製品 > ZPA for AWS

アプリをAWSに移行した後、
ユーザをネットワークから切り離すことの重要性

リモートアクセスを保護する優れたアプローチ

Zscaler Private Access for AWSへの高速かつ安全なアクセスについては、Zscalerにお問い合わせください

ゼットスケーラーのニュース、イベント、ウェブキャスト、スペシャルオファーといった最新情報の送付を希望します。

送信ボタンをクリックすると、ゼットスケーラーの プライバシーポリシーに同意したものとみなされます。

ネットワーク中心のセキュリティはAWSへの移行の障害に

今日、60%の企業がAWS上でアプリを実行し、スケーラビリティと敏捷性を高めています。このトレンドによって、境界がインターネットにまで拡張されています。しかし多くの企業は依然として、ネットワーク中心で、インターネットへのアクセスの保護を念頭に構築されていないリモートアクセスVPNに依存しています。リモートVPNではユーザがネットワーク上に置かれ、物理または仮想アプライアンスが必要になるため、複雑性が増し、スケーラビリティが制限されてしまいます。

ネットワーク中心のアプローチで一般的な落とし穴は以下のとおりです。
  • AWSへのアクセスを提供するために、ユーザをネットワークに置くこと。
  • アプライアンス、ACL、およびファイアウォールポリシーを必要とすること。
  • エンドユーザエクスペリエンスが低いこと。
  • インバウンド接続でDDoS攻撃の機会が生まれること。
  • 真のアプリケーションのセグメント化機能が欠如していること。
インターネットに送信されるリモートユーザのトラフィックが、データセンタのセキュリティスタックを経由してから、AWSクラウドへと向かい、戻されることを示す図
ZPAによって、内部アプリケーションへのアクセス方法が再定義され、AWSクラウドのあらゆるメリットが企業に提供されることを説明するフローチャート

Zscaler Private Access for AWS

AWSに向けたユーザおよびアプリケーション中心のセキュリティを実現

Zscaler Private Access (ZPA) for AWSは、AWSで動作する内部アプリケーションへのゼロトラストの安全なリモートアクセスを提供する、Zscalerのクラウドサービスです。ZPAでは、アプリケーションがインターネットに露出されないため、権限のないユーザからは見えなくなります。このサービスでは、ネットワークをユーザまで拡張するのではなく、内側から外側への接続によりアプリケーションがユーザと接続することを可能にします。ユーザがネットワーク上に配置されることは一切ありません。ZAPは、いかなるデバイスや内部アプリケーションもサポートするAWS向けのソフトウェア定義の境界(SDP)を提供します。

Zscaler Private Access for AWSの利点

Zscalerによるトランスフォーメーションの特長を紹介します。

チェックマークのついたクラウド

リモートユーザのエクスペリエンスの向上

ユーザには、毎回リモートアクセスVPNクライアントにログインする必要なく、クラウドへの直接接続を実現する高速なアクセスが付与されます。

チェックマークのついたクラウド

ネットワークアクセスを必要としない安全なリモートアクセス

ネットワークへのアクセスを必要としないポリシーベースのアクセスを行えます。ユーザによるアプリへのアクセスを可視化し、AWSで動作している未認可のアプリを特定できます。

チェックマークのついたクラウド

ハードウェアアプライアンスの排除とコストの削減

クラウドサービスではハードウェアは不要です。企業はゲートウェイを複製することなく、複数のAWSおよびZscalerのデータセンタで容易に拡張できます。

チェックマークのついたクラウド

管理の複雑さの軽減

ネットワーク管理者は、Web UI内からアプリケーションに基づいてセグメント化することができます。ネットワークごとにセグメント化する必要はなく、IPアドレスのセグメント化やアクセス制御リストも不要です。

チェックマークのついたクラウド

インターネットネットワークを経由しつつトラフィックを保護

本サービスは、動的かつアプリケーションごとのTLSベースのエンドツーエンドの暗号化を利用します。これにより、すべてのデータの機密性が保持され、固有のPKIを利用できます。

