- 1.ゼロトラストとZscaler
- 2.ZIA
- 3.ZIA 設定画面
- 4.ZPA
- 5.ZPA 設定画面
- Q&A
1.ゼロトラストとZscaler
1.1 ゼロトラストとは
ゼロトラストの定義、ゼロトラストが求められる背景については以下に記載
https://west-sec.com/entry/zerotrust
ゼロトラストは概念であり、具体的なソリューションは明確に決まっていません。
とはいえ、「政府情報システムにおけるゼロトラスト適用に向けた考え方」が一つの参考になるでしょう。
https://cio.go.jp/sites/default/files/uploads/documents/dp2020_03.pdf
ゼロトラストを適用するための取り組みとして、以下の5点が述べられています。
| 1)パブリック・クラウド利用可能システムと利用不可システムの分離 2)システムのクラウド化徹底とネットワークセキュリティ依存の最小化 3)エンドポイント・セキュリティの強化 4)セキュリティ対策のクラウド化 5)認証と認可の動的管理の一元化 |
1.2 Zscalerが求められる背景
・先と同様に、以下に記載
ゼロトラスト - セキュリティコミュニティ「WEST-SEC」
1.3 Zscalerの基本機能
・ゼロトラストのZTNA(Zero Trust Network Access)の主軸となるのが以下の2つ。
| 機能 | 概要 | 接続先のリソース | 補足 |
|---|---|---|---|
| ZIA(Zscaler Internet Access) | PCからインターネットへのアクセス ❶企業内のPCから ❷リモートPCから |
インターネット上のサービス、クラウドなど | SWGの機能と言えるであろう。URLフィルタ、アンチウイルス機能、FW+IPS、サンドボックス、TLSインスペクションなど。 また、CASBやDLPも含む |
| ZPA(Zscaler Private Access) | リモート端末から、企業へのリモートアクセス | 企業内のサーバやアプリケーション | SDP(Software-Defined Perimeter)として、ソフトウェアで設計された境界(Perimeter)を構築する概念。境界防御の限界を超えて、ゼロトラストが求められるネットワークにおいて、柔軟にネットワークセキュリティを構築する。ZPAは、SDPを実現する仕組みと言っていいだろう。 |
| 機能 | 概要 | 補足 |
|---|---|---|
| ZDX(Zscaler Digital Experience) | ユーザ体感の可視化 端末からサーバのアプリケーションまでの通信状況を可視化 |
昨今、クラウドの利用によりネットワークが複雑になってきたが、特定アプリケーションへの通信速度が遅いという申告があった場合、どこに原因があるかの調査が行いやすくなる。 |
| ZCP(Zscaler Cloud Protection) | 高度な脅威を検出 |
・ZscalerはSSE(Security Service Edge)であり、SASEの中のセキュリティ機能に特化したもの。ざっくり言うと、SD-WANが無い。なので、SASEには分類されない。
1.4 Zscalerとゼロトラストについて
1.1で述べた5つの観点の中で、以下の3つが、Zscalerで実装されていると言えるであろう。
2)システムのクラウド化徹底とネットワークセキュリティ依存の最小化
4)セキュリティ対策のクラウド化
5)認証と認可の動的管理の一元化
(1)システムのクラウド化徹底とネットワークセキュリティ依存の最小化
Zscalerはクラウドサービスであり、境界型防御の概念はないので、ネットワークセキュリティに依存していない
(2)セキュリティ対策のクラウド化
・SWGのサービスなどにしても、クラウドで対策を実行している。オンプレに比べて大規模なエンジンで処理できるので、たとえば、SSLインスペクションなどは高スペックになる。
・また、クラウドサービスとして提供しているので、脆弱性が露呈してもすぐに対処がでる
・信頼性が高い設計であり、サイバー攻撃への耐性も強い、また帯域の柔軟性もあり、セキュリティの3要素の一つである可用性の面で優れる。また、ZPAに関しては、DDoS対策の機能も有している。これはクラウド化しているメリットも言えるでしょう。
https://www.zscaler.com/resources/security-terms-glossary/what-is-a-denial-of-service-attack
(3)認証と認可の動的管理の一元化
・Zscalerなどではこれらを実現するために、IdPとSAML(認証連携)、SCIM(ユーザ同期)の機能が実装されている。(とはいえ、完全に一本化とまでは言えないと思っている。)
・ただ、これらの認証および認可やその一元化は従来のFortiGateなどのSSL-VPN製品ではできなかったかというと、そうではない。
・認証(Authentication)と認可(Authorization)に関しては、文献および製品によっても考え方が違うと考えている。以下、私になりに整理した(※認可には2つあると思っている)。
| 区分 | 概要(ゼロトラストにおける役割) | 実装場所 | 主な実装例 |
|---|---|---|---|
| 認証 | ユーザーが「誰か」を確認し、確実に本人であることを保証する | EntraID,Oktaなど | -ユーザーID・パスワード -MFA(SMS,Authenticator,FIDO2) -WindowsHello連携 |
| 認可① (コンテキストベース認可) |
認証後、IPアドレスやOSやパッチ適用などの接続元情報を評価してアクセス可否を判断 | ・EntraIDなどのIDaaS側 ・Zscaler |
・条件付きアクセス(EntraID) ・デバイスポスチャー(Zscaler) |
| 認可② (リソースアクセス制御) |
認証されたユーザに対して、どんなリソースを許可するか | 基本的にはZscaler | ZPAのURL/クラウドアプリケーションコントロールなど |
認可②に関して、 EntraIDにて条件に応じたチケットを発行もできる。たとえば、管理者なのか一般ユーザなのかというグループや属性情報などをEntraIDで管理し、それをZscaler側に渡す。SPによっては、EntraIDからユーザのグループ情報などをもらうこともある(しかし、これをやっているケースはそれほど多くないと思っている)。実際には、SP側でやることが多く、Zscalerでも、Zscaler側でユーザやグループを管理し、そこでグループなども管理できる。
1.5 Zscalerの良さ ~使ってみた特徴
・設定がとても楽。たとえば、テナント制御の設定をする際に、他社のサービスの場合、設定が結構大変でヘッダをコマンドで書くので大変。Zscalerの場合、Office 365 One Click Rule にドメインを入れると、それ以外のテナントでOffice 365にログインができなくなる。
・設定できる項目が多い。GoogleDriveの閲覧は可能だが、Uploadは禁止などの設定ができて、他社製品でも基本的にはできるものが多いが、その制御が非常に細かくできるという印象。
・かゆいところに手が届いている。たとえば、ホワイトリストが期間限定で設定することができる。ホワイトリストを一時的に入れることがあるが、よく消し忘れる。その防止策になる。
・クラウドでやるので、SSLインスペクションの速度は早い。また、他のクラウドサービスに比べても速い。(たとえば某社はGCP上に仮想アプライアンスを置いているだけなので、スペックに制限がある)
・Zscalerは、MicrosoftのDCと専用線でつながっていて、MSの通信がとても速い。
・ありとあらゆるセキュリティ機能が実装されている。たとえばCASBだったり、セキュアブラウザ(ブラウザ分離)、Sandboxなど、従来はそれ単体で販売されていたものが統合されている。また、それらの全てのログを統合してみることができる。※なので、Zscalerを入れたら、あとはCrowdStrikeを入れるだけでいいかもしれない。ZscalerはCrowdStrikeとはうまく連携して、棲み分けをしながらビジネスをされているようですし。
1.6 Zscaler社について
・2007年創業
・本社は米国
・CEOはJay Chaudhry
・日本法人は2017年設立で、従業員は約200名
・ISMAPへの登録が完了しているため、政府の調達の選択肢にもなる。
・Zscalerのミッション Secure、Simplify、Transform(変革)
1.7 ライセンス
(1)ライセンスの考え方
・帯域ではなく、ユーザ単位。また、ユーザライセンスは同時接続数でカウントではなく、総利用者数でカウント。
なので、イベント会場で不特定多数の人が来場するような場合は、使えないと思った方がいいでしょう。
・ライセンスは、ZIAを使うのか、ZPAを使うのか、両方使うのかの基本ライセンスと、オプションライセンスがある。
Q.ZPAのライセンスはユーザにくくりつけられる?
