アプリがAWSに移行した今、ユーザが
オンネットワークである必要はありますか?
セキュアリモートアクセスへの優れたアプローチ
Zscaler Private Access for AWSへの高速かつ安全なアクセスの実現については、Zscalerにご相談ください
ネットワーク中心のセキュリティは、AWSへの移行の障害となる
今日、60%の企業がAWS上でアプリを実行し、スケーラビリティとパフォーマンスの課題を解決しています。このトレンドによって、セキュリティ境界がインターネットにまで拡張されているにもかかわらず、ネットワーク中心のリモートアクセスVPNが今でも多くの企業で利用されています。また、ユーザがオンネットワークであることが強いられ、物理または仮想アプライアンスが必要になるため、管理が複雑化し、スケーラビリティが制限されることになります。
ネットワーク中心のアプローチに共通する落とし穴:
- ユーザをオンネットワークにすることで、AWSへのアクセスを提供する
- アプライアンス、ACL、およびファイアウォールポリシーの必要性
- エンドユーザエクスペリエンスの低下
- DDoS攻撃の機会が生じるインバウンド接続
- 真のアプリケーションセグメンテーションの機能の欠如


Zscaler Private Access for AWS
AWS向けのユーザー/アプリケーション中心のセキュリティの実現
Zscaler Private Access(ZPA)は、クラウドまたはデータセンターで実行する内部アプリケーションへのゼロトラストの安全なリモートアクセスを提供します。ZPAでは、アプリケーションがインターネットに公開されることはないので、権限のないユーザーからは見えなくなります。このサービスでは、ネットワークをユーザーまで拡張するのではなく、インサイドアウト接続によりアプリケーションをユーザーと接続することを可能にします。ユーザーがネットワーク上に配置されることはありません。ZAPは、任意のデバイスと社内アプリケーションをサポートするAWS向けのSDP(Software-Defined Perimeter)を提供します。
Zscaler Private Access for AWSのメリット
Zscalerによって実現するトランスフォーメーション。
リモートユーザエクスペリエンスの向上
ユーザーには、毎回リモートアクセスVPNクライアントログインする必要なく、高速なダイレクトクラウドのアクセス権限が付与されます。
ネットワークアクセスを必要としないセキュアリモートアクセス
ネットワークへのアクセスを必要としないポリシーベースのアクセス。ユーザによるアプリへのアクセスを可視化し、AWSで実行中の認可されていないアプリを特定できます。
ハードウェアアプライアンスの排除とコストの削減
クラウドサービスではハードウェアは必要ありません。エンタープライズは、新しいアプライアンスを購入する必要なく、複数のAWSおよびZscalerデータセンターに容易に拡張できます。
管理の複雑さの軽減
ネットワーク管理者は、Web UI内からアプリケーションに基づいてセグメント化することができます。ネットワークを基準にセグメント化する必要はありません。IPアドレスセグメンテーションやアクセス制御リストは不要です。
インターネットネットワーク経由でありながらトラフィックを保護
サービスは動的かつアプリケーションに特化したTLSベースのエンドツーエンドの暗号化を利用するため、すべてのデータの機密性が保持され、固有のPKIを利用できます。
柔軟なスケーラビリティ、短いレイテンシ
サービスではグローバルなAWSクラウドを使用して、新規ユーザーがセットアップされ、インターネットベースのネットワーキングを介して最も近いアプリの場所にルーティングされます。
AWS上のアプリへのセキュアリモートアクセスをシンプル化
AWSネイティブのセキュリティグループは開始ポイントとしては優れていますが、多くの手動操作が必要となることがあります。Zscaler Private Access(ZPA)は、ユーザ/アプリケーション中心のアプローチをネットワークセキュリティに採用しているため、AWSの特定の内部アプリケーションへのアクセスが承認されたユーザとデバイスだけに制限されます。ZPAは、IP中心の物理/仮想アプライアンスに依存するのではなく、インフラストラクチャに依存しない軽量のソフトウェアを使用して、ユーザとアプリケーションの両方をZscaler Security Cloudに接続し、仲介された接続がそこで連結されます。ZPAは、AWSネイティブのセキュリティグループとAWS DirectConnectを補完します。

1. ZPA Public Service Edge
- クラウド内でホスト
- 認証に使用
- 管理者によるカスタマイズが可能
- Client ConnectorとApp Connectorの間のセキュア接続を仲介
2. Zscaler Client Connector
- デバイスにインストールされたモバイルクライアント
- アプリへのアクセスを要求
3. App Connector
- Azure、Azure、AWSを始めとするパブリッククラウドサービスのアプリの前面に配置
- ブローカへの内側から外側へのTLS 1.2接続を提供
- アプリを外部に公開されないようにすることで、DDoS攻撃を防止
AWSに存在するシャドーITアプリケーションの検出
多くのエンタープライズチームでは、環境内に存在するアプリケーションの数を把握していません。ZAPは、データセンターまたはAWSインフラストラクチャで実行されていたにも関わらず発見されていなかった内部アプリケーションを識別します。識別した後、管理者は各アプリケーションに詳細なポリシーを設定し、環境のセキュリティと制御を維持することができます。不明なアプリケーションを権限のないユーザーから隠蔽するZAPの機能と組み合わせることにより、攻撃対象を劇的に削減することができます。

ネットワークセグメンテーションから
アプリケーションセグメンテーションへの移行
従来は、管理者がネットワークのセグメンテーションによってユーザ接続を保護していましたが、ZPAを使用することで、どのユーザがどのアプリケーションにアクセスできるかをコントロールできるようになりました。管理者は、特定のユーザ、ユーザグループ、アプリケーション、アプリケーショングループ、対応するサブドメインに対し、アプリケーションレベルで詳細なポリシーを簡単に設定できます。