チェックマークのついたクラウド

柔軟なスケーラビリティと短いレイテンシ

本サービスではグローバルなAWSのネットワークを使用し、新規ユーザを強化し、インターネットベースのネットワークを通じて最も近いアプリのロケーションにルーティングします。

AWS上のアプリへのセキュアリモートアクセスを簡素化

AWSネイティブのセキュリティグループは手始めとしては良いですが、多くの手動の操作が必要となる場合があります。Zscaler Private Access(ZPA)は、ユーザおよびアプリケーション中心のアプローチをネットワークセキュリティに採用しているため、AWSの特定の内部アプリケーションへのアクセスは承認されたユーザとデバイスだけに制限されます。ZPAは、IP中心の物理/仮想アプライアンスに依存するのではなく、インフラストラクチャに依存しない軽量のソフトウェアを使用して、ユーザとアプリケーションの両方をZscalerのセキュリティクラウドに接続し、仲介された接続をそこで連結します。ZPAは、AWSネイティブのセキュリティグループとAWS DirectConnectを補完する機能を有しています。

ZPAが軽量のインフラストラクチャを使用して、AWSのユーザとアプリの両方をZscalerのセキュリティクラウドに接続することを説明するフローチャート

1.  ZPA Public Service Edge

  • クラウド内でホスト
  • 認証に使用
  • 管理者によるカスタマイズが可能
  • Client ConnectorとApp Connectorの間の安全な接続を仲介

2.  Zscaler Client Connector

  • モバイルクライアントをデバイスにインストール
  • アプリへのアクセスを要求

3.  App Connector

  • データセンタやAzure、Azure、AWSを始めとするパブリッククラウドサービスのアプリの前面に配置
  • ブローカへの内側から外側へのTLS 1.2接続を提供
  • アプリを不可視化することで、DDoS攻撃を防止

AWSに存在するシャドーITのアプリケーションを検出

多くの企業は、自社環境内に存在するアプリケーションの数を把握していません。ZAPは、データセンタまたはAWSインフラストラクチャで実行されているものの、過去に検出されていなかった内部アプリケーションを特定します。その特定後、管理者は各アプリケーションにきめ細かなポリシーを設定し、環境のセキュリティと制御を維持することができます。既知のアプリケーションを権限のないユーザに対して不可視化するZAPの機能とこれを組み合わせることにより、攻撃対象領域を劇的に削減することができます。

AWSインフラストラクチャで実行されている、過去に検出されたことのない内部アプリをZPAが特定することを説明する、ダッシュボードのキャプチャ

ネットワークのセグメント化から
アプリケーションのセグメント化への移行

これまでは、管理者がネットワークをセグメント化することでユーザの接続を保護していましたが、ZPAを使用することで、どのユーザがどのアプリケーションにアクセスできるかを制御できるようになりました。管理者は、特定のユーザやユーザグループ、アプリケーション、アプリケーショングループ、対応するサブドメインに対し、アプリケーションレベルできめ細やかなポリシーを簡単に設定できます。

企業がZPAを使用して、特定のユーザやユーザグループに対してアプリケーションレベルできめ細やかなポリシーを設定することを説明するダッシュボードのキャプチャ
1. ポリシーを作成して名前を定義できます
2. ユーザとユーザグループごとに異なる権限レベルを設定できます
3. 各ポリシーが関連付けられるアプリケーションを定義できます
4. UIを利用して、ユーザやアプリケーションに新しいルールやポリシーを簡単に追加できます

おすすめのリソース

ホワイトペーパー

AWSへのシンプルかつ安全な移行をZscalerで実現するには

ブログ

ZPAでAWS VPCに安全にアクセスする方法

導入事例

ZscalerとAWSで北米の食糧生産を保護したGROWMARKの事例

動画

AWSとZscalerによるAWSクラウドへの高速で安全なアクセス

導入事例

Zscaler Workload Postureを駆使してクラウドファーストモデルに移行したJefferson Healthの事例

動画

Amazon WorkSpacesとZscalerによる、あらゆる接続先への安全なアクセス