A.契約時に決めるわけではないが、100ライセンスを買ったら、100ユーザを明確に決める必要があって、たとえば200ユーザなどで使いまわすのはもちろんNG。
Q.ZPAとZIAって価格差はある?
A.基本はほぼ同じ金額。ただ、毎年ライセンス形態が変わるので、毎年値段が異なる。
(2)基本ライセンスの種類
| ライセンスの種類 | 内容 |
|---|---|
| Zscaler Platform | ZIAとZPAがセット。別々に買うよりお得 |
| Zscaler Essential Platform | ZIAの機能 |
| Zscaler Private Access | ZPA(ZTNA)の機能 |
※Essential Platformは20ユーザに対してZPAを1ユーザ付与するなど、セットになっていたりする。
ただ、Zscaler Essential Platform(=ZIP) × 3000 + Zscaler Private Access(=ZPA) × 1000であれば、Zscaler Platform × 3000を買うより安くなりそう。
(3)オプションラインセンス
以下のメニューにあるように、インラインのサイバー脅威対策、プライベート アクセス、データ保護、リスク管理、ゼロトラストSD-WAN、特権リモート アクセス、ワークロード通信、デジタル エクスペリエンス モニタリングなどのそれぞれで、オプションライセンスが存在する。
たとえば、ユーザや部署単位、80や443以外でFWのフィルタをするにはAdvancedのライセンスが必要である。
2.ZIA
2.1 概要
・PCからインターネットへのアクセスを安全に行います。セキュリティ機能としては、URLフィルタ、アンチウイルス機能、FW+IPS、サンドボックス、TLSインスペクションなどです。
・利用シーンとしては、❶企業内のPCからと、❷リモートPCからの2つがあります。
・ただし、企業内のPCの場合、多くはインターネットの出口にUTM(またはFW)が設置されています。そのため、セキュリティ意識の高い企業以外は、高いお金を払ってまで導入することは少ないでしょう。
2.2 機能と解決する課題
(1)機能概要
| 機能 | 説明 |
|---|---|
| マルウェアプロテクション/高度な脅威保護/Sandbox | アンチウイルス機能、サンドボックス |
| ファイアウォールコントロール | ネットワークトラフィックの制御 |
| IPSコントロール | 怪しい通信の検知。YARAエンジン(YARAオープンソースのプロジェクト)によるシグネチャーおよび+振る舞い |
| URL/クラウドアプリケーションコントロール | 危険なサイトや不適切なコンテンツへのアクセスを制御 |
| SSLインスペクション | SSL通信の復号し、暗号化されたマルウェアやデータ漏洩を防止 |
| DataLossPrevention(DLP) | データ検出・保護機能を提供 |
| CloudAccessSecurityBroker(CASB) | クラウドサービスへのアクセスの監視と制御 |
| Web無害化 | 仮想コンテナを利用 |
(2)解決する課題
解決すべき課題と、解決のためのZIAの機能
| 課題 | 解決するZIA機能 |
|---|---|
| インターネット経由のマルウェア感染 | マルウェアプロテクション、高度な脅威保護、サンドボックス |
| フィッシング・悪性サイトのアクセスの禁止 | URLフィルタリング |
| 許可されたサービスおよび機能を提供 | アクセスコントロール > クラウドアプリケーションで実現。SNSへのUpload禁止などの細かい制御も可能 |
| シャドーIT(非管理クラウドサービス)の利用の管理 | Cloud App Control(CASB) |
| リモートワーク端末のセキュリティ向上 | Zscaler Client Connectorなどを使ってzscalerを経由してセキュリティを保つ |
| 機密情報の持ち出し(情報漏えい) | DLP(Data Loss Prevention) |
| セキュリティイベントの可視化 | 解析メニューにて各種の可視化が可能 |
| 認証認可の一元管理 | SAML/SCIMによりIdPと連携 |
2.3 接続方法と構成
(1)接続方法
以下の3つがあるが、実際には❷のZCCを入れることが一般的。機能面で、デバイスポスチャーの機能なども実現できるため。
❶IPsec接続
企業(本社および拠点)とクラウド上のZsclaerでIPsecトンネルを構築する。PCやサーバにエージェントを入れる必要無し。なので、複合機などのIoT機器も制御できる。最近はIoT機器が乗っ取られることも有る。また、GREも可能だが、その場合は暗号化されていない。
❷エージェントソフト
PCやサーバにZCC(Zscaler Client Connector)というクライアントエージェントソフトを入れると、Z Tunnnel(2.0)をZscalerと接続してくれる。
❸プロキシ接続
・エージェントソフトをPCにインストールできない場合、PACファイルを利用して、Zscalerにプロキシ接続をする。そこで、AVであったりURLフィルタリングを行う。
・PACファイルはZscalerのサーバにおいてもいいし、または社内サーバでも可能。特にどちらが推奨ということもない。
| ポート | SSLインスペクション |
|---|---|
| 9400 | 無し |
| 9443 | 有り |
※ロケーションによってポリシーを変えるなどのロケーション識別の機能もあるが、このポートを変えることで実現可能
(2)構成
・PCにエージェントを入れる方法と、出口のルータ等とZascalerをIPsecを張る方法がある。IPsecを張ると、PCにエージェントを入れなくてもいい。ただ、デバイスの情報などは取得できないだろう。
・イベント会場で不特定多数の人が来場するような場合は、ライセンスの観点で、使えないと思った方がいいでしょう。構成としては、インターネットの出口を分ける必要があります。
1)従業員はPC→Ciscoルータ→(IPsec)→Zscaler→インターネット回線1
2)来場者は、PC→FortiGate→インターネット回線2
(3)【参考】ZCC(Zscaler Client Connector)
・クライアントエージェントソフト
・ZIA、ZPA、ZDXの3つで共通のソフト
・デバイスポスチャー機能があり、WindowのFWが動いているかをチェックしたりできる。
・エージェントソフト自体にEDRなどの機能はない。
・SplitTunnenlも可能構成
・ZCCの配布方法は、ユーザがZCCの管理ポータルにログインして取得する。または、ZCCは、同じ組織で同じポリシーで作られたものであれば、共通のソフトなので、管理者がUSB等で一斉に配布もいい。
https://help.zscaler.com/zscaler-client-connector/best-practices-zscaler-client-connector-deployment
・Client Connectorの画面。以下のように、接続先のブローカーのIPアドレスであったり、接続状態を確認できる。
(4)名前解決
❶ZIA DNSの名前解説はどこでやる?
・通常というか、Ztunnnel2.0やIPsecを使う場合は、Transparent Proxy(透過型Proxy)で、端末(PC)がDNSの名前解決をする。また、Z-Tunnnle1.0でHTTPとHTTPSの場合も端末が名前解決。※Z-Tunnnle2.0の場合は、プロトコルに依存しない。
流れは以下。
| ・PCがローカルのDNSサーバ(社内DNSやISPのDNS)に問い合わせを行い、Yahooなどのドメイン名をIPアドレスに解決。 ・その後、ZIAへのトンネルを使ってトラフィックをZscalerクラウドへ送る。 |
・PCのブラウザにて、ProxyやPACを指定した場合は、Explicit Proxy(明示プロキシ)として、ZscalerがDNS解決する。
Q.DNSコントロールをやるときはどうあるべき?
