クラウド プロキシーとは

クラウド プロキシーは、クライアントとWebサーバー、SaaSアプリケーション、またはデータ センターの間に配備されるクラウドベースのシステムです。クライアントとサーバーを仲介する形で機能し、リソースへの安全なアクセスを提供しながら、マルウェアやその他の脅威からサーバーを保護します。

Zscalerのクラウド アーキテクチャー
見る

クラウド プロキシーが必要な理由

クラウド プロキシーは、多くの点でリバース プロキシーと同様に機能します。つまり、クライアントからのリクエストはクラウド プロキシーを経由してインターネット アドレスへ流れ、Webページへのアクセス許可などの応答はプロキシーを経由してクライアントに戻ってきます。ただし、クラウド プロキシーはクラウドに存在するため、従来のアプライアンスベースのプロキシーのようにデータ センターのハードウェアに縛られることはありません。
 

アプライアンスベースのプロキシーが抱える課題

従来型のリバース プロキシー サーバーとHTTPプロキシーは、現在のネットワーク セキュリティ スタックにおいても一般的ですが、ITリーダーの間では、以下のような問題が指摘されるようになってきています。

  • レイテンシープロキシーは、インラインで動作してトラフィックをインターセプトする必要がありますが、帯域幅が制限されたアプライアンスを介してトラフィックをシリアル方式でルーティングすると、リクエストに大幅なレイテンシーが発生し、ユーザー エクスペリエンスの低下につながります。これは特にオンサイトのエンタープライズ展開で顕著です。
  • 互換性:従来型のプロキシーは、リッチWebベースのアプリケーションが認証、API呼び出し、サービス リクエストなどを実行する方法に合わせて構築されていません。そのため、アプリケーションの互換性の問題が発生しやすくなり、追加のトラブルシューティングも余儀なくされます。
  • コスト:企業用のプロキシー アプライアンスにかかるコストは、一般的なITの予算を鑑みると非常に高額です。TLS/SSLトラフィックの検査に使用する場合、ベンダーによっては8倍のアプライアンスの使用を推奨することもあり、費用はさらに高額になります。
  • キャッシュキャッシュはかつてプロキシー アーキテクチャーの重要な機能でしたが、今ではあらゆるWebブラウザーに備わっており、ネットワークベースのキャッシュはせいぜい副次的なサービスになっています。

クラウド プロキシーのメリット

ユーザー エクスペリエンスを損なわずにステルス性の高い脅威を防止するには、プロキシーは現在でも適切なソリューションであると言えます。しかし、クラウド化やモバイル化が進んだ昨今の環境において、ハードウェアベースのソリューションでは確実に目的を果たすことはできません。一方、効果的なクラウドベースのプロキシー アーキテクチャーを利用すれば、次のようなことを実現できます。

  • あらゆるアプリケーションへの対応:クラウドベースのアプリも含め、あらゆるポートに対応し、互換性の問題を大幅に削減します。
  • グローバルなユーザーへの対応:移動が多く企業のネットワークから遠く離れたところで仕事をするユーザーにも対応できます。
  • コストの大幅な削減:一般的なハードウェアベースのプロキシーに比べ非常に低コストなため、IT関連の支出を削減できます。
  • 優れたユーザー エクスペリエンスの実現:TLS/SSLのフル インスペクションを有効にしても、エンド ユーザーが気づくようなレイテンシーは発生しません。
  • 外部からの不可視化:サーバーを外部から不可視化します。ユーザーの実際の接続元IPアドレスが必要なアプリ向けには、XFFヘッダーをサポートしています。

クラウドベースのプロキシー アーキテクチャーの中でも、総合的なセキュリティ アーキテクチャーの一部として提供されるものは特に有効です。コンプライアンスやセキュリティに関するすべての基準に対応できるため、カバーできなかった部分の解決のために他の機能やサード パーティー(クラウド プロバイダーなど)に頼る必要はありません。

SASEの機能の多くでは、プロキシー モデルを使用してデータ パスに入り、アクセスを保護します。従来型のインライン ネットワークとエンタープライズ ファイアウォールのベンダーは、分散型のインライン プロキシーを大規模に構築するための専門性に欠けているため、SASEを導入するにあたってコストの上昇あるいはパフォーマンスの低下といったリスクが伴います。

Gartner, The Future of Network Security is in the Cloud

クラウド プロキシーの仕組み

トラフィックの流れの中にあるクラウド プロキシーは、組織の認証サービス(例:シングル サインオン)と統合され、その後、エージェントなしでインラインで動作できます。これにより、管理対象のクラウド アプリなどへのトラフィックが自動的にクラウド プロキシーにリダイレクトされ、円滑なユーザー エクスペリエンスが提供されます。

このプロセスをより詳しく見てみましょう。

クラウド プロキシーは、機密データが存在するサーバーの仲介または代理として機能することで、機密データ(例:PCIデータ、PII)を保護することが可能です。クライアント リクエストは最初にクラウド プロキシーにルーティングされ、次に該当するファイアウォール内の指定されたポートを経由してコンテンツ サーバーに向かい、最後に再びユーザーの元に戻ります。クライアントとサーバーが直接通信することはありませんが、クライアントは直接的な通信があったかのように応答を受け取ります。基本的な流れは以下のとおりです。

