製品 > ZPA for Azure

アプリはAzureに移行しましたが、
アプリへのアクセスをどのように保護していますか?

セキュアなリモートアクセスへの優れたアプローチ

デモをリクエスト

ネットワーク中心のセキュリティは、Azureへの移行の障壁となる

今日、40%の企業がAzureでアプリを実行することで、スケーラビリティと速度のニーズを解決しています。このトレンドによって、セキュリティ境界がインターネットにまで拡張されているにもかかわらず、ネットワーク中心のリモートアクセスVPNが今でも多くの企業で利用されています。また、ユーザがオンネットワークであることが強いられ、物理または仮想アプライアンスが必要になるため、複雑化し、スケーラビリティが制限されることになります。

ネットワーク中心のアプローチに共通する落とし穴:
  • ユーザをオンネットにすることで、Azureへのアクセスを提供する
  • アプライアンス、ACL、ファイアウォールのポリシーが必要になる
  • エンドユーザエクスペリエンスの低下
  • DDoS攻撃の機会が生じるインバウンド接続
  • 真のアプリケーションセグメンテーションの機能の欠如
  • アプリケーション関連アクティビティの可視性の欠如
図:インターネットに送信されるリモートユーザのトラフィックが、データセンタのセキュリティスタックを経由してから、Azureクラウドへと渡され、戻されることを説明

Zscaler Private Access for Azure

ユーザー中心およびアプリケーション中心のセキュリティの実現

Zscaler Private Access (ZPA) for Azureは、Azureで動作する内部アプリケーションにゼロトラストのセキュアリモートアクセスを提供する、Zscalerのクラウドサービスです。ZPAでは、アプリケーションがインターネットに公開されることがないため、権限のないユーザにアプリケーションが表示されることはありません。このサービスは、ネットワークをユーザにまで拡張するのではなく、アプリケーション側からユーザに接続できるようにするため、ユーザがオンネットワークになることはありません。AzureにSD(Software-Defined)境界を提供し、あらゆるデバイス、あらゆる内部アプリケーションをサポートします。

ソリューション概要を参照する
図:ZPAソリューションが、すべてのユーザにクラウドへのダイレクト接続を可能にし、Azureで動作するアプリにユーザを迅速に接続することを説明
ソリューションの詳細 現在の課題

Zscaler Private Access for Azureのメリット

Zscalerによって実現するトランスフォーメーション。

リモートユーザエクスペリエンスの向上

クラウドへの高速ダイレクトアクセスが可能になり、リモートアクセスVPNクライアントに毎回ログインする必要はありません。

管理の複雑さの軽減

ネットワーク管理者は、Web UI内からアプリケーションに基づいてセグメント化することができます。ネットワークをセグメント化する必要はありません。IPアドレスセグメンテーションやアクセスコントロールリストは不要です。

ネットワークアクセスを必要としないセキュアリモートアクセス

ネットワークへのアクセスを必要としないポリシーベースのアクセス。ユーザによるアプリへのアクセスを可視化し、AWSで実行中の認可されていないアプリを特定できます。

インターネットネットワーク経由でありながらトラフィックを保護

動的かつアプリケーションに特化したTLSベースのエンドツーエンドの暗号化をサービスが利用するため、すべてのデータの機密性が保持され、会社専用のPKIを利用できます。

ハードウェアアプライアンスの排除とコストの削減

クラウドサービスにハードウェアは必要ありません。ゲートウェイを増設することなく、複数のAzureやZscalerのデータセンタに簡単に拡張できます。

柔軟性とスケーラビリティ、短いレイテンシ

このサービスは、グローバルAzureネットワークを使用して、新規ユーザがセットアップされ、インターネットベースのネットワーキング経由で最も近い場所にあるアプリにルーティングされます。