A.DNSコントロールのところで解説しますが、DNSのクエリがZscalerを経由すれば可能です。なので、名前解決をPCでやろうがZscalerでやろうが、どちらでも可能です。
❷ZPA
AppConnectorが内部DNSサーバに問い合わせをする。
https://qiita.com/kentarokoba/items/a94a21649a2264471a97
(5)送信元IPアドレス
・ZIAでインターネット接続するとき送信元IPアドレスはZscalerのGIPにNATされる。その送信元IPアドレスはエリアによって異なる。以下がそのIPアドレス。
https://config.zscaler.com/zscaler.net/cenr
・送信元IPアンカリングを使って、企業が取得したIPアドレスで通信することも可能。ただし、Zscalerのアプライアンスを構築し、そこに企業が取得したIPアドレスを割り当て、Zscaler→アプライアンス→インターネットという通信にする必要がある。(※詳しくは要確認)
https://help.zscaler.com/ja/zia/understanding-source-ip-anchoring
2.5 FortiGateとの違い
根底にあるのは、FortiGateはオンプレの製品であり、Zscalerはクラウドサービスです。この観点から派生する違いと、単に製品依存の違いがあるでしょう。
(1)オンプレの製品かクラウドサービスによる違い
・Zscalerの場合、オフィス内からのインターネットアクセスと、リモート環境からのインターネットアクセスのセキュリティのポリシーを統一化できる。(FortiGateを使い、SSL-VPNを使ってオフィス経由でインターネットアクセスする場合はFortiGateでも同じことができる。ただ、ボトルネックになるからあまり好まれない)
・特にグローバルな会社の場合、世界中のグループ会社で統一的なセキュリティを保ちやすい。
・リモート環境の端末が、SSL-VPNを使ってオフィス経由でインターネットアクセスする場合は、帯域がボトルネックになる。ZIAであれば、帯域に関して柔軟な構成を取れる
(2)機能面、性能面
・セキュリティの機能であったり、AV検知率であったり、URLフィルタやアプリケーションのカテゴリの数、など、細かい性能の違いは別途調査が必要
・感覚論でしかないが、Zscalerは非常に細かい制御ができる。とはいえ、FortiGateも非常に細かい制御ができるので、どちらも高いレベルにあると感じる
・クラウドサービスであるので、SSLインスペクションのスペックはZscalerのほうが各段に早い。以下の資料を読むと(英語ですが、)SSLインスペクションによるパフォーマンスの低下はほぼないと考えれます。FortiGateはオンプレなのでマシンスペックに依存する。
https://www.zscaler.com/resources/security-terms-glossary/what-is-ssl-inspection
(3)価格
・モノの価格だけ(構築費や運用費用を含まない)でいうと、FortiGateの方が安いと思います。また、モデル選定によって、価格を調整できるのがFortiGateです。Zscalerは人数によって価格が決まるので、そういう調整はできません。
・セキュリティの脆弱性が出たりする場合の運用費用などを考えると、価格の計算は単純にはできないと思われる。
・ただし、社員数が増えたり減ったりした場合に、FortiGateの場合は、機種変更をする必要があるが、Zscalerの場合は単にライセンスの増減で対処が可能。
(4)その他(細かな違い)
・ポリシーの設定方法
FortiGateの場合、ポリシー単位で、AVやIPSを有効にできる。一方、Zscalerの場合は、機能ごとに設定を入れていく。なので、セグメントA→インターネットへの通信に関して、ポリシーが複数設定されることになる。すると、複数で重複する場合があるけど、URLフィルタとアプリケーションコントロールがあれば、クラウドアプリケーションコントロールが優先される。FWルールに関しては、ファイアウォールルールが優先されるであろう。
2.6 実装技術に関して
(1)FWモジュールとプロキシモジュール
ZIAのセキュリティ機能に関しては、モジュール構成をみるとわかりやすいかもしれない(人によるが)。
(出典:https://help.zscaler.com/zscaler-deployments-operations/zia-policy-leading-practices-guide#zscaler-service-edge)
ここで、矢印を見てもらうとわかるように、インバウンドトラフィックはFWモジュールを通らない。※インバウンドトラフィックは、基本的にはZPAにて対処する。
(2)複数のポリシーが重複した場合(優先度)
・アプリケーションでの制御もできるしファイアウォールでの制御もできるので、複数のポリシーが重複する場合がある。そのとき、どれが優先されるのか。
上の図でもあるし、以下にもあるが、クラウドアプリケーションコントロールのポリシーも合致したとしても、ファイアウォールモジュールを先に通過するので、ファイアウォールルールが優先される。
3.ZIA 設定画面
3.1 ログイン
・管理者のポータル画面
https://admin.zscalerthree.net/
・ログインID(メールアドレス形式)を入れて「次へ」
・このとき、下にあるところで「日本語」などの言語設定ができる。ログイン後の変更は、Account > Settings > Languageから設定可能
・同様に、パスワードを入れて「次へ」を押すと、管理画面にログインできる。
3.2 管理ポータル
・ZPAのポータル画面には、2つがある。
| ポータル | Zscaler Private Access Admin Portal | Zscaler Client Connector Portal |
|---|---|---|
| 用途 | ZPA環境の設定・管理 | ユーザー端末側にインストールされるクライアントソフト(Zscaler Client Connector)の管理と運用 |
| 主な設定内容 | セキュリティのポリシー、App Connectorの設定など | ZCCのインストーラ配布、登録済みデバイスの管理 |
・これ以降は、基本的にZPA Admin Portalの画面についての解説です。
・サマリーを押すと、こんな感じ。各種のサマリーが見える
・解析を押すと、こんな感じ。レポートや統計情報が確認できる。
・ポリシーを押すと、こんな感じ。セキュリティ設定として、URLフィルタやアプリケーションコントロール、ファイアウォールの設定ができる。
・管理を押すと、こんな感じ。ユーザ管理であったり、SAMLの設定などができる。
3.3 解析
・解析では各種のログ、レポートなどが確認できる。
・ZIA(Zscaler Internet Access)では、通信ログは最大6か月間保存されます。それ以上の期間保存したい場合は、SIEM連携や追加のサブスクリプション契約が必要。
(1)メニュー全体像
 |
■レポート Cybersecurity Insights新規 対話型レポート 企業リスクスコアレポート新規 Industry Peer Comparison システム監査レポート セキュリティポリシー監査レポート Sandboxアクティビティレポート 四半期ビジネスレビューレポート SaaSアセットサマリーレポート Configuration Risk Report新規 IoT Report新規 Data Discovery Report新規 Endpoint DLP Report新規 Email Security Report新規 Gen AI Security Report新規 Instance Discovery Report新規 Endpoint Data Scan ■SaaS Security アプリケーション アセット Activities Posture Management 3rd-Party App Inventory ■解析 Webの分析 モバイルの解析 ファイアウォール解析 DNS解析 脅威解析 トンネル解析 SaaSセキュリティ分析 Endpoint DLP Insights新規 Email DLP Insights新規 |
(2)よく使うメニュー
Q.よく使うメニューはどれ?
