リソース > セキュリティ用語集 > クラウド プロキシーとは

クラウド プロキシーとは

クラウド プロキシーは、クライアントとWebサーバー、SaaSアプリケーション、またはデータ センターの間に配備されるクラウドベースのシステムです。クライアントとサーバーを仲介する形で機能し、リソースへの安全なアクセスを提供しながら、マルウェアやその他の脅威からサーバーを保護します。

クラウド プロキシーが必要な理由

クラウド プロキシーは、多くの点でリバース プロキシーのように機能します。つまり、クライアント リクエストはクラウド プロキシーを経由してインターネット アドレスへ流れ、Webページへのアクセス許可などの応答はプロキシーを経由してクライアントに戻ってきます。ただしクラウド プロキシーはクラウドに存在するため、従来のアプライアンスベースのプロキシーのようにデータ センターのハードウェアに拘束されません。
 

アプライアンスベースのプロキシーが抱える課題

従来型のリバース プロキシー サーバーとHTTPプロキシーは、現在のネットワーク セキュリティ スタックにおいても一般的ですが、ITにおいては以下のような問題が増えてきています。

  • レイテンシープロキシーは、トラフィックを傍受するためにインラインで動作する必要があります。帯域幅が制限されたアプライアンスを介してトラフィックをシリアル方式でルーティングすると、特にオンサイトでのエンタープライズ展開のリクエストに大幅なレイテンシーが生じ、ユーザー エクスペリエンスが低下する可能性があります。
  • 互換性:従来型のプロキシーは、リッチWebベースのアプリケーションが認証、API呼び出し、サービス リクエストなどを実行する方法に合わせて構築されていません。そのため、アプリケーションの互換性の問題が発生しやすくなり、追加のトラブルシューティングも余儀なくされます。
  • コスト:企業用のプロキシー アプライアンスは、一般的なITの予算からするとコストが高すぎる傾向にあります。TLS/SSLトラフィックの検査にこれらを使用する場合はさらにコストがかさみ、ベンダーによっては8倍のアプライアンスを使用すること推奨する場合もあります。
  • キャッシュかつてプロキシー アーキテクチャーの重要な機能であったキャッシュは、今ではあらゆるWebブラウザーの機能となっており、ネットワークベースのキャッシュは副次的な提供物にすぎないものとなっています。
     

クラウド プロキシーのメリット

プロキシーは、ユーザー エクスペリエンスを損なうことなく、ステルス性が高い脅威を防止するうえで、現在も適したソリューションであると言えます。しかし、クラウドとモビリティが中心となった今日、ハードウェアベースのソリューションでは、この目的を確実に果たすことはできません。一方、効果的なクラウドベースのプロキシー アーキテクチャーは、以下を実現することが可能です。

  • あらゆるポートにおいても、クラウドベースのアプリを含むユニバーサル アプリケーションを認識し、互換性の問題を大幅に削減。
  • 世界的な規模を活かし、エンタープライズ ネットワークから遠く離れ、移動しながら作業することが多いユーザーに対応。
  • 一般的なハードウェアベースのプロキシーの平均価格と比較して大幅なコスト削減を実現し、IT関連の支出を削減。
  • 完全なTLS/SSLインスペクションを有効にした際にも、エンド ユーザーが体感するほどのレイテンシーが発生せず、優れたユーザー エクスペリエンスを実現。
  • サーバーへの外部からの可視性はなく、ユーザーの実際の接続元IPアドレスを必要とするアプリに向けた、XFFヘッダーへのサポート。

総合的なセキュリティ アーキテクチャーの一部をなすクラウドベースのプロキシー アーキテクチャーであれば、特に効果的です。これらは、他の機能やサード パーティー(クラウド プロバイダーなど)が解決すべきギャップを残すことなく、すべてのコンプライアンスとセキュリティのベンチマークに対処することが可能です。

SASEの機能の多くでは、プロキシー モデルを使用してデータ パスに入り、アクセスを保護します。従来型のインライン ネットワークとエンタープライズ ファイアウォールのベンダーは、分散型のインライン プロキシーを大規模に構築するための専門性に欠けているため、SASEを導入するにあたってコストの上昇あるいはパフォーマンスの低下といったリスクが伴います。

Gartner、 「The Future of Network Security is in the Cloud」

クラウド プロキシーの仕組み

トラフィックの流れの中にあるクラウド プロキシーは、組織の認証サービス(例:シングル サインオン)と統合され、その後、エージェントなしでインラインで動作できます。これにより、管理対象のクラウド アプリなどへのトラフィックが自動的にクラウド プロキシーにリダイレクトされ、円滑なユーザー エクスペリエンスが提供されます。

このプロセスをより詳しく見てみましょう。

クラウド プロキシーは、機密データが存在するサーバーの仲介または代理として機能することで、機密データ(例:PCIデータ、PII)を保護することが可能です。クライアント リクエストは最初にクラウド プロキシーにルーティングされ、次に該当するファイアウォール内の指定されたポートを経由してコンテンツ サーバーに向かい、最後に再びユーザーの元に戻ります。クライアントとサーバーが直接通信することはありませんが、クライアントは直接的な通信があったかのように応答を受け取ります。基本的な手順は以下のとおりです。

