ネットワーク中心のセキュリティは、AWSへの移行の障害となる
Today, 60 percent of enterprises are running apps in AWS to increase scalability and speed. This move has extended the perimeter to the internet. Yet, many enterprises still rely on remote access VPNs, which are network-centric and not built to secure access to the internet. They also place users on the network and require physical or virtual appliances, which increases complexity and limits scalability.
ネットワーク中心のアプローチに共通する落とし穴:
- Places users on the network to provide access to AWS
- アプライアンス、ACL、ファイアウォールのポリシーが必要になる
- エンドユーザエクスペリエンスの低下
- インバウンド接続に起因するDDoS攻撃のリスク
- 真のアプリケーションセグメンテーションの機能の欠如
- Lacks the ability to provide true application segmentation
Zscaler Private Access for AWS
AWS向けのユーザー/アプリケーション中心のセキュリティの実現
Zscaler Private Access (ZPA) for Azureは、Azureで動作する内部アプリケーションにゼロトラストのセキュアリモートアクセスを提供する、Zscalerのクラウドサービスです。ZPAでは、アプリケーションがインターネットに公開されることがないため、権限のないユーザにアプリケーションが表示されることはありません。このサービスは、ユーザにネットワーク全体へのアクセスを拡張するのではなく、アプリケーションからユーザに接続できるようにするため、ユーザがオンネットワークになることはありません。AzureにSDP(Software-Defined perimeter)境界を提供し、あらゆるデバイス、あらゆる内部アプリケーションをサポートします。
ソリューション概要を参照する
Zscaler Private Access for AWSのメリット
Zscalerによって実現するトランスフォーメーション。
リモートユーザエクスペリエンスの向上
クラウドへの高速ダイレクトアクセスが可能になり、リモートアクセスVPNクライアントに毎回ログインする必要はありません。
Secure remote access without network access
Policy-based access, with no access to network. Visibility into apps being accessed by users and ability to discover unsanctioned apps running within AWS.
ハードウェアアプライアンスの排除とコストの削減
クラウドサービスにハードウェアは必要ありません。ゲートウェイを複製することなく、複数のAWSやZscalerのデータセンタに簡単に拡張できます。
管理の複雑さの軽減
ネットワーク管理者は、Web UI内からアプリケーションに基づいてセグメント化することができます。ネットワークを基準にセグメント化する必要はありません。IPアドレスセグメンテーションやアクセスコントロールリストは不要です。
インターネット経由でトラフィックを保護
Service uses dynamic, application-specific, TLS-based end-to-end encryption. All data remains private and enterprises can bring their own PKI.
柔軟なスケーラビリティ、短いレイテンシ
このサービスでは、グローバルAWSネットワークを使用して、新規ユーザがセットアップされ、インターネットベースのネットワーキング経由で最も近い場所にあるアプリにルーティングされます。
AWS上のアプリへのセキュアリモートアクセスをシンプル化
AWSネイティブのセキュリティグループは開始ポイントとしては優れていますが、多くの手動操作が必要となることがあります。Zscaler Private Access(ZPA)は、ユーザ/アプリケーション中心のアプローチをネットワークセキュリティに採用しています。AWSの特定の内部アプリケーションへのアクセスが承認されたユーザとデバイスだけに制限されます。ZPAは、IP中心の物理/仮想アプライアンスに依存するのではなく、インフラストラクチャに依存しない軽量のソフトウェアを使用して、ユーザとアプリケーションの両方をZscaler Security Cloudに接続し、仲介された接続がそこで連結されます。ZPAは、AWSネイティブのセキュリティグループとAWS DirectConnectを補完します。
1. ZPAパブリックサービスエッジ
- クラウドでホスティング
- 認証に使用
- 管理者によるカスタマイズが可能
- Brokers a secure connection between a Client Connector and App Connector
2. Zscaler Client Connector (formerly Z App)
- デバイスにインストールするモバイルクライアント
- アプリへのアクセスを要求する
3. App Connector
- Azure、Azure、AWSを始めとするパブリッククラウドサービスのアプリの前面に配置
- ブローカへの内側から外側へのTLS 1.2接続を提供
- アプリを外部に公開されないようにすることで、DDoS攻撃を防止
AWSに存在するシャドーITアプリケーションの検出
エンタープライズ環境を管理する多くのチームが、自社環境に存在するアプリケーションの数を把握していません。ZPAによって、データセンタやパブリッククラウドインフラストラクチャで動作する、それまでに発見されることのなかった内部アプリケーションが特定されるため、特定されたアプリケーションごとに管理者がきめ細かいポリシーを設定し、環境を安全かつ制御された状態に維持できます。これを、未承認ユーザからアプリケーションを隠すZPAの機能と組み合わせることで、攻撃対象を大幅に少なくすることができます。
ネットワークセグメンテーションから
アプリケーションセグメンテーションへの移行
従来は、管理者がネットワークのセグメンテーションによってユーザ接続を保護していましたが、ZPAを使用することで、どのユーザがどのアプリケーションにアクセスできるかをコントロールできるようになりました。管理者は、特定のユーザ、ユーザグループ、アプリケーション、アプリケーショングループ、対応するサブドメインに対し、アプリケーションレベルで詳細なポリシーを簡単に設定できます。
1. Create and define policy names.
2. Set different permission levels for users and user groups.
3. Define the applications each policy is associated with.
4. Easily add new rules and policies for users and applications within the UI.
お勧めのリソース
導入事例
See how MAN Energy Solutions uses ZPA to provide zero trust access to internal apps at global scale
ケーススタディを読む