A.たとえば、以下のメニューです
・Webの分析
・ファイアウォール解析
→障害対応。Pocをやるときもログを見る
・企業リスクスコアレポート新規
→ZIAのユーザ一人一人のリスクスコアの算出
(3)CASB
CASBには、シャドーITとAPI連携しての制御があるが、シャドーITに関しては、 解析 > SAAS SECURITY > アプリケーション で以下が確認できる。
・以下のように、アプリケーションのリスク評価もされている。
| 管理項目 | 内容 |
|---|---|
| アプリケーション | アプリケーション名 |
| アプリケーションカテゴリー | アプリケーションのカテゴリ |
| 合計バイト数 | アップロードとダウンロードの合計バイト数 |
| アップロードバイト数 | アップロードデータのバイト数 |
| ダウンロードバイト数 | ダウンロードデータのバイト数 |
| ユーザー | 一定時間内にアプリケーションにアクセスした認証済みユーザー数 |
| ロケーション | アプリケーションがアクセスされる認証されていないロケーションの数 |
| 潜在的な統合 | あまり使わないフィールド。Chromeの拡張機能とかで、実は裏で潜在的に別のSaasにつながっているなどの数 |
| アプリケーションリスクインデックス | アプリケーションのリスクを5段階で評価 |
| アプリケーションステータス | アプリケーションの認可状態を表示 |
(4)Sandboxアクティビティレポート
メニューを切り替えると、隔離したファイルの詳細も確認できる。スクリーンショットを取得して動作の結果まで確認できます。
3.4 ポリシー ①Web>セキュリティ
ポリシー > Web >セキュリティから設定できます。
(1)マルウェアプロテクション
ポリシー> マルウェアプロテクション プロトコルなどを選べる。デフォルトでは有効に機能していることが多い。
| 項目 | 設定できる内容 |
|---|---|
| トラフィックを検証 | インバウンドトラフィックを検証、アウトバウンドトラフィックを検証 |
| Protocol Inspection | Inspect HTTP、Inspect FTP over HTTP、Inspect FTP |
| マルウェアプロテクション | 不要なアプリケーション、トロイの木馬、ワーム、Ransomware、Remote Access Tool、Other Viruses |
| アドウェア/スパイウェアからの保護 | アドウェア、スパイウェア |
Q.マルウェアプロテクションはグループ単位での設定ができない?
A.はい。テナント単位での管理です。
Zscaler社の文献にも、「マルウェア ポリシーは、組織のすべての場所にグローバルに適用されます。」とあります。
https://help.zscaler.com/ja/zia/configuring-malware-protection-policy
・最高評価の「AAA」を獲得とあり、ネットワークセキュリティの会社とはいえ、マルウェア対策としても高度な技術を有しているようです。
https://www.zscaler.com/jp/campaigns/cyberratings-sse-threat-protection
(2)高度な脅威保護
・ポリシー > 高度な脅威保護 C&Cサーバをブロックするなどが選べる
・Page Riskを見て、ブロックすることができる。リスクの度合いを調整できる。
・不審コンテンツ保護(ページリスクTM)は、よくわからなければ33にしておくらしい(通説)
・ここで設定できるジャンルは以下。
ボットネット対策
悪意のあるアクティブコンテンツ対策
不正行為からの保護
不正通信からの保護
クロスサイトスクリプティング(XSS)からの保護
不審宛先からの保護
P2Pファイル共有対策
P2Pアノニマイザーからの保護
P2P VoIPからの保護
(3)Sandbox
ポリシー > Sandbox
・以下はポリシー一覧の画面
・以下はポリシーの編集画面。ファイルタイプを選択できる。また、検知後のアクションも設定可能。
| Criteria名 | 説明 |
|---|---|
| FileType | 対象とするファイルの種類(例:EXE,PDF,DOCX,ZIPなど) |
| URLCategory | ダウンロード元のURLカテゴリ(例:SocialMedia、Uncategorizedなど) |
| Users | ユーザー単位で適用(Zscaler認証ユーザー) |
| Groups | |
| Department | ZscalerのDepartment(部署)ごとに指定 |
| Location | ZscalerのLocation(拠点)ごとに指定 |
| Location Grops | |
| Sandbox Categories | |
| Protocol | 通信プロトコルによる条件(例:HTTP,HTTPS,FTP) |
| ZPA Application Segment |
(4)セキュアブラウズ
ポリシー > セキュアブラウズ
許可するブラウザのバージョンを管理する。実際には、最新バージョン(のみ)であれば、許可するかしないかをコントロール。
3.5 ポリシー ②URLフィルタ/アプリケーションコントロール
ポリシー > Web > アクセスコントロール > URL/クラウドアプリケーションコントロール から設定可能
URLフィルタとアプリケーションコントロールの設定が同時に実施できる。
「URLフィルターのルールを追加」を押すと、以下の画面が起動する。
(1)URLフィルタ
・設定は、URLカテゴリで選択
・カテゴリの一覧は、管理 > リソース > URLカテゴリ で確認できる。
・全部で109のカテゴリがある。
・URLカテゴリはユーザーでカスタマイズが可能
| 大カテゴリ | 中カテゴリ | カテゴリ |
|---|---|---|
| ■ビジネス利用 | ||
| ビジネスと経済 | Insurance、Online Trading & Brokerage、ビジネス/経済(その他)、ファイナンス、プロフェッショナルサービス、企業/マーケティング、広告 | |
| 教育 | サイエンス/テクノロジ、リファレンス、教育(その他)、教育/大学を継続、高校生以下、歴史 | |
| インフォメーションテクノロジー | CDN、DNS Over HTTPS Services、File Convertors、FileHost、General AI & ML Applications、Generative AI and ML Applications、OSおよびシステムの更新、Webホスト、Web検索、イメージホスティング、インフォメーションテクノロジー(その他)、シェアウェアのダウンロード、セーフサーチ、ポータル、広告、翻訳サイト | |
| インターネット通信 | P2Pサイト、Webメール、Zscaler Proxy IPs、インターネットサービス、インターネットコミュニケーション(その他)、ウェブ会議、オンラインチャット、ブログ、リモートアクセスツール、掲示板 | |
| 求人情報 | 求人情報 | |
| ■プライバシーリスク | ||
| セキュリティ | カスタム暗号化コンテンツ、スパイウェア/アドウェア、セキュリティ(その他)、ダイナミックDNSホスト、新しく復活したドメイン | |
| ■生産性低下 | ||
| ゲーム | SNSゲーム、オンラインおよびその他のゲーム | |
| 健康 | 健康 | |
| 宗教 | オカルト、カルト、宗教(その他)、伝統的宗教 | |
| ショッピング&オークション | Online Shopping、オンラインオークション、ショッピング/オークション(その他)、不動産 | |
| 社会や家族の問題 | 家族の問題、社会や家族の問題(その他)、社会問題 | |
| ライフスタイル | SNS、ライフスタイル、ライフスタイル(その他)、レストラン、芸術/文化、趣味/レジャー、酒/たばこ | |
| クラブ/団体 | クラブ/団体 | |
| スポーツ | スポーツ | |
| ■帯域幅の浪費 | ||
| エンターテイメント/レクリエーション | エンターテイメント、エンターテイメント/レクリエーション(その他)、テレビ/映画、ビデオストリーミング、ラジオ、音楽および音声ストリーミング | |
| ニュース&メディア | ニュース&メディア | |
| ユーザー定義 | ||
| ■通常のネットサーフィン | ||
| 政府と政治 | Military、政治、政府、政府/政治(その他) | |
| 未分類 | Miscellaneous or Unknown、カテゴリ分類不可、新規登録および観測されたドメイン、未分類 | |