  1. クライアントがリクエストを送信し、クラウド プロキシーが傍受します
  2. 必要に応じて、クラウド プロキシーがそのリクエストをファイアウォールに転送します
  3. ファイアウォールがリクエストをブロックするかサーバーに転送します
  4. サーバーがファイアウォール経由でプロキシーにレスポンスを送信します
  5. クラウド プロキシーがクライアントにレスポンスを送信します

弾力性に優れたクラウドにより、トラフィックの量に関係なく、これらはすべてほぼリアルタイムで発生します。

クラウドファースト アーキテクチャーの支柱である、プロキシーベースのセキュリティ

ブログを読む(英語)
ブログを読む(英語)

プロキシーとファイアウォールが脅威を取り巻く現在の情勢において不可欠な理由

ブログを読む(英語)
ブログを読む(英語)

Zscaler SASEの概要

概要を読む
概要を読む

Zscalerクラウド プロキシー

クリーンかつ安全でコンプライアンスに準拠したインターネット アクセスと優れたユーザー エクスペリエンスを、場所を問わずネットワークを介して、すべてのデバイスやオペレーティング システム上のユーザーに提供するには、クラウドベースのプロキシー アーキテクチャーが効果的です。

確かな実績を誇るZscalerのクラウド プロキシー ベースのアーキテクチャーは、クラウドネイティブなセキュリティ サービス エッジ(SSE)ソリューションであるZscaler Internet Access™の基盤となっています。本ソリューションは、セキュアWebゲートウェイの分野における10年間にわたるリーダーとしての経験に基づいて構築されています。世界最大のセキュリティ クラウドからスケーラブルなSaaSプラットフォームとして提供されるこのソリューションは、従来型のネットワーク セキュリティ ソリューションを置き換え、総合的なゼロトラスト アプローチにより高度な攻撃を阻止して情報漏洩を防ぎます。

Zscaler Internet Accessは、総合的なクラウドネイティブセキュリティ プラットフォームである Zscaler Zero Trust Exchange™ の一部をなしています。

Zscaler Internet Accessについての詳細はこちらをご覧ください。

SASEの機能の多くでは、プロキシー モデルを使用してデータ パスに入り、アクセスを保護します。従来型のインライン ネットワークとエンタープライズ ファイアウォールのベンダーは、分散型のインライン プロキシーを大規模に構築するための専門性に欠けているため、SASEを導入するにあたってコストの上昇あるいはパフォーマンスの低下といったリスクが伴います。

Gartner、 「The Future of Network Security is in the Cloud」

Zscalerのクラウド プロキシーのユース ケース

Zscalerのクラウド プロキシー アーキテクチャーにおいて、すべてのトラフィックをリバース プロキシーが網羅しますが、これこそがセキュリティ サービス エッジ(SSE)モデル内のクラウド アクセス セキュリティ ブローカー(CASB)の中核的な要素です。

SSEフレームワークの一部として、Zscalerのクラウド プロキシー アーキテクチャーは以下の機能で組織をサポートします。

非管理対象のデバイスの保護
従業員の多くは、自身が所有するデバイスを含む複数のデバイスを仕事に使用している可能性があります。また、多くのサプライヤーやパートナー、顧客が自身の非管理対象のデバイスで内部アプリケーションにアクセスする必要がある場合もあり、セキュリティ上のリスクが生じる恐れがあります。

エージェントをインストールすることで組織が所有するデバイスを管理できますが、非管理対象のエンドポイントに関してはこの限りではありません。サードパーティーのエンドポイントにエージェントをインストールさせることは不可能でしょうし、大半の従業員も個人所有のデバイスにエージェントを取り入れることは望んでいません。そこでZscalerのプロキシー アーキテクチャーは、クラウドアプリケーションやリソースにアクセスする非管理対象のデバイスに対し、データ漏洩やマルウェアに対処するエージェント不要の保護を提供します。
 

データ保護
Zscalerプロキシー アーキテクチャーでは、情報漏洩防止ポリシーを適用し、承認されたクラウド アプリ向け、またはそこからの機密情報の偶発的もしくは意図的なアップロードまたはダウンロードを防ぐことができます。インラインで動作しながら暗号化されたトラフィックを含むすべてのトラフィックを検査するため、アップロードまたはダウンロードされたデータがポリシーに準拠するよう徹底できます。

脅威対策
クラウドサービス内にある感染ファイルは、接続されているアプリおよびデバイス、特に非管理対象のデバイスに拡散する可能性がありますが、Zscalerのプロキシー アーキテクチャーは、感染ファイルのクラウド リソースへのアップロードまたはそこからのダウンロードをエージェントを用いずに防止することで、マルウェアやランサムウェアに対する高度な脅威対策を提供します。

本来の性質として、ZscalerのアーキテクチャーはサーバーとそのIPアドレスをクライアントから隠し、分散型サービス妨害(DDoS攻撃)などの脅威からWebリソースを保護します。

ロード バランシング
Zscalerのプロキシーを活用することで、需要の高い単一のサーバーに過剰な負荷をかけうるクライアント リクエストを処理し、サーバーにリクエストを均等に分散することで、高い可用性をサポートしてロード時間を最適化できます。