Azureに移行したアプリへの
アクセスをどのように保護していますか?
セキュアなリモートアクセスへの優れたアプローチ
ネットワーク中心のセキュリティは、Azureへの移行の障壁となる
40%の企業がAzureでアプリを実行することで、スケーラビリティと速度のニーズを解決しています。このトレンドによって、セキュリティ境界がインターネットにまで拡張されているにもかかわらず、ネットワーク中心のリモートアクセスVPNが今でも多くの企業で利用されています。また、ユーザがオンネットワークであることが強いられ、物理または仮想アプライアンスが必要になるため、複雑化し、スケーラビリティが制限されることになります。
ネットワーク中心アプローチに共通する落とし穴:
- Azureへのアクセスを提供するために企業ネットワーク上に配置されるユーザー
- アプライアンス、ACL、およびファイアウォールポリシーの必要性
- エンドユーザエクスペリエンスの低下
- DDoS攻撃の機会を与えてしまう
- 真のアプリケーションセグメンテーションの機能の欠如
- アプリケーション関連アクティビティの可視性の欠如
Zscaler Private Access for Azure
Azureにおける、ユーザ中心、アプリケーション中心のセキュリティの実現
Zscaler Private Access (ZPA) for Azureは、Azureで動作する内部アプリケーションにゼロトラストのセキュアリモートアクセスを提供する、Zscalerのクラウドサービスです。ZPAでは、アプリケーションがインターネットに公開されることがないため、権限のないユーザにアプリケーションが表示されることはありません。このサービスは、ユーザにネットワーク全体へのアクセスを拡張するのではなく、アプリケーションからユーザに接続できるようにするため、ユーザがオンネットワークになることはありません。AzureにSD(Software-Defined)境界を提供し、あらゆるデバイス、あらゆる内部アプリケーションをサポートします。
Zscaler Private Access for Azureのメリット
Zscalerによって実現するトランスフォーメーション。
リモートユーザエクスペリエンスの向上
ユーザーには、毎回リモートアクセスVPNクライアントログインする必要なく、高速なダイレクトクラウドのアクセス権限が付与されます。
管理の複雑さの軽減
ネットワーク管理者は、Web UI内からアプリケーションに基づいてセグメント化することができます。ネットワークをセグメント化する必要はありません。IPアドレスセグメンテーションやアクセスコントロールリストは不要です。
ネットワークアクセスを必要としないセキュアリモートアクセス
ネットワークへのアクセスを必要としないポリシーベースのアクセスを付与します。ユーザによるアプリへのアクセスを可視化し、Azureで実行中の認可されていないアプリを特定できます。
インターネットネットワーク経由でありながらトラフィックを保護
サービスは動的かつアプリケーションに特化したTLSベースのエンドツーエンドの暗号化を利用するため、すべてのデータの機密性が保持され、固有のPKIを利用できます。
ハードウェアアプライアンスの排除とコストの削減
クラウドサービスではハードウェアは必要ありません。エンタープライズは、新しいアプライアンスを購入する必要なく、複数のAzureおよびZscaleデータセンターに容易に拡張できます。
柔軟なスケーラビリティ、短いレイテンシ
サービスではグローバルなAzureクラウドを使用して、新規ユーザーがセットアップされ、インターネットベースのネットワーキングを介して最も近いアプリの場所にルーティングされます。
Azure上の社内アプリケーションへのセキュアリモートアクセスを簡素化
Zscaler Private Access (ZPA)は、ユーザ/アプリケーション中心のアプローチをネットワークセキュリティに採用しています。承認されたユーザとデバイスだけがAzureの特定の内部アプリケーションにアクセスできるようになります。ZPAでは、物理/仮想アプライアンスの代わりにインフラストラクチャに依存しない軽量のソフトウェアを使用し、ユーザとアプリケーションをZscalerのセキュリティクラウドに接続し、仲介された接続がそこで連結されます。ZPAは、Azure ExpressRouteを補完する役割を果たします。
1. ZPA Public Service Edge
- クラウド内でホスト
- 認証に使用
- 管理者によるカスタマイズが可能
- Client ConnectorとApp Connectorの間のセキュア接続を仲介
2. Zscaler Client Connector(旧Zscaler App/Z App)
- デバイスにインストールされたモバイルクライアント
- アプリへのアクセスを要求
3. App Connector
- Azure、Azure、AWSを始めとするパブリッククラウドサービスのアプリの前面に配置
- ブローカへの内側から外側へのTLS 1.2接続を提供
- アプリを外部に公開されないようにすることで、DDoS攻撃を防止
Azureネットワークのパワーを活用する
Zscaler Private Access for AzureとZPAパブリックサービスエッジの連携によって、ユーザとAzureクラウドで動作する内部アプリケーションの間のアクセスが仲介されるため、Azureネットワークと多数のデータセンタをネットワーキング管理者が利用でき、結果として、最小のホップ数での処理が可能になってレイテンシが短くなり、ユーザの生産性が向上します。
ネットワークセグメンテーションから
アプリケーションセグメンテーションへの移行
以前は、管理者はネットワークをセグメント化してユーザー接続を保護していました。今日、エンタープライズはZAPを使用して対象アプリケーションおよびアプリケーションにアクセスするユーザーを制御しています。管理者は、特定のユーザー、ユーザーグループ、アプリケーション、アプリケーショングループ、および関連付けられたサブドメインに対してアプリケーションレベルで詳細なポリシーを容易に設定できます。
1. ポリシーを作成して名前を定義します。
2. ユーザとユーザグループごとに異なる権限レベルを設定します。
3. 各ポリシーが関連付けられているアプリケーションを定義します。
4. UIを利用して、ユーザやアプリケーションに新しいルールやポリシーを簡単に追加できます
統合を活用したAzureへの迅速な移行
Zscalerは、Azureエコシステム向けの統合を推進しており、たとえば、Azure ADとの統合によって、管理者はZPAを使用し、既存の構成に基づいてユーザグループのアクセスポリシーを設定できます。また、Azure Marketplaceには、App Connectorが公開されています。App Connectorは、Azureフロントエンドとして、Zscalerのセキュリティクラウドへのインサイドアウト接続が可能になり、承認されたユーザとアプリケーションの間の接続が仲介されます。
