製品 > ZPA for Azure

Azureに移行したアプリへの
アクセスをどのように保護していますか?

セキュアなリモートアクセスへの優れたアプローチ

ネットワーク中心のセキュリティは、Azureへの移行の障壁となる

40%の企業がAzureでアプリを実行することで、スケーラビリティと速度のニーズを解決しています。このトレンドによって、セキュリティ境界がインターネットにまで拡張されているにもかかわらず、ネットワーク中心のリモートアクセスVPNが今でも多くの企業で利用されています。また、ユーザがオンネットワークであることが強いられ、物理または仮想アプライアンスが必要になるため、複雑化し、スケーラビリティが制限されることになります。

 
ネットワーク中心アプローチに共通する落とし穴:
  • Azureへのアクセスを提供するために企業ネットワーク上に配置されるユーザー
  • アプライアンス、ACL、およびファイアウォールポリシーの必要性
  • エンドユーザエクスペリエンスの低下
  • DDoS攻撃の機会を与えてしまう
  • 真のアプリケーションセグメンテーションの機能の欠如
  • アプリケーション関連アクティビティの可視性の欠如
図:リモートユーザからインターネットへのトラフィックが遅くなるのは、クラウドからオープンインターネットに向かう前にデータセンタのセキュリティスタックにルーティングされ、帰りも同じ経路を逆戻りするためです。
Zscaler Private Access for AzureによるDirect-to-Cloudアクセス

Zscaler Private Access for Azure

Azureにおける、ユーザ中心、アプリケーション中心のセキュリティの実現

Zscaler Private Access (ZPA) for Azureは、Azureで動作する内部アプリケーションにゼロトラストのセキュアリモートアクセスを提供する、Zscalerのクラウドサービスです。ZPAでは、アプリケーションがインターネットに公開されることがないため、権限のないユーザにアプリケーションが表示されることはありません。このサービスは、ユーザにネットワーク全体へのアクセスを拡張するのではなく、アプリケーションからユーザに接続できるようにするため、ユーザがオンネットワークになることはありません。AzureにSD(Software-Defined)境界を提供し、あらゆるデバイス、あらゆる内部アプリケーションをサポートします。

Zscaler Private Access for Azureのメリット

Zscalerによって実現するトランスフォーメーション。

リモートユーザエクスペリエンスの向上

ユーザーには、毎回リモートアクセスVPNクライアントログインする必要なく、高速なダイレクトクラウドのアクセス権限が付与されます。

管理の複雑さの軽減

ネットワーク管理者は、Web UI内からアプリケーションに基づいてセグメント化することができます。ネットワークをセグメント化する必要はありません。IPアドレスセグメンテーションやアクセスコントロールリストは不要です。

ネットワークアクセスを必要としないセキュアリモートアクセス

ネットワークへのアクセスを必要としないポリシーベースのアクセスを付与します。ユーザによるアプリへのアクセスを可視化し、Azureで実行中の認可されていないアプリを特定できます。

インターネットネットワーク経由でありながらトラフィックを保護

サービスは動的かつアプリケーションに特化したTLSベースのエンドツーエンドの暗号化を利用するため、すべてのデータの機密性が保持され、固有のPKIを利用できます。

ハードウェアアプライアンスの排除とコストの削減

クラウドサービスではハードウェアは必要ありません。エンタープライズは、新しいアプライアンスを購入する必要なく、複数のAzureおよびZscaleデータセンターに容易に拡張できます。

柔軟なスケーラビリティ、短いレイテンシ

サービスではグローバルなAzureクラウドを使用して、新規ユーザーがセットアップされ、インターネットベースのネットワーキングを介して最も近いアプリの場所にルーティングされます。