| 旅行 | 旅行 | |
| 車/乗り物 | 車/乗り物 | |
| ■法的責任 | ||
| アダルト | Body Art、SNSアダルト、その他のアダルトコンテンツ、ヌード、ポルノ、ランジェリー/水着、性教育(高校生以下向け)、性教育(大人向け)、成人向けトピック | |
| ドラッグ | Marijuana、その他の薬物 | |
| ギャンブル | ギャンブル | |
| 法律違反/不正 | アノニマイザー、コンピューターのハッキング、過激ひわいな内容、大人向けユーモア、著作権侵害、不正なコンテンツ、法律違反/不正(その他) | |
| 過激思想 | 過激思想 | |
| テイストレス | テイストレス | |
| 暴力 | 暴力 | |
| 武器/爆弾 | 武器/爆弾 |
(2)アプリケーションコントロール
・アプリケーションの一覧は、 管理 > アクセスコントロール > クラウドアプリケーション。ここで、CASBで利用するであろうクラウドアプリケーションのリスク評価もされている。
・追加方法は、URLフィルタとは少し異なる。「クラウドのアプリケーションコントロールポリシー」のタブに切り替える。
・ここでSNSを選択したとします。まず、アプリケーションを選ぶことができる。
・また、「アクション」として、「閲覧」や「投稿」ごとに、アクションを選べる。
・テナント制御として、組織が契約しているテナントにしかログインできないようにできる。たとえば、Office365の個人契約アカウントはログインできない。設定に関しても、Office 365 One Click Rule にドメインを入れるだけで、他社のサービスはヘッダをコマンドで書いたりするので大変。
(3)SSLインスペクション
・証明書はZCCでインストール時に入れることも、別途入れることもできる。
・SSLiインスペクションポリシーのタブで、インスペクションするルールを決めることができる。たとえば、以下にあるように、Source IP Groupsだったり、URLカテゴリだったり、宛先グループ、クラウドアプリケーションでのルール決めができる。
・SSLインスペクションをしない(除外)も可能
・SSLインスペクション非対応のサイトやアプリケーションがあったり、ブラウザの暗号の種類が違うとうまくSSLインスペクションができなかったりと、必ずしもうまくいくとは限らない。→エラーになるようであれば除外設定をするしかないだろう(※要確認)
3.6 ポリシー ③ファイアウォール
(1)全体像
・ポリシー > ファイアウォール > アクセスコントロールから設定する。
・ここでは、以下の4つの設定ができる。
❶ファイアウォールコントロール
❷DNSコントトロール
❸FTPコントロール
❹IPSコントロール
・ライセンスに関して、ベーシックだと80と443以外の制御はできない。グループ単位の制御もできない。なので、アドバンスファイアウォール機能は必須であろう。(それほど高くない)
(1)ファイアウォールコントロール
・ポリシーとしては、URLフィルタ/アプリケーションコントロールの方がより細かな制御(L7レベル)でできるので、ファイアウォール(L3/L4レベル)は必須ではない。
・ただ、アプリケーションでの制御は全部を入れるのは難しいとも思うので、ファイアウォールの方で、ポートを一律で止めたりするのはいいだろう。
・ファイアウォールの設定ができる。
・以下は詳細の設定画面
| タブ名 | 設定内容 | 設定例 |
|---|---|---|
| Who,Where,When | 対象ユーザー/グループ,適用する拠点(Location)、ポリシーを適用する時間帯 | 勤務時間(9:00~18:00)など |
| Services | 対象となるサービス(プロトコル/ポート)を指定 | TCP/80、UDP/443、ICMPなど |
| Applications | アプリケーションを指定 | Skype,BitTorrent,Zoom,SSL,DNSなど |
| SourceIP | 送信元IP | |
| DestinationIP | 宛先IP |
※アプリケーションを設定できるが、ZIAにおけるアプリケーション制御の比較は以下。こちらのアプリケーションはL3/L4・L7レベル
| 項目 | ファイアウォールポリシーのアプリ制御 (ApplicationControl) |
Webポリシーのクラウドアプリ制御 (CloudAppControl) |
|---|---|---|
| UI上の位置 | Policy>FirewallControl | Policy>Web>AccessControl |
| 対象トラフィック | 全トラフィック(Web以外も含む) | HTTP/HTTPSトラフィック(Webアプリ) |
| 制御レイヤー | L3/L4/L7 | L7 |
(2)DNSコントロール
・DNSセキュリティの設定ができる。
・DNSの名前解決ですが、ProxyやPACを指定してzscalerが名前解決する場合はもちろんDNSコントロールは可能です。また、PCが名前解決する場合でも、DNSクエリがZscaler経由で流れるように設計すればDNSコントロールの利用は可能です。たとえば、Zscalerが提供するDNSサーバを使う場合や、DNSの問合せがZscalerが制御する経路を通過すれば可能です。ただ、Zscalerを全く通らないDNSクエリの場合、DNSコントロール機能が機能しません。
3.7 DLP
・DLPといっても簡易なものだと思う。マイナンバーらしきフォーマットの文字であったり、機密情報っぽい文字列があれば、キーワードでブロックするくらいであろう。
・とはいえ、テキストだけでなく、PDFやOfficeファイル、圧縮されたファイル、画像も?、検知が可能である。(★要確認)
・設定方法は以下に整理されている。
https://licensecounter.jp/engineer-voice/blog/articles/20230926_zscaler_dlp.html
・まず、ポリシ(名前はDLPエンジン)を作成する必要があるだろう。管理 > 情報漏洩防止(DLP) > DLP辞書&エンジン を開き、DLP辞書を見ると、デフォルトでマイナンバーやらクレジットカードなどの情報が整理されている。
・タブを「DLPエンジン」に切り替えて、DLP辞書をまとめる。デフォルトでPCIというのは、「クレジットカード > 5 AND 社会保障番号(アメリカ) > 5」という設定になっている。自分で作ることが可能。
・ポリシー > 情報漏洩防止(DLP) からDLPルールを作成する。
・DLPではUSBなどのリムーバブルメディアを指定して、そこへの拒否や許可も設定できる。メニューはDLP Resources
・DLPのログには、マイナンバーなどの生のデータは残らないようになっている。
3.8 Zscaler Client Connector Portal
ポリシー >モバイル > Zscaler Client Connector Portal
新しい画面がポップアップする。
(1)転送プロファイル
管理 > 転送プロファイル
・「+転送プロファイル」から転送プロファイルの設定ができる。
・ZIAの転送プロファイルアクション
| 項目 | アクション | 説明 |
|---|---|---|
| 1 | トンネル | トンネルバージョンはZ-Tunnel2.0を使うのが推奨 |
| 2 | ローカルプロキシをしたトンネル | PACファイルを使う場合 |
| 3 | プロキシの強制適用 | プロキシサーバを経由するかPACファイルだが、どちらも強制させる。利用者に書き換えを許可しない |
| 4 | なし |
(2)ZCCのプロファイル設定
・ポリシー >モバイル > Zscaler Client Connector Portal
・アプリプロファイル > Windows(などを選んで)
・「+追加Windowsポリシー」でSSLの証明書をインストールするかや、どのユーザグループに適用するかなどを設定
(3)デバイスポスチャー
・ZCCの画面 > 管理 >デバイスポスチャー 「デバイスポスチャーの追加」で、OSの状況などを管理するポスチャーを作れる
・上記の画面に、[ポスチャ タイプ]というのが確認できると思うが、証明書や端末の状態(レジストリやファイアウォールの動作)、セキュリティソフトの導入状態など、かなりの数の選択ができる。以下、公式ページの抜粋。
・PCの状態によって、たとえば、EDRが動いている場合は機密情報があるサーバAへのアクセス権を付与し、EDRが動作していない場合は、サーバAにはアクセスできず、機密情報の少ないサーバBだけにアクセスできるなどの設定ができる。また、CrowdStrikeと連携し、Falcon SensorでZTA score >= 80 なら内部アプリにアクセス可能 などの制御が可能。
