PAC ファイルの利用 ) Zscaler 上にホスト PAC ファイルダウンロード時にクライアントからの送信元 IP から GeoIP によりクライアントのアクセス元の場所から近いノードを Zscaler が自動判別します < ダウンロードされた PAC ファイル > return "PROXY x.x.x.x:9400; PROXY y.y.y.y:9400 Zscaler PAC サーバ PAC PAC PAC <PAC ファイル設定 > return "PROXY ${GATEWAY}:9400; PROXY ${SECONDARY_GATEWAY}:9400 x.x.x.x( 東京ノード ) y.y.y.y( 香港ノード ) Primary: 東京ノード Secondary: 香港ノード 8

冗長構成 (GRE/IPsec の利用 ) GRE/IPsec 利用時は Primary/Secondary の 2 か所の Zscaler ノードに対してトンネルを構築します トンネル状態の監視により 障害検知時は自動的に Primary から Secondary に切り替わります トンネル状態の監視例 GRE: IP SLA IPsec: VPN monitor Primary: 東京ノード Secondary: 香港ノード 9

推奨構成 ( 社内 ~GRE+PAC ファイル ) クライアントにPACファイルを配布し プロキシ除外通信を管理 拠点ルータから東京ノード 香港ノードとGRE 接続 Zscaler 宛の通信をGREトンネル側にルーティング プロキシ通信を GRE トンネル側にルーティング Primary: 東京ノード PAC ファイルにてプロキシ通信 プロキシ除外通信を制御 Zscaler ノードは透過プロキシとして動作可能なので クライアントから東京ノード宛の通信が香港ノードに転送されても処理可能 Secondary: 香港ノード 10

推奨構成 ( 社外 ~Zscaler App) クライアントに Zscaler App をインストール プロキシ除外通信は Zscaler App のカスタム PAC 読み込みで管理 PAC ファイルを利用した冗長構成 (P8 に記載 ) と同様の仕組みを利用して Primary ノードで障害発生時は Secondary ノードを自動的に利用 Primary: 東京ノード Secondary: 香港ノード 11

ZIA: ユーザプロビジョニングとユーザ認証 Zscaler ではユーザ / グループ単位のルールを適用するため ユーザごとのアクセスログを記録するために Zscaler クラウド上に利用ユーザ用のアカウント情報の展開が必要 利用時にユーザ ID/ パスワードを基本とする認証が必要 プロビジョニングと認証それぞれどのように実現するか検討が必要 プロビジョニング ユーザ認証 12

ZIA: ユーザ情報の管理 複数のユーザ DB 管理 ユーザ認証方法をサポート プロビジョニング Zscaler 上にユーザ情報を展開 手動管理 CSVアップロード AD/LDAP Authentication Bridge SCIM SAML( 要ユーザID 部署 グループ) ユーザ認証 クライアント端末の認証 ローカルDB(Zscaler 上 ) One-Time Password/Link AD/LDAP SAML AD と連携してダイナミックにユーザ管理 ユーザ認証が可能 AzureAD を活用した SSO 実績増加中! * 連携可能なディレクトリサーバは 1 つのみ 13

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック