クラウド プロキシとは

クラウド プロキシが必要な理由

クラウド プロキシは、多くの点でリバース プロキシと同様に機能します。つまり、クライアントからのリクエストはクラウド プロキシを経由してインターネット アドレスへ流れ、Webページへのアクセス許可などの応答はプロキシを経由してクライアントに戻ってきます。ただし、クラウド プロキシはクラウドに存在するため、従来のアプライアンスベースのプロキシのようにデータ センターのハードウェアに縛られることはありません。
 

アプライアンスベースのプロキシが抱える課題

従来型のリバース プロキシ サーバーとHTTPプロキシは、現在のネットワーク セキュリティ スタックにおいても一般的ですが、ITリーダーの間では、以下のような問題が指摘されるようになってきています。

• レイテンシー：プロキシは、インラインで動作してトラフィックをインターセプトする必要がありますが、帯域幅が制限されたアプライアンスを介してトラフィックをシリアル方式でルーティングすると、リクエストに大幅なレイテンシーが発生し、ユーザー エクスペリエンスの低下につながります。これは特にオンサイトのエンタープライズ展開で顕著です。
• 互換性：従来型のプロキシは、リッチWebベースのアプリケーションが認証、API呼び出し、サービス リクエストなどを実行する方法に合わせて構築されていません。そのため、アプリケーションの互換性の問題が発生しやすくなり、追加のトラブルシューティングも余儀なくされます。
• コスト：企業用のプロキシ アプライアンスにかかるコストは、一般的なITの予算を鑑みると非常に高額です。TLS/SSLトラフィックの検査に使用する場合、ベンダーによっては8倍のアプライアンスの使用を推奨することもあり、費用はさらに高額になります。
• キャッシュ：キャッシュはかつてプロキシ アーキテクチャーの重要な機能でしたが、今ではあらゆるWebブラウザーに備わっており、ネットワークベースのキャッシュはせいぜい副次的なサービスになっています。

クラウド プロキシのメリット

ユーザー エクスペリエンスを損なわずにステルス性の高い脅威を防止するには、プロキシは現在でも適切なソリューションであると言えます。しかし、クラウド化やモバイル化が進んだ昨今の環境において、ハードウェアベースのソリューションでは確実に目的を果たすことはできません。一方、効果的なクラウドベースのプロキシ アーキテクチャーを利用すれば、次のようなことを実現できます。

• あらゆるアプリケーションへの対応：クラウドベースのアプリも含め、あらゆるポートに対応し、互換性の問題を大幅に削減します。
• グローバルなユーザーへの対応：移動が多く企業のネットワークから遠く離れたところで仕事をするユーザーにも対応できます。
• コストの大幅な削減：一般的なハードウェアベースのプロキシに比べ非常に低コストなため、IT関連の支出を削減できます。
• 優れたユーザー エクスペリエンスの実現：TLS/SSLのフル インスペクションを有効にしても、エンド ユーザーが気づくようなレイテンシーは発生しません。
• 外部からの不可視化：サーバーを外部から不可視化します。ユーザーの実際の接続元IPアドレスが必要なアプリ向けには、XFFヘッダーをサポートしています。

クラウドベースのプロキシ アーキテクチャーの中でも、総合的なセキュリティ アーキテクチャーの一部として提供されるものは特に有効です。コンプライアンスやセキュリティに関するすべての基準に対応できるため、カバーできなかった部分の解決のために他の機能やサード パーティー(クラウド プロバイダーなど)に頼る必要はありません。

クラウド プロキシの仕組み

トラフィックの流れの中にあるクラウド プロキシは、組織の認証サービス(例：シングル サインオン)と統合され、その後、エージェントなしでインラインで動作できます。これにより、管理対象のクラウド アプリなどへのトラフィックが自動的にクラウド プロキシにリダイレクトされ、円滑なユーザー エクスペリエンスが提供されます。

このプロセスをより詳しく見てみましょう。

クラウド プロキシは、機密データが存在するサーバーの仲介または代理として機能することで、機密データ(例：PCIデータ、PII)を保護することが可能です。クライアント リクエストは最初にクラウド プロキシにルーティングされ、次に該当するファイアウォール内の指定されたポートを経由してコンテンツ サーバーに向かい、最後に再びユーザーの元に戻ります。クライアントとサーバーが直接通信することはありませんが、クライアントは直接的な通信があったかのように応答を受け取ります。基本的な手順は以下のとおりです。

1. クライアントがリクエストを送信し、クラウド プロキシが傍受します
2. 必要に応じて、クラウド プロキシがそのリクエストをファイアウォールに転送します
3. ファイアウォールがリクエストをブロックするかサーバーに転送します。
4. サーバーがファイアウォール経由でプロキシに応答を送信します。
5. クラウド プロキシがクライアントにレスポンスを送信します

弾力性に優れたクラウドにより、トラフィックの量に関係なく、これらはすべてほぼリアルタイムで発生します。

Zscalerクラウド プロキシ

クリーンかつ安全でコンプライアンスに準拠したインターネット アクセスと優れたユーザー エクスペリエンスを、場所を問わずネットワークを介して、すべてのデバイスやオペレーティング システム上のユーザーに提供するには、クラウドベースのプロキシ アーキテクチャーが効果的です。

確かな実績を誇るZscalerのクラウド プロキシ ベースのアーキテクチャーは、クラウドネイティブなセキュリティ サービス エッジ(SSE)ソリューションであるZscaler Internet Access™の基盤となっています。本ソリューションは、セキュアWebゲートウェイの分野における10年間にわたるリーダーとしての経験に基づいて構築されています。世界最大のセキュリティ クラウドからスケーラブルなSaaSプラットフォームとして提供されるこのソリューションは、従来型のネットワーク セキュリティ ソリューションを置き換え、総合的なゼロトラスト アプローチにより高度な攻撃を阻止して情報漏洩を防ぎます。

Zscaler Internet Accessは、総合的なクラウドネイティブ セキュリティ プラットフォームであるZscaler Zero Trust Exchange™の一部をなしています。

クラウド プロキシのユース ケース

Zscalerのクラウド プロキシ アーキテクチャーでは、リバース プロキシがすべてのトラフィックをカバーします。これは、セキュリティ サービス エッジ(SSE)モデルにおけるクラウド アクセス セキュリティ ブローカー(CASB)の中核的な要素です。

SSEフレームワークの一部として、Zscalerのクラウド プロキシ アーキテクチャーは以下の機能で組織をサポートします。

管理外のデバイスの保護

従業員の多くは、私用のデバイスも含め、複数のデバイスを仕事に使用する可能性があります。また、多くのサプライヤー、パートナー、顧客も、管理外の私用デバイスを通じて社内アプリケーションにアクセスする必要があるかもしれません。これはセキュリティ上のリスクにつながります。

エージェントをインストールすることで組織が所有するデバイスを管理できますが、非管理対象のエンドポイントに関してはこの限りではありません。サードパーティーのエンドポイントにエージェントをインストールさせることは不可能でしょうし、大半の従業員も個人所有のデバイスにエージェントを取り入れることは望んでいません。そこでZscalerのプロキシ アーキテクチャーは、クラウドアプリケーションやリソースにアクセスする非管理対象のデバイスに対し、データ漏洩やマルウェアに対処するエージェント不要の保護を提供します。
 

データ保護

Zscalerのプロキシ アーキテクチャーでは、情報漏洩防止ポリシーを適用して、偶発的か意図的かを問わず、承認されたクラウド アプリとの間で起こる機密情報のアップロードやダウンロードを防ぐことができます。インラインで動作し、暗号化されたトラフィックを含むすべてのトラフィックを検査するため、アップロードまたはダウンロードされるデータがポリシーに準拠するよう徹底できます。

脅威対策

クラウド サービス内に感染したファイルがあれば、そこに接続されているアプリやデバイス、特に管理外のデバイスに感染が拡大する可能性があります。Zscalerのプロキシ アーキテクチャーは、クラウド リソースとの間で感染ファイルがアップロードまたはダウンロードされることをエージェントレスで防止するため、マルウェアやランサムウェアに対する高度な脅威対策が可能です。

また、Zscalerのアーキテクチャーの性質上、サーバーとそのIPアドレスはクライアントから不可視化されるため、分散型サービス拒否(DDoS攻撃)などの脅威からWebリソースを保護できます。

負荷分散

Zscalerのプロキシを利用すると、他の方法では単一のサーバーを過負荷状態にしてしまうような高需要時でも、複数のサーバーにリクエストを均等に分散することで可用性を高め、ロード時間を最適化しながらクライアントの要求を処理できます。