・以下のように、アクセスポリシーで設定。
(4)登録済デバイス
ZCCの画面 > 登録済デバイス デバイスの一覧が見える
目のマークを押すと、OSやホストの情報などはわかる。ただ、ウイルス対策ソフトが入っているかなどは見えない
3.9 管理 (1)ユーザの管理
(1)全体像
・Zscalerの場合、Zscalerにてユーザ管理ができないので、外部のIdPや認証サーバを活用する。
・今回はEntraIDを利用することにした。
・Zscaler側で、EntraIDとのSAMLの設定をする。
・EntraID側で、ZscalerとのSAMLの設定をする
・設定方法は、基本的に以下のドキュメント通り。(ZIAとZPAでそれぞれ設定が必要です。)
https://help.zscaler.com/ja/zia/saml-scim-configuration-guide-microsoft-entra-id
・EntraIDでユーザを追加する
(2)ユーザの同期
・認証連携なので、ユーザの同期は不要かと思う人もいるかもしれないが、ユーザ情報はZscaler側にも作成される必要がある。ユーザがわからないと、どのパスワードかもわからない。
・具体的な方法は、ZIA(ZPAでも同様)にEntra IDにおけるあるセキュリティグループを連携させる。こちらのセキュリティグループにユーザが追加されるとZscaler 側にユーザ情報が同期される。同期のタイミングは標準で40分毎となっていたはず。
(3)ユーザ管理におけるZIAとZPAの違い
・ZIAはローカル(管理画面)でユーザを持てるが、ローカルで作ることは少ない。ZIAの場合もユーザはSCIMでもらう。
・一方、ZPAはローカルではユーザは作成できず、IDPからユーザをもらう必要がある。もらうためにSCIMを使う。
・SCIMではユーザだけでなく、グループも取得できる
(4)Zscaler側の設定
管理>認可 IDプロバイダーのタブにて「+追加IdP」でEntraIDを追加する。
・IdPの設定を入れる
(5)EntraID側の設定
・EntraID側で、ZscalerとのSAMLの設定をする
・EntraIDでユーザを追加する
https://help.zscaler.com/ja/zia/saml-scim-configuration-guide-microsoft-entra-id
(6)ユーザーの管理
管理 >認証 > ユーザー管理
でユーザーの管理ができる。
3.10 管理 (2)ブラウザ分離
リソース > Secure Browsing > Browser Isolation
(1)機能
いわゆる仮想ブラウザの機能である。
ローカルのブラウザじゃなく、zscalerのブラウザを使ってインターネットに接続する。
その際、テキストの入力を禁止するとか、印刷を許可するとか、コピペを許可するとか、そういう制御ができる。
マルウェアをダウンロードしないようにするので、マルウェア感染がしなくなる。
ここで名前を付けて作成したものを、ポリシーに適用する。
3.10 IPsec接続
(1)概要
企業の中から利用する場合、PCにクライアントソフトを入れずに、企業の出口のルータとZscalerのサービスエッジ(Public Service Edge)にIPsec接続をしてもいい。ただ、PCの細かい管理やデバイスポスチャーなどもできないので、可能であればPCにエージェントソフトを入れた方がいい。
(2)設定方法
IPsecの接続は、管理 > リソース から
❶ 静的IPとGREトンネル
固定IPアドレス(Static IP)を登録
❷VPN属性 から 「VPN属性の追加」
認証のタイプを IPアドレス(またはFQDN)にして、事前共有鍵の設定などを行う。
❸ロケーションの設定
Location Management(日本語表記はロケーショングループ?)からロケーションを追加する。詳細は不明
4.ZPA
ZPA(Zscaler Private Access)は、リモート端末から企業へのリモートアクセス。FortiGateなどによるSSL-VPN接続の代替えになる。
4.1 概要
4.2 リモートアクセスの全体像
テレワークセキュリティ ガイドライン
https://www.soumu.go.jp/main_content/000752925.pdf
4.2 ZPAによるリモートアクセス
(1)SDP、IAP、ZTNA
SDP(Software-Defined Perimeter)として、ソフトウェアで設計された境界(Perimeter)を構築する概念。境界防御の限界を超えて、ゼロトラストが求められるネットワークにおいて、柔軟にネットワークセキュリティを構築する。ZPAは、SDPを実現する仕組みと言っていいだろう。厳密には違うのですが、リモート接続における認証と認可を行う仕組みとして、IAP(Identity-Aware Proxy:アイデンティティ認識型プロキシ)という言葉であったり、ZTNA(Zero-TrustNetwork Access)とも同じと考えてもいいであろう。
(2)具体的な仕組み
じゃあ具体的には何かというと、VPNをよりきめ細やかに制御したものと言ってはどうだろうか。SSL-VPNにしてもIPsecのVPNにしても、システムとセキュアな通信を構築してしまうと、どのサーバでも自由にアクセスできてしまうことが多い。それを、ユーザとリソースで細かく制御できるようにする。
クライアント(PCやスマホ)にはZPAのクライアントソフト(Zscaler Client Connector)が必要で、そこからZPAクラウド(ZEN:Zscaler Enforcement Node)に接続する。サーバ側もZPAコネクタ(App Connectorという仮想アプライアンス。)でZscalerと接続する。www.zscaler.jp
4.3 SSL-VPNの脆弱性への対処について
従来は、組織内にSSL-VPN装置を配置し、その装置を経由してリモートアクセスを実現しました。しかし、SSL-VPN装置の脆弱性が何度も見つかり、その脆弱性を突いて、組織内に侵入されたりランサムウェアに感染するなどの被害が多数発生しました。
IAPは、この問題を解決する有効な解決策になります。理由は2つあります。
【理由1】常にセキュリティが高い状態が保たれる
IAPのセキュリティ対策は、クラウドサービス側で提供されます。ですから、クラウドサービス側のシステムに脆弱性が出た場合、その対処はクラウド側で行われます。担当者が多忙でバージョンアップを忘れたなどのリスクが大幅に減ります。
【理由2】外部から直接アクセスができない
以下の図を見てください。IAPの場合、ファイアウォールにて、外部からリモートアクセス用のポートを開ける必要がありません。IAPサービスとの接続は、FWの中のIAPのコネクタから行われるからです。よって、攻撃者がファイアウォールの外部から組織内に直接的にアクセスすることができません。仮にシステムに脆弱性があったとしても、それを突くことができないのです。加えて、DDoS攻撃を受けることもありません。
4.4 構成
(1)構成
構成は以下が想定される。
❶App Connectorにをオンプレに配置
・FWの一つセグメントを作り、そこにAppConnectorを配置。AppConnectorは公開されるべきではない。
・公の記事には、「通常、DMZなど、セキュリティで保護されたアプリケーションとZPAクラウドに同時にアクセスできるネットワーク セグメントに展開されます。」とあります。
・App Connectorは複数台を建ててもいい。たとえば、AWSのVPC上のサーバに接続する用に、AWS上にApp Connectorを設置する。そして、App Connectorと接続先のアプリケーションは、サーバーグループで括り付けを設定する。
❷App Connectorにをクラウドに配置
サーバ群が基本的にクラウドにある場合、App Connectorもクラウドに置くといいでしょう。AppConnectorは、AWSのマーケットプレイスにある。
(2)App Connector
・App Connectorは、リバースプロキシとしての役割。
・App Connectorは信頼性を高めるのであれば冗長化する。
https://help.zscaler.com/ja/zpa/connector-deployment-prerequisites
・AWSの場合、AppConnectorはプライベートサブネットに配置する。
・1台のApp Connectorあたり500Mbpsをサポート(★どこが500Mbps?)
