Zscaler ( ゼットスケーラー ) Web セキュリティサービス ~ トラフィック転送とユーザ管理について ~ 2018 年 8 月ノックス株式会社 ノックス株式会社 Copyright (C) 2017 NOX Co., Ltd. All Rights Reserved.

Copyright (C) 2017 NOX Co., Ltd. All Rights Reserved. ノックス株式会社 ノックス株式会社

Zscaler

（ゼットスケーラー）

Web

セキュリティサービス

～トラフィック転送とユーザ管理について～

2018年8月 ノックス株式会社

本資料はZscalerサービスをご利用いただく際のトラフィック転送 とユーザ管理に関するガイドラインについてまとめたものであり、 弊社からZscalerサブスクリプションを販売したお客様によるご利 用のみを目的としています。 各転送方式の詳細設定方法などご不明な点は弊社サポート窓 口（[email protected]）までお問い合わせください。 なお、資料作成時点での情報を前提としてまとめたもののため、 Zscalerサービスの仕様変更により内容が変更される可能性が あります。

はじめに

Copyright (C) 2017 NOX Co., Ltd. All Rights Reserved. ノックス株式会社 • クラウド上で動作するセキュリティWebプロキシです。 • あらゆる場所、端末からの通信のセキュリティを強化します。 • トラフィックをZscalerに転送いただくことでご利用いただく サービスです。

Zscaler

サービス概要

2 リアルタイムの可視化 (脅威、アプリケーション、ユーザー) ポリシー一元管理 Mobile Employee HQ Remote Offices トラフィック転送 持ち出し端末

PAC / Mobile Agent

拠点 GRE/IPSEC Exploits APT Malware パブリッククラウド プライベートアプリ Botnets パブリッククラウド プライベートアプリ パブリッククラウド プライベートアプリ

クラウドデータセンタ（ノード）

Los Angeles Mexico City Dallas Schaumburg Denver Toronto New York Washington DC Atlanta Miami Paris Sao Paulo Johannesburg London Amsterdam Oslo Milan Frankfurt (West) Gdansk Stockholm Moscow Mumbai Chennai Singapore Sydney Hong Kong Tokyo Madrid Taipei Dubai Riyadh

Cairo Kuwait City

Cape Town San Francisco Sunnyvale Santiago Lima Tel Aviv Marietta Herndon Ft. Worth Chicago Zurich Melbourne Manila Tianjin Lagos <最新ノードリスト> • Zscaler.net https://ips.zscaler.net/cenr • Zscalertwo.net https://ips.zscalertwo.net/cenr • Zscloud.net https://ips.zscloud.net/cenr Shanghai

Copyright (C) 2017 NOX Co., Ltd. All Rights Reserved. ノックス株式会社 • 世界中に展開されたどのノードを利用しても一元的なサービ ス利用が可能です。 • トラフィック転送方法はご利用の全拠点、端末で共通の方法 である必要はなく、各拠点、端末ごとに最適な方法を選択い ただくことが可能です。 • 自動的に近いノードを選択する方法が用意されています。 • ノードや回線の障害、メンテナンスなどに対する可用性向上 のためプロキシ先を冗長してご利用ください。

Zscaler

へのトラフィック転送

4

Zscaler

へのトラフィックの転送方法

明示プロキシ型 • PACファイル • Zscaler App（ユーザエージェント） Zscalerノード宛にトラフィックを転送 • 複数のユーザトラフィックの転送方法をサポートします。 例）Zscaler App 透過プロキシ型 • IPsec/GRE • SD-WAN # IPsecは最大200Mbps ルーティングでトラフィックを転送 例）IPsec/GRE 社内NW

Copyright (C) 2017 NOX Co., Ltd. All Rights Reserved.

ノックス株式会社

各転送方式の特徴

6

透過プロキシ型 明示プロキシ型

GRE IPSec VPN PACファイル Z-App

利点 •Primary ZENが利用不可の場合 Secondaryにフェールオーバー可能 •Primary ZENが利用不可の場合 Secondaryにフェールオーバー可能 •Primary ZENが利用不可の場合 Secondaryにフェールオーバー可能 •複数の端末OSをサポート •オーバーヘッドが最小 •端末側の設定不要 •主要なブラウザでサポート •Zscalerがサポートする全ての認証 方式で認証可能 •端末側の設定不要 •社内ネットワークからの通信を強制的 に転送可能 •社内ネットワーク、社外ネットワークど ちらでも利用可能 •容易な制御が可能 •社内ネットワークからの通信を強制 的に転送可能 •ローカルIPに対するポリシー適用、ロ ギングが可能 •Internet ExplorerのPAC設定はADの GPOによる強制が可能 •アップデートはメーカのリモート管理 により自動的な実施が可能 •ローカルIPに対するポリシー適用、 ロギングが可能 •動的IPで利用可能 •ZscalerにPACファイルをホストするこ とで、変数により自動ノード選択が可能 •「Trusted Network」検出機能により プロキシ動作の無効化が容易に可 能 注意点 •社外ネットワークからの通信用に PACファイルを併用することを推奨 •社外ネットワークからの通信用にPAC ファイルを併用することを推奨 •利用者がPACファイルをサポートしな いブラウザを利用しないように権限管理 する必要がある。 •クライアントを必要なデバイスにイン ストールする必要がある •ルータがGREに対応し、グローバル IPが固定IPの必要がある •VPN機器がVPNフェールオーバーを サポートしている必要がある •ネットワーク管理者がPACファイルを書 き換える権限を持つ必要がある •ユーザ認証方法とユーザプロビジョ ニングをZscalerサービス側で設定す る必要がある •暗号化されたVPNトンネル利用にはオ プションのサブスクリプションが必要 •スループットの上限がトンネルごと 200Mbps

