ネットワーク中心のセキュリティは、Azureへの移行の障害となります。
今日、40%のエンタープライズはAzureでアプリを実行してスケーラビリティとスピードを実現しています。このトレンドによって、企業のセキュリティ境界がインターネットに拡張されていますが、ネットワーク中心のリモートアクセスVPNが今でも多くのエンタープライズで使用されています。問題は、リモートアクセスVPNがインターネットへのアクセスを保護することを目的に構築されていないことに加えて、ユーザーがネットワーク上に配置され、物理または仮想アプライアンスも必要になるので複雑性が増してスケーラビリティが制限されることです。
ネットワーク中心のアプローチに共通する落とし穴:
- Azureへのアクセスを提供するために企業ネットワーク上に配置されるユーザー
- アプライアンス、ACL、およびファイアウォールポリシーの必要性
- エンドユーザーエクスペリエンスの低下
- DDoS攻撃の機会が生じるインバウンド接続
- アプリケーションセグメンテーションを提供する機能の欠如
- アプリケーション関連アクティビティの可視性の欠如
ZAP(Zscaler Private Access)for Azure
ユーザー中心およびアプリケーション中心のセキュリティの実現
Zscaler Private Access(ZPA)は、クラウドまたはデータセンターで実行する内部アプリケーションへのゼロトラストの安全なリモートアクセスを提供します。ZPAでは、アプリケーションがインターネットに公開されることはないので、権限のないユーザーからは見えなくなります。このサービスでは、ネットワークをユーザーまで拡張するのではなく、インサイドアウト接続によりアプリケーションをユーザーと接続することを可能にします。ユーザーがネットワーク上に配置されることはありません。ZAPは、任意のデバイスと社内アプリケーションをサポートするAzure向けのSDP(Software-Defined Perimeter)を提供します。
ソリューションブリーフを読む
AzureのメリットについてZscalerプライベートアクセス
リモートユーザーエクスペリエンスの向上
ユーザーには、毎回リモートアクセスVPNクライアントログインする必要なく、高速なダイレクトクラウドのアクセス権限が付与されます。
管理の複雑性の削減
ネットワーク管理者は、Web UI内からアプリケーションに基づいてセグメント化することができます。ネットワークを基準にセグメント化する必要はありません。IPアドレスセグメンテーションやアクセス制御リストは不要です。
ネットワークアクセスを必要としないセキュアなリモートアクセス
ネットワークへのアクセスを必要としないポリシーベースのアクセス。ユーザーがアクセスするアプリを可視化し、Azure内で危険な状態で実行しているアプリを探索できます。
インターネットネットワークを介したトラフィックのプライベート化
サービスは動的でアプリケーション固有のTLSベースのエンドツーアンド暗号化を使用します。すべてのデータはプライベートな状態を維持するので、エンタプライズは独自のPKIを使用できます。
ハードウェアアプライアンスの排除とコストの削減
クラウドサービスではハードウェアは必要ありません。エンタープライズは、新しいアプライアンスを購入する必要なく、複数のAzureおよびZscaleデータセンターに容易に拡張できます。
弾性を備えたスケーラビリティと待機時間の削減
サービスではグローバルなAzureクラウドを使用して、新規ユーザーがセットアップされ、インターネットベースのネットワーキングを介して最も近いアプリの場所にルーティングされます。
Azureの上の社内アプリケーションへのセキュアなリモートアクセスを簡素 化
Zscaler Private Access(ZAP)は、ネットワークセキュリティにユーザー中心およびアプリケーション中心のアプローチを採用しているので、承認されたユーザーおよびデバイスだけがAzure内の特定の内部アプリケーションにアクセスできます。物理または仮想アプライアンスに依存する代わりに、ZAPは軽量のインフラストラクチャソフトウェアを使用して、ブローカーされた接続が統合されたZscaler Security Cloudにユーザーとアプリケーションの両方を接続します。ZAPはAzure ExpressRouteを補完するソリューションです。
1. Zscaler Enforcement Node
- クラウド内でホスト
- 認証に使用
- 管理者によるカスタマイズが可能
- Z-AppとZ-Connector間の安全な接続を仲介
2. Zscaler App
- デバイスにインストールされたモバイルクライアント
- デバイスにインストールされたモバイルクライアント
3. App Connector
- Azure、AWS、およびその他のパブリッククラウドサービス内のアプリの前に配置
- アプリへのアクセス要求をリスン
- インバウンド接続なし
Azureのネットワークのパワーを活用
Zscaler Enforcementノード(ZEN)は、Zscaler Private Access for Azureと連動して、ユーザーとAzureクラウド内で実行する内部アプリケーションの間のアクセスを仲介するので、ネットワーキング管理者は、Azureネットワークおよび多くのAzureデータセンターを活用できます。その結果、ホップ数が最小化されて待機時間が削減され、ユーザーの生産性が向上します。
ネットワークセグメンテーションからアプリケーションセグメンテーションへの移行
以前は、管理者はネットワークをセグメント化してユーザー接続を保護していました。今日、エンタープライズはZAPを使用して対象アプリケーションおよびアプリケーションにアクセスするユーザーを制御しています。管理者は、特定のユーザー、ユーザーグループ、アプリケーション、アプリケーショングループ、および関連付けられたサブドメインに対してアプリケーションレベルで詳細なポリシーを容易に設定できます。
1. ポリシーを作成して名前を定義します
2. ユーザーとユーザーグループごとに異なる権限レベルを設定します
3. 各ポリシーが関連付けられているアプリケーションを定義します
4. UI内からユーザーとアプリケーションに新しいルールおよびポリシーを容易に追加します
統合によるAzureへの移行の加速
ZscalerはAzureエコシステム向けの統合を行っています。Azure ADとの統合により、管理者はZPAを使用して既存の構成に基づいてユーザーグループのアクセスポリシーを設定できます。さらに、Azure Marketplaceで提供されているZ-Connector(Azure上のコネクターフロントエンドアプリ)を使用して、承認済みユーザーとアプリケーションの間の接続を仲介することができます。
推奨リソース