  1. クライアントがリクエストを送信し、クラウド プロキシーが傍受します
  2. 必要に応じて、クラウド プロキシーがそのリクエストをファイアウォールに転送します
  3. ファイアウォールがリクエストをブロックするかサーバーに転送します。
  4. サーバーがファイアウォール経由でプロキシーに応答を送信します。
  5. クラウド プロキシーがクライアントにレスポンスを送信します

弾力性に優れたクラウドにより、トラフィックの量に関係なく、これらはすべてほぼリアルタイムで発生します。

SASEの機能の多くでは、プロキシー モデルを使用してデータ パスに入り、アクセスを保護します。従来型のインライン ネットワークとエンタープライズ ファイアウォールのベンダーは、分散型のインライン プロキシーを大規模に構築するための専門性に欠けているため、SASEを導入するにあたってコストの上昇あるいはパフォーマンスの低下といったリスクが伴います。

Gartner, The Future of Network Security is in the Cloud

Zscalerのクラウド プロキシー

使用するデバイスやOS、ネットワーク、そして接続元の場所を問わず、コンプライアンスを満たすクリーンで安全なインターネット アクセスと優れたエクスペリエンスをすべてのユーザーに提供するには、クラウドベースのプロキシー アーキテクチャーが効果的です。

確かな実績を誇るZscalerのクラウド プロキシー ベースのアーキテクチャーは、クラウドネイティブなセキュリティ サービス エッジ(SSE)ソリューションであるZscaler Internet Access™の基盤となっています。本ソリューションは、セキュアWebゲートウェイの分野における10年間にわたるリーダーとしての経験に基づいて構築されています。世界最大のセキュリティ クラウドからスケーラブルなSaaSプラットフォームとして提供されるこのソリューションは、従来型のネットワーク セキュリティ ソリューションを置き換え、総合的なゼロトラスト アプローチにより高度な攻撃を阻止して情報漏洩を防ぎます。

Zscaler Internet Accessは、総合的なクラウドネイティブ セキュリティ プラットフォームであるZscaler Zero Trust Exchange™の一部をなしています。

クラウド プロキシーのユース ケース

Zscalerのクラウド プロキシー アーキテクチャーでは、リバース プロキシーがすべてのトラフィックをカバーします。これは、セキュリティ サービス エッジ(SSE)モデルにおけるクラウド アクセス セキュリティ ブローカー(CASB)の中核的な要素です。

SSEフレームワークの一部として、Zscalerのクラウド プロキシー アーキテクチャーは次のような点で組織に役立ちます。

管理外のデバイスの保護

従業員の多くは、私用のデバイスも含め、複数のデバイスを仕事に使用する可能性があります。また、多くのサプライヤー、パートナー、顧客も、管理外の私用デバイスを通じて社内アプリケーションにアクセスする必要があるかもしれません。これはセキュリティ上のリスクにつながります。

組織が所有するデバイスは、エージェントをインストールすることで管理できますが、管理外のエンドポイントとなると話は別です。サードパーティーのエンドポイントにエージェントをインストールさせることはまずできません。また、従業員の大半は私用のデバイスにエージェントを入れることを嫌がるでしょう。Zscalerのプロキシー アーキテクチャーでは、組織のクラウド アプリケーションやリソースにアクセスする管理外のデバイスを、エージェントを使用することなくデータ漏洩やマルウェアから保護することが可能です。
 

データ保護

Zscalerのプロキシー アーキテクチャーでは、情報漏洩防止ポリシーを適用して、偶発的か意図的かを問わず、承認されたクラウド アプリとの間で起こる機密情報のアップロードやダウンロードを防ぐことができます。インラインで動作し、暗号化されたトラフィックを含むすべてのトラフィックを検査するため、アップロードまたはダウンロードされるデータがポリシーに準拠するよう徹底できます。

脅威対策

クラウド サービス内に感染したファイルがあれば、そこに接続されているアプリやデバイス、特に管理外のデバイスに感染が拡大する可能性があります。Zscalerのプロキシー アーキテクチャーは、クラウド リソースとの間で感染ファイルがアップロードまたはダウンロードされることをエージェントレスで防止するため、マルウェアやランサムウェアに対する高度な脅威対策が可能です。

また、Zscalerのアーキテクチャーの性質上、サーバーとそのIPアドレスはクライアントから不可視化されるため、分散型サービス拒否(DDoS攻撃)などの脅威からWebリソースを保護できます。

負荷分散

Zscalerのプロキシーを利用すると、他の方法では単一のサーバーを過負荷状態にしてしまうような高需要時でも、複数のサーバーにリクエストを均等に分散することで可用性を高め、ロード時間を最適化しながらクライアントの要求を処理できます。

Zscaler独自のクラウド プロキシー アーキテクチャーは、Zscaler Internet Accessの中核であり、総合的なクラウド ネイティブ セキュリティ プラットフォームであるZero Trust Exchangeの基本要素です。

Zscaler Internet Accessの詳細はこちら。

おすすめのリソース