Azure上の社内アプリケーションへのセキュアリモートアクセスを簡素化

Zscaler Private Access (ZPA)は、ユーザ/アプリケーション中心のアプローチをネットワークセキュリティに採用しています。承認されたユーザとデバイスだけがAzureの特定の内部アプリケーションにアクセスできるようになります。ZPAでは、物理/仮想アプライアンスの代わりにインフラストラクチャに依存しない軽量のソフトウェアを使用し、ユーザとアプリケーションをZscalerのセキュリティクラウドに接続し、仲介された接続がそこで連結されます。ZPAは、Azure ExpressRouteを補完する役割を果たします。

a diagram showing zpa uses lightweight infrastructure to connect users and apps on azure to the zscaler security cloud
1. ZPA Public Service Edge
  • クラウド内でホスト
  • 認証に使用
  • 管理者によるカスタマイズが可能
  • Client ConnectorとApp Connectorの間のセキュア接続を仲介
2. Zscaler Client Connector(旧Zscaler App/Z App)
  • デバイスにインストールされたモバイルクライアント
  • アプリへのアクセスを要求
3. App Connector
  • Azure、Azure、AWSを始めとするパブリッククラウドサービスのアプリの前面に配置
  • ブローカへの内側から外側へのTLS 1.2接続を提供
  • アプリを外部に公開されないようにすることで、DDoS攻撃を防止

Azureネットワークのパワーを活用する

Zscaler Private Access for AzureとZPAパブリックサービスエッジの連携によって、ユーザとAzureクラウドで動作する内部アプリケーションの間のアクセスが仲介されるため、Azureネットワークと多数のデータセンタをネットワーキング管理者が利用でき、結果として、最小のホップ数での処理が可能になってレイテンシが短くなり、ユーザの生産性が向上します。

a diagram showing ZPA solution delivers a direct-to-cloud experience for all users, taking them quickly and seamlessly to the app that runs within Azure
capture from zpa for azure showing how zpa helps enterprises to manage access to internal apps and also reduces latency

ネットワークセグメンテーションから
アプリケーションセグメンテーションへの移行

以前は、管理者はネットワークをセグメント化してユーザー接続を保護していました。今日、エンタープライズはZAPを使用して対象アプリケーションおよびアプリケーションにアクセスするユーザーを制御しています。管理者は、特定のユーザー、ユーザーグループ、アプリケーション、アプリケーショングループ、および関連付けられたサブドメインに対してアプリケーションレベルで詳細なポリシーを容易に設定できます。

図:管理者は、特定のユーザ、ユーザグループ、アプリケーション、アプリケーショングループ、対応するサブドメインに対し、アプリケーションレベルで詳細なポリシーを簡単に設定できます。
1. ポリシーを作成して名前を定義します。
2. ユーザとユーザグループごとに異なる権限レベルを設定します。
3. 各ポリシーが関連付けられているアプリケーションを定義します。
4. UIを利用して、ユーザやアプリケーションに新しいルールやポリシーを簡単に追加できます

統合を活用したAzureへの迅速な移行

Zscalerは、Azureエコシステム向けの統合を推進しており、たとえば、Azure ADとの統合によって、管理者はZPAを使用し、既存の構成に基づいてユーザグループのアクセスポリシーを設定できます。また、Azure Marketplaceには、App Connectorが公開されています。App Connectorは、Azureフロントエンドとして、Zscalerのセキュリティクラウドへのインサイドアウト接続が可能になり、承認されたユーザとアプリケーションの間の接続が仲介されます。

capture showing azure marketplace enables admins to use ZPA to set access policies for user groups based on their existing configurations
capture showing the z-connectors, which sit in front of apps, also run within Azure, providing inside-out connections to the zens

おすすめのリソース

導入事例

MAN Diesel & Turbo SEがグローバルスケールで内部アプリへのゼロトラストアクセスを提供した方法を紹介します(英語)

Webinar

ZPA for Azureウェビナーの録画映像を見る (英語)

導入事例

MicrosoftとZscalerのパートナーシップによる成功事例(英語)

Zscaler Private Access for Azureへの高速かつ安全なアクセスの実現については、Zscalerにご相談ください