• PACファイル、GRE/IPsec利用により転送先のZscalerノード に対する冗長設定が可能です。

• EUSA（End User Subscription Agreement）にトラフィック転

送は自動フェールオーバーの構成（PAC、IPsec、GRE、

Zscaler App）のいずれかで実現する必要があることが記載

されています。

冗長構成

in order for Zscaler to provide the SaaS, Customer is responsible for

forwarding its web traffic to Zscaler via valid forwarding mechanisms that allow for automatic fail over (i.e. PAC, IPSEC, GRE tunnels, and/or Zscaler App)

Copyright (C) 2017 NOX Co., Ltd. All Rights Reserved. ノックス株式会社 • Zscaler上にホストPACファイルダウンロード時にクライアント からの送信元IPからGeoIPによりクライアントのアクセス元 の場所から近いノードをZscalerが自動判別します。

冗長構成（

_PAC

ファイルの利用）

8 PAC ・ ・ ・

return "PROXY ${GATEWAY}:9400;

PROXY ${SECONDARY_GATEWAY}:9400 PAC PAC Primary： 東京ノード Secondary： 香港ノード Zscaler PACサーバ ・ ・ ・ return "PROXY x.x.x.x:9400; PROXY y.y.y.y:9400 x.x.x.x（東京ノード） y.y.y.y（香港ノード） <PACファイル設定> <ダウンロードされたPACファイル>

• GRE/IPsec利用時はPrimary/Secondaryの2か所の Zscalerノードに対してトンネルを構築します。 • トンネル状態の監視により、障害検知時は自動的にPrimary からSecondaryに切り替わります。

冗長構成（

_GRE/IPsec

の利用）

Primary： 東京ノード Secondary： 香港ノード トンネル状態の監視例 GRE： IP SLA IPsec： VPN monitor

Copyright (C) 2017 NOX Co., Ltd. All Rights Reserved. ノックス株式会社 • クライアントにPACファイルを配布し、プロキシ除外通信を管理。 • 拠点ルータから東京ノード、香港ノードとGRE接続。 • Zscaler宛の通信をGREトンネル側にルーティング。

推奨構成（社内～

_GRE

＋

_PAC

ファイル）

10 Primary： 東京ノード Secondary： 香港ノード プロキシ通信を GREトンネル側 にルーティング PACファイルにてプ ロキシ通信、プロキ シ除外通信を制御 Zscalerノードは透過プロキシとして動作可 能なので、クライアントから東京ノード宛の 通信が香港ノードに転送されても処理可能

• クライアントにZscaler Appをインストール。

• プロキシ除外通信はZscaler AppのカスタムPAC読み込みで 管理。 • PACファイルを利用した冗長構成（P8に記載）と同様の仕組み を利用してPrimaryノードで障害発生時はSecondaryノードを 自動的に利用。

推奨構成（社外～

_{Zscaler App}

）

Primary： 東京ノード Secondary： 香港ノード

Copyright (C) 2017 NOX Co., Ltd. All Rights Reserved. ノックス株式会社

ZIA

：ユーザプロビジョニングとユーザ認証

12 • Zscalerではユーザ/グループ単位のルールを適用するため、 ユーザごとのアクセスログを記録するためにZscalerクラウド 上に利用ユーザ用のアカウント情報の展開が必要 • 利用時にユーザID/パスワードを基本とする認証が必要 • プロビジョニングと認証それぞれどのように実現するか検討 が必要 プロビジョニング ユーザ認証

ZIA

：ユーザ情報の管理

プロビジョニング ユーザ認証 • 手動管理 • CSVアップロード • AD/LDAP • Authentication Bridge • SCIM • SAML（要ユーザID、部署、グループ） Zscaler上にユーザ情報を展開 • ローカルDB（Zscaler上） • One-Time Password/Link • AD/LDAP • SAML クライアント端末の認証 • 複数のユーザDB管理、ユーザ認証方法をサポート ADと連携してダイナミックにユーザ管理、ユーザ認証が可能 AzureADを活用したSSO実績増加中！ ＊連携可能なディレクトリサーバは1つのみ