設定画面は、構成とコントロール > プライベートインフラから設定する
a)App Connectorsを開く
b)ウィザードに従って、設定を進める。
❶キーを選択では、プロビジョニングキーを新規作成、❷の証明書は、特に指定がなければConnectorを選択。❸App Connectorグループで、グループを作るか既存のグループを選択、❹プロビジョニングキーを作成で、名前とApp Connectorのの最大利用数を入れる。
c)プロビジョニングキーが表示されるので、別途構築するApp Connectorに投入するために控えておく
d)AWSのマーケットプレイスで、Zscaler Private Access Connectorを選択して起動
App Connectorは、TCPポート443でのアウトバウンド アクセスのみでZPAに到達する。よって、インバウンドは、初期設定のSSHのみで、その後は必要に応じて閉じる。また、パブリックIPを割り当てるか、ElasticIPをあとで割り当てる。
e)起動したApp ConnectorにSSHで接続する。ユーザ名はadminで、秘密鍵を使って接続。
f)以下のようにLinuxの画面になるので設定を実施。
・resolve.confでDNSサーバを指定
・プロビジョニングキーの指定
echo "
https://help.zscaler.com/ja/zpa/connector-deployment-guide-amazon-web-services
g)ZPA Admin Portalでステータスの確認
構成とコントロール > プライベートインフラ > App Connectorsにて、ステータスが「Connected」になっていれば正常に接続
(3)認証連携
・Zscalerでローカルでユーザ管理はできないので、認証サービス(IdP)と連携する。
・認証方式は、SAML/OAuth/OpenID Connectの3つが使えるが、推奨はSAML。※OAuthはリソースへの権限のはず。
・認証連携はSAMLで、ユーザ情報の同期はSCIMを利用する。
整理すると、以下
| 言葉 | 正式名 | 読み方 | 機能 | 備考 |
|---|---|---|---|---|
| SAML | Security Assertion Markup Language | サムル | シングルサインオン(SSO)として、認証情報のやりとり | |
| SCIM | System for Cross-domain Identity Management | スキム | ユーザー情報の自動同期 | ただし、PWは同期しない |
(4)通信プロトコル
・ZCCとZscalerクラウドのTLS(443)は制御や認証用にZscalerトンネル(Z-Tunnel)が張られ、その中を別途マイクロトンネル(M-Tunnel)を作ってHTTPSなどのアプリケーションデータが通信する。
Q1.ZIAのときは、Zscalerトンネル(Z-Tunnel)だけを利用する?
A.Yes。ちなみに、トンネルを使わずにPacなどでもOK
Q2.ZPAのときは、Zscalerトンネル(Z-Tunnel)を作り、その中を別途マイクロトンネル(M-Tunnel)を作ってHTTPSなどのアプリケーションデータが通信する?
A2.★確認
・FTP、CIFS、SMBなどのHTTP/HTTPS以外の通信も、HTTP/HTTPS通信と同様に、上記のトンネル中を通って通信する。
・注意点として、ZPAはUDP通信(例:DNS、VoIP、Syslogなど)も対応していますが、サーバ発の通信が基本的には非対応です(BranchConnectorなどZscalerの別コンポーネントが必要になります)。
(5)ログインおよび通信の流れ
利用者の接続方法は2つある。
❶通常の接続
・利用したいサーバに直接接続する。
・接続の流れ
a)(初回だけ、)ZCCをPCにインストールし、ログインする。※ログインの保持時間などはタイムアウトポリシーなどで設定。
b)PCにインストールされたZCCが自動起動し、Zscalerに接続する。(もちろん、この時点でZscalerからIDaaSに認証が行われる。)
c)利用者は、Zscalerを利用したいサーバに直接接続する。
❷ブラウザーアクセスについて
・ブラウザーアクセスを使用すると、ZCCをPCにインストールする必要がありません。
https://help.zscaler.com/ja/zpa/about-browser-access
・接続の流れ
a)ユーザポータルにログイン。この時点でZscalerからIDaaSに認証が行われる。
b)ユーザポータル画面にて、接続可能な資源(サーバなど)を選択して接続する。※利用できるのは、HTTP/HTTPSの通信だけ。また、ユーザポータル以外からの接続はできないようになっている。
・ブラウザアクセスの設定方法は以下
https://qiita.com/naret/items/07255e3514dbc9eaf8a6
4.5 ユーザ管理
(1)ユーザ管理
・EntraIDなどでユーザ連携をする必要がある
・Zscalerでローカルでユーザ管理はできない。
・SAMLの設定は以下
https://learn.microsoft.com/ja-jp/entra/identity/saas-apps/zscalerprivateaccess-tutorial
・ユーザが自分のPWを変更する場合は、Zscalerではなく、IDaaSに直接ログインして変更する必要がある。
(2)認証強化
| 認証要素 | 主な設定場所 | 補足 |
|---|---|---|
| ID / パスワード | Entra IDなどのIdP側 | 基本の認証 |
| 多要素認証(MFA)(例:SMS、Authenticatorアプリ、FIDOキー) | Entra IDなどのIdP側 | ZscalerはIdPの結果を利用 |
| PCの証明書 | Zscaler | ポスチャー管理 |
| Windows Hello(顔認証、PINなど) | Entra ID側のMFAポリシー/WindowsのHello for Business設定 | ローカルユーザであればローカルPCの認証のみだが、EntraのユーザであればEntra認証ができる。具体的には、OSが制御し、EntraIDとSSO可能 |
| 条件付きアクセス(例:IPアドレス、OSなど) | Entra IDで設定し、Zscalerに反映することが可能 | ZPA/ZIAがIdPからの情報を使ってアクセス可否を判断 |
※参考
条件付きアクセス、デバイスポスチャーともに認可のためのプロセスで、かなり似通った機能である。実は、EntraIDとZscalerの両方で可能。実際、両方でやったりするが、EntraIDに任せることが多いだろう。管理面でも、どちらかに寄せてしまう方が合理的である。
| 認可条件 | 設定場所 | 補足 |
|---|---|---|
| 条件付きアクセス | EntraID | EntraIDが条件に応じた認可チケットを発行 |
| デバイスポスチャー | Zscaler | 証明書・OSバージョン・EDR稼働状況など、端末の状態に応じて認可条件を動的に変更 |
(3)ユーザポータル
・ユーザごとのポータルを作ることができる。
・利用者がユーザポータルからできることは、大きく2つ
| ・自分がアクセスできるアプリケーションの一覧を見ることができる。そして、自分がアクセスできるアプリケーションに1クリックで接続できる(ブラウザーアクセスのときだけ) ・自分に必要なソフトウェア(ZCC)のインストールのリンク表示させることができる。 |
・設定については、リソース管理 > ユーザポータルから
1)ユーザポータル
ユーザのログインURLおよび証明書を設定する
2)ポータルリンク
接続先のリソースの一覧。ただし、これは個別に入れる必要がある
3)Client Connectorダウンロードリンク
Client ConnectorをダウンロードするURLを決める。ZCC PortalにClient Connectorのダウンロードリンクがるので、それをここに貼る★あってる?
