アプリがAWSに移行した今、ユーザが
オンネットワークである必要はありますか？

セキュアリモートアクセスへの優れたアプローチ

デモをリクエスト

ネットワーク中心のセキュリティは、AWSへの移行の障害となる

今日、60%の企業がAWS上でアプリを実行し、スケーラビリティとパフォーマンスの課題を解決しています。このトレンドによって、セキュリティ境界がインターネットにまで拡張されているにもかかわらず、ネットワーク中心のリモートアクセスVPNが今でも多くの企業で利用されています。また、ユーザがオンネットワークであることが強いられ、物理または仮想アプライアンスが必要になるため、管理が複雑化し、スケーラビリティが制限されることになります。

ネットワーク中心のアプローチに共通する落とし穴：

ユーザをオンネットワークにすることで、AWSへのアクセスを提供する
アプライアンス、ACL、ファイアウォールのポリシーが必要になる
エンドユーザエクスペリエンスの低下
インバウンド接続に起因するDDoS攻撃のリスク
真のアプリケーションセグメンテーションの機能の欠如

図：インターネットに送信されるリモートユーザのトラフィックが、データセンタのセキュリティスタックを経由してから、AWSクラウドへと渡され、戻されることを説明

Zscaler Private Access for AWS

AWS向けのユーザー/アプリケーション中心のセキュリティの実現

Zscaler Private Access (ZPA) for Azureは、Azureで動作する内部アプリケーションにゼロトラストのセキュアリモートアクセスを提供する、Zscalerのクラウドサービスです。ZPAでは、アプリケーションがインターネットに公開されることがないため、権限のないユーザにアプリケーションが表示されることはありません。このサービスは、ユーザにネットワーク全体へのアクセスを拡張するのではなく、アプリケーションからユーザに接続できるようにするため、ユーザがオンネットワークになることはありません。AzureにSDP（Software-Defined perimeter）境界を提供し、あらゆるデバイス、あらゆる内部アプリケーションをサポートします。

ソリューション概要を参照する

フローチャート：ZPAによって、内部アプリケーションへのアクセス方法が再定義され、AWSクラウドのあらゆるメリットが企業に提供されることを説明

ソリューションの詳細現在の課題

Zscaler Private Access for AWSのメリット

Zscalerによって実現するトランスフォーメーション。

リモートユーザエクスペリエンスの向上

クラウドへの高速ダイレクトアクセスが可能になり、リモートアクセスVPNクライアントに毎回ログインする必要はありません。

ネットワークアクセスを必要としないセキュアリモートアクセス

ネットワークへのアクセスを必要としないポリシーベースのアクセス。ユーザによるアプリへのアクセスを可視化し、AWSで実行中の認可されていないアプリを特定できます。

ハードウェアアプライアンスの排除とコストの削減

クラウドサービスにハードウェアは必要ありません。ゲートウェイを複製することなく、複数のAWSやZscalerのデータセンタに簡単に拡張できます。

管理の複雑さの軽減

ネットワーク管理者は、Web UI内からアプリケーションに基づいてセグメント化することができます。ネットワークを基準にセグメント化する必要はありません。IPアドレスセグメンテーションやアクセスコントロールリストは不要です。

インターネット経由でトラフィックを保護

サービスは動的かつアプリケーションに特化したTLSベースのエンドツーエンドの暗号化を利用するため、すべてのデータの機密性が保持され、固有のPKIを利用できます。

柔軟なスケーラビリティ、短いレイテンシ

このサービスでは、グローバルAWSネットワークを使用して、新規ユーザがセットアップされ、インターネットベースのネットワーキング経由で最も近い場所にあるアプリにルーティングされます。

デモをリクエスト

AWS上のアプリへのセキュアリモートアクセスをシンプル化

AWSネイティブのセキュリティグループは開始ポイントとしては優れていますが、多くの手動操作が必要となることがあります。Zscaler Private Access（ZPA）は、ユーザ/アプリケーション中心のアプローチをネットワークセキュリティに採用しています。AWSの特定の内部アプリケーションへのアクセスが承認されたユーザとデバイスだけに制限されます。ZPAは、IP中心の物理/仮想アプライアンスに依存するのではなく、インフラストラクチャに依存しない軽量のソフトウェアを使用して、ユーザとアプリケーションの両方をZscaler Security Cloudに接続し、仲介された接続がそこで連結されます。ZPAは、AWSネイティブのセキュリティグループとAWS DirectConnectを補完します。

フローチャート：ZPAが軽量のインフラストラクチャを使用して、AWSのユーザとアプリの両方をZscalerセキュリティクラウドに接続することを説明

1. ZPAパブリックサービスエッジ

クラウドでホスティング
認証に使用
管理者によるカスタマイズが可能
クライアントコネクタとアプリケーションコネクタの間のセキュア接続を仲介する

2. Zscaler Client Connector（旧Z App）

デバイスにインストールするモバイルクライアント
アプリへのアクセスを要求する

3. App Connector

Azure、Azure、AWSを始めとするパブリッククラウドサービスのアプリの前面に配置
ブローカへの内側から外側へのTLS 1.2接続を提供
アプリを外部に公開されないようにすることで、DDoS攻撃を防止

デモをリクエスト

AWSに存在するシャドーITアプリケーションの検出

エンタープライズ環境を管理する多くのチームが、自社環境に存在するアプリケーションの数を把握していません。ZPAによって、データセンタやパブリッククラウドインフラストラクチャで動作する、それまでに発見されることのなかった内部アプリケーションが特定されるため、特定されたアプリケーションごとに管理者がきめ細かいポリシーを設定し、環境を安全かつ制御された状態に維持できます。これを、未承認ユーザからアプリケーションを隠すZPAの機能と組み合わせることで、攻撃対象領域を大幅に少なくすることができます。

ダッシュボードキャプチャ：ZPAが、AWSインフラストラクチャで実行中の以前に発見されたことのない内部アプリを特定することを説明

ネットワークセグメンテーションから
アプリケーションセグメンテーションへの移行

従来は、管理者がネットワークのセグメンテーションによってユーザ接続を保護していましたが、ZPAを使用することで、どのユーザがどのアプリケーションにアクセスできるかをコントロールできるようになりました。管理者は、特定のユーザ、ユーザグループ、アプリケーション、アプリケーショングループ、対応するサブドメインに対し、アプリケーションレベルで詳細なポリシーを簡単に設定できます。