Azure上の社内アプリケーションへのセキュアリモートアクセスを簡素化

Zscaler Private Access(ZPA)は、ユーザ/アプリケーション中心のアプローチをネットワークセキュリティに採用しているため、承認されたユーザとデバイスだけがAWSの特定の内部アプリケーションにアクセスできるようになります。ZPAでは、物理/仮想アプライアンスの代わりにインフラストラクチャに依存しない軽量のソフトウェアを使用し、ユーザとアプリケーションの両方をZscalerセキュリティクラウドに接続し、仲介された接続がそこで連結されます。ZPAは、Azure ExpressRouteを補完する役割を果たします。

図:ZPAが軽量のインフラストラクチャを使用して、Azureのユーザとアプリの両方をZscalerセキュリティクラウドに接続することを説明
1.  Zscaler Enforcement Node(ZEN)
  • クラウドでホスティング
  • 認証に使用
  • 管理者によるカスタマイズが可能
  • Z-AppとZ-connectorのセキュア接続を仲介
2.  Zscaler App
  • デバイスにインストールするモバイルクライアント
  • アプリへのアクセスを要求する
3.  App Connector
  • Azure、Azure、AWSを始めとするパブリッククラウドサービスのアプリの前面に配置
  • ブローカへの内側から外側へのTLS 1.2接続を提供
  • アプリを外部に公開されないようにすることで、DDoS攻撃を防止

Azureネットワークのパワーを活用する

Zscaler Private Access for AzureとZscaler Enforcement Node(ZEN)の連携によって、ユーザとAzureクラウドで動作する内部アプリケーションの間のアクセスが仲介されるため、Azureネットワークと多数のデータセンタをネットワーキング管理者が利用でき、結果として、最小のホップ数での処理が可能になってレイテンシが短くなり、ユーザの生産性が向上します。

図:企業が、AzureクラウドのメリットとZPAによって提供される強力なセキュリティとSDPの両方を手に入れることができることを説明
Azure向けZPAのキャプチャ:ZPAによって、企業における内部アプリへのアクセスの管理が容易になり、レイテンシの削減にもつながる理由を説明

ネットワークセグメンテーションから
アプリケーションセグメンテーションへの移行

従来は、管理者がネットワークのセグメンテーションによってユーザ接続を保護していましたが、ZPAを使用することで、どのユーザがどのアプリケーションにアクセスできるかを制御できるようになりました。管理者は、特定のユーザ、ユーザグループ、アプリケーション、アプリケーショングループ、対応するサブドメインに対し、アプリケーションレベルで詳細なポリシーを簡単に設定できます。

1.  ポリシーを作成して名前を定義する
2.  ユーザやユーザグループごとに異なる権限レベルを設定する
3.  各ポリシーが関連付けられているアプリケーションを定義する
4.  UIを利用して、ユーザやアプリケーションに新しいルールやポリシーを簡単に追加できる

統合を活用したAzureへの迅速な移行

ZscalerはAzureエコシステム向けの統合を行っています。Azure ADとの統合によって、管理者は、ZPAを使用し、既存の構成に基づいてユーザグループのアクセスポリシーを設定できます。さらには、Azure Marketplaceに公開されているZ-Connector(Azureのコネクタフロントエンドアプリ)を使用することで、Zscaler Security Cloudへの承認済みユーザとアプリケーションの間の接続を仲介できます。

キャプチャ:Azureマーケットプレイスによって、管理者がZPAを使用し、既存の構成に基づいて、ユーザグループにアクセスポリシーを設定できることを説明
キャプチャ:アプリの前面に配置されたZ-Connectorが、Azureで動作し、内側から外側へのZENへの接続を提供することを説明

お勧めのリソース

導入事例

MAN Diesel & Turbo SEがグローバルスケールで内部アプリへのゼロトラストアクセスを提供した方法を紹介します。

ケーススタディを読む 

Webinar

ZPA for Azureのウェビナー(録画)を見る

ウェビナーを見る 

導入事例

MicrosoftとZscalerのパートナーシップによる成功事例

続きを読む