4.6 リモートアクセスの方式
(1)方式
SSL-VPNの場合、リバースプロキシ、ポートフォワード、ネットワークコネクト(L2フォワーディング)などが選べたが。
Zscalerの場合はというと、、、
以下、ChatGPTに書かせました。
| SSL-VPNの方式 | 対応可否 | Zscaler ZPAでの対応・類似 |
|---|---|---|
| リバースプロキシ型 | ✅ | 対応。ZPAはアプリ単位でのアクセス制御が可能で、リバースプロキシに近い動作。アプリセグメンテーションやSAML連携にも対応。 |
| ポートフォワード型 | △ | 一部対応。ZPAはユーザーが意識せずにアプリごとの接続を行うが、ポート単位での手動設定は基本しない。アプリ定義でポートを指定することは可能。 |
| L2フォワーディング型 | ❌ | 非対応。ZPAはL2/L3トンネリングを行わず、完全にアプリケーション単位のアクセス。ネットワークに「参加」するという概念はない。 |
Access policyのところで接続先のApplication Segment(対象のサーバのIPやポート)とCriteria(ユーザやDevice postureなど)を指定してアクセス許可させることになる。
(2)アクセス制御
どういう単位で制御可能?ポート単位?プロトコル単位、IPアドレス単位、など★
ZPAでのアクセス制御の際は、Application Segmentsを定義する際に下記の値を指定する。
・名称:管理しやすい任意の名前
・宛先:FQDN/IPアドレス
・プロトコル:TCP/UDP
・ポート番号
4.7 端末側の設定
(1)パソコンの場合
対応OSは、Windows, Mac, Linux, Android, iOS
https://help.zscaler.com/ja/zscaler-client-connector/understanding-zscaler-client-connector-app-downloads
・エージェントのインストールは、ユーザポータルにログインして取得するか。USB等で管理者が配布する。
(2)モバイル端末の場合
対応OSは、Android, iOS
・アップルストアなどにある(無料)
4.8 セキュリティ機能
・・・
4.9 その他
ZPAがダウンしたときの対処
5.ZPA 設定画面
5.1 管理ポータルへのログイン
・管理者のポータル画面(ZIAとは別のURL)
https://admin.private.zscaler.com/
・ログインID(メールアドレス形式)を入れて「次へ」。このとき、「日本語」などの言語設定ができる。
・同様に、パスワードを入れて「次へ」を押すと、管理画面にログインできる。
5.2 管理ポータル
・ダッシュボードでは、ステータスなどが見える
・インサイトの画面
・分析の画面
・認証の画面
・リソース管理
・ポリシーの画面
・構成とコントロール
・アカウントでは、自分のアカウント情報が表示されます。
5.3 ダッシュボード
・たとえば、アプリケーションのメニューでは、正常にアクセスしたアプリケーションの数および一覧が表示される。この情報を収集しながら、ZPAの適切なポリシーを設定することにつなげることができる。
5.5 リソース管理
(1)リソース管理の目的
接続先のサーバやアプリケーションを定義する。
(2)言葉の説明
セグメントグループと、アプリケーションセグメント、アプリケーションの違いについて説明します。
この3つは、セグメントグループ > アプリケーションセグメント > アプリケーション と考えてください。
| 言葉 | 役割 | 中に含まれるもの | 例 |
|---|---|---|---|
| セグメントグループ | アプリケーションセグメントのグループ化 | アプリケーションセグメント | 関西拠点アプリ群のセグメント |
| アプリケーションセグメント | Zscalerで管理したいアクセス制御の対象単位 | アプリケーション(FQDN/IP+ポート) | www.example.com 10.1.1.10:22 |
| アプリケーション | 単一のアプリケーション | FQDNまたはIPアドレス+ポート番号 | www.example.com |
(3)Application Segments
リソース管理 > アプリケーションの管理 からApplication Segment開く。
ざっくり言うと、ここでは、社内アプリケーションを定義する。
右上で「Application Segmentの追加」を押す。こうして、アプリケーションのセグメントを追加する。
STEP❶アプリケーションの定義
Application Segmentの名前を入れ
アプリケーションにIPアドレスまたはFQDN(URL)を入れる
続いて、ポート番号を入れる。
※ここで、複数のアプリケーションを登録できる。
STEP❷セグメントグループのタブ
セグメントグループは、アプリケーションセグメントをまとめたもの。セグメントグループのタブから作って、それを選択することも可能。
STEP❸サーバグループ
「サーバグループ」は、ZscalerのApp Connectorをグループ化したもの。ここで指定するのは、そのアプリケーションにアクセスする際、ZPAがどのConnector経由で通信するかを決める
サーバーとサーバーグループは、少し複雑であり、構成とコントロール の該当箇所で説明。
(4)ブラウザーアクセス
(5)セグメント
5.6 ポリシー
ZPAの根幹をなす部分で、どの接続先に誰が接続できるか、その制御をする。
(1)アクセスポリシー
ここで、アクション(許可、ブロック、条件付きアクセス)、App Connector、条件として、たとえばApplication Segmentsやセグメントグループなどを選択することができる。
(2)タイムアウトポリシー
ユーザーの再認証タイミングとアプリ接続のアイドル切断タイミングを、ユーザーやアプリごとに細かく制御するポリシー。
| タイムアウトの種類 | 概要 | 主な目的 |
|---|---|---|
| 認証タイムアウト | ユーザーが再認証を求められるまでの有効期限 | セキュリティ強化(一定期間ごとに本人確認) |
| アイドル接続タイムアウト | 通信が行われないままのセッションを切断するまでの時間 | 無駄なセッション維持の防止、セキュリティ対策 |
(3)クライアント転送ポリシー
Zscaler Client ConnectorがアプリケーショントラフィックをZPAに転送するかどうかを制御するポリシー。
[ルール アクション](つまり各ルールで指定できる動作)は、以下の 3つ 。
| アクション名 | 説明 |
|---|---|
| ZPAに転送する | 対象のアプリケーショントラフィックを ZPA に転送 |
| ZPAをバイパスする | 対象のアプリケーショントラフィックを ZPA に送らずローカルまたは他経路で通信 |
| 転送が許可されたアプリケーションのみ | 明示的に許可されたアプリケーションセグメントに対してのみ ZPA に転送 |
(4)分離ポリシーについて
Zscalerクラウド上のコンテナ化された分離ブラウザによって、クリティカルなアプリケーションへの安全なクライアントレス アクセスを提供するポリシーを定義します。
(5)セキュリティポリシー
WAFみたいなもの。アプリケーション側に攻撃があった場合にAppproctectionを入れておくとブロックする
(6)特権ポリシー
(7)リダイレクトポリシー
5.7 構成とコントロール
(5)サーバとサーバーグループ
構成とコントロール > プライベートインフラ > サーバー
またはその下にあるサーバーグループから、サーバやサーバーグループが設定できる。
構成とコントロール > プライベートインフラ >App Connector
から設定する
App Connector
サーバーグループにはApp Connectorが入っている。複数を設定できる。
・言葉を以下に整理します。
| 言葉 | 説明 | 設定場所 |
|---|---|---|
| AppConnector | Zscalerが提供する中継用のエージェント | 「構成とコントロール>プライベートインフラ>AppConnector」 |
| サーバー | ZPAでアクセス対象とする内部アプリケーション(Web、RDP、DBなど)そのもの。つまり社内の“行き先”。 | 「構成とコントロール>プライベートインフラ>サーバー」 |
| サーバーグループ | 複数のAppConnectorをまとめたグループ。アプリケーションセグメントがどのAppConnector経由でアクセスするかを指定するために使う。 | 「構成とコントロール>プライベートインフラ>サーバーグループ」 |
Q.では、「アプリケーション」と「サーバ」はどう違うのか
A.どちらも「アクセス先」ですが、目的と使い方が違います。
| 項目 | アプリケーション(Application) | サーバ(Server) |
|---|---|---|
| 定義場所 | アプリケーション管理(ApplicationSegment作成時) | プライベートインフラ>サーバー |
| 使う目的 | ユーザーのアクセス制御(ポリシー適用)対象として定義 | トラフィックの監視・レポート・グループ分けなどの管理用 |
| アクセスに必須? | ✅必須(これを定義しないとZPAがルーティングできない) | ❌任意(なくてもアクセスは可能) |
| AppConnectorとの関係 | アプリセグメントがどのAppConnector経由で通すかを、サーバーグループで紐付ける | サーバをどのAppConnectorが見えているかを把握できる(ステータス確認や構成管理) |
5.10 アカウント
Account > Settings > Languageから「日本語」などの言語設定ができる。
Q&A
Q1.エンドポイントセキュリティは含まれている?
→基本的にはない。
