株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > ZPA > 【Zscaler】ZPAでVPNを置き換える!#8 アプリケーションの転送制御

【Zscaler】ZPAでVPNを置き換える!#8 アプリケーションの転送制御

ZPA ZTNA Zscaler

こんにちは。ネットワールドSEの藤田です。

ZPAでVPNを置き換える!の第八回です。
今回はZPAにおいて、アプリケーションの転送制御をどのように行っているか確認していきます。


【Zscaler】ZPAでVPNを置き換える!#1 ZPAが求められる理由 - ネットワールド らぼ
【Zscaler】ZPAでVPNを置き換える!#2 ユーザの操作感 - ネットワールド らぼ
【Zscaler】ZPAでVPNを置き換える!#3 アプリケーション通信の流れ - ネットワールド らぼ
【Zscaler】ZPAでVPNを置き換える!#4 アプリケーションの定義 - ネットワールド らぼ
【Zscaler】ZPAでVPNを置き換える!#5 アクセスポリシーの定義 - ネットワールド らぼ
【Zscaler】ZPAでVPNを置き換える!#6 App Connectorの構成 - ネットワールド らぼ
【Zscaler】ZPAでVPNを置き換える!#7 認証のタイミング - ネットワールド らぼ
【Zscaler】ZPAでVPNを置き換える!#8 アプリケーションの転送制御 - ネットワールド らぼ

免責事項

  • 本書は、株式会社ネットワールド(以下 弊社)が作成・管理します。
  • 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
  • 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
  • 本書の利用は、利用者様の責任において行われるものとします。
  • 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いかねます。

どこのお話?

まず、アプリケーションの転送制御と言っても、どこのお話をしているのでしょうか。

アプリケーションセグメントについては以下でご紹介しました。
【Zscaler】ZPAでVPNを置き換える!#4 アプリケーションの定義 - ネットワールド らぼ

アプリケーションセグメントはFQDN/IPアドレスとプロトコル、ポート番号のリストです。この情報によりZPAの対象となるアプリケーションを識別します。ということは、これらをクライアント端末で動作するZscaler Client Connector(ZCC)が把握している必要があります。ZCCがZero Trust Exchange(ZTE)へ該当するアプリケーショントラフィックを転送する役割を果たすためです。

今回はZTEからZCCへどのアプリケーションセグメントをどのように伝達するかについてご説明したいと思います。


どのような制御ができる?

転送制御といっても、基本はZPAへ転送するか、バイパスするかです。バイパスというのは、ZPAの処理から除外することです。つまり、ZCCによるトラフィックの中継を行わない、ということです。

ZPAの転送の流れは以下でご紹介しました。ZCCの処理の概要もご説明しましたが、このURL中の「①ZCCの処理」を行わないということです。つまり、OSのネットワーク設定で指定したDNSサーバで名前解決し、そのまま通信を試みます。あるいは、ZIAの対象範囲であれば、ZIAで処理されます。
【Zscaler】ZPAでVPNを置き換える!#3 アプリケーション通信の流れ - ネットワールド らぼ


デフォルトでは、アプリケーションセグメントは全てZCCへ伝達され、ZPAへ転送されます。主な検討事項は、何をバイパスさせるのか、になります。ユースケースとして二点挙げます。

ひとつ目は、接続の条件によりZPAを介さずアプリケーションへ接続をさせるというものです。例えば、社内ネットワークへ接続している時のみ、バイパス処理してアプリケーションへ直接接続させる、という処理ができまます。ただ、ZPAの処理から外れるため、バイパスして問題ないかはセキュリティ的に検討すべきでしょう。また、社内にPrivate Service Edgeを配置するという選択肢も提供されています。


ふたつ目は、ワイルドカードFQDNのアプリケーションセグメント運用時の除外処理です。社内アプリケーションを検討するため、例えば「*.sample.test」を指定したアプリケーションセグメントを作成したとします。そうすると、そこに含まれるFQDNは全てZPA処理の対象となります。外部公開している、あるいは社員への公開を想定していない、そのようなZPAから除外したいアプリケーションを明示的にバイパスします。


ZCC視点でのFQDNの整理

ZCC視点からFQDNを整理しましょう。以下のように分けて考えることができます。

  • FQDN指定
    • ZCCの処理対象となるFQDN。最低限のアクセスのみ公開する。
  • FQDNワイルドカード指定
    • ZCCの処理対象となるFQDN。過剰なアクセスを許可してしまう可能性がある。
  • FQDNバイパス指定
    • ZCCの処理対象としないFQDN。明示的に指定する。
    • ワイルドカードFQDNからのバイパス、条件によりバイパスなどに使用する。
  • 未指定
    • ZCCが関与しないFQDN。バイパス指定と同じ処理になる。

バイパス処理

バイパスはFQDN単位で有効になります。あるFQDNの特定ポートのみをバイパスする、ということはできません。例えば、「www.sample.test」のポート443はZPAで処理して、ポート22はバイパスする、というような制御はできません。

バイパスは以下の方法で制御します。

  • アプリケーションセグメント
  • クライアント転送ポリシー

アプリケーションセグメントによる明示的なバイパスは、ワイルドカードFQDNからの除外を目的として利用します。バイパスの条件を指定することができないため、FQDNを固定的にバイパスするよう指定します。ワイルドカードFQDNのアプリケーションセグメントが存在しなければ、そもそもZPAの処理対象とならないため、設定する必要はありません。デフォルトでは、クライアント転送ポリシーに処理を任せ、アプリケーションセグメントではバイパス処理を制御しません。

クライアント転送ポリシーは、条件に合致した場合にどのように処理するかを指定することができます。処理内容は以下の通りです。

  • ZPAに転送
    • 条件に合致した場合、アプリケーションセグメントをすべてZCCへ伝達します
  • 転送が許可されたアプリケーションのみ
    • 条件に合致した場合、アクセスポリシーで許可されたアプリケーションセグメントをZCCへ伝達します
  • ZPAをバイパス
    • 条件に合致した場合、ZPA処理からバイパスします

デフォルトのポリシーは、作成した全アプリケーションセグメントをZCCへ伝達(ZPAに転送)します。

まとめ

今回はクライアント端末(ZCC)からどのようにZPAの対象であるアプリケーションを制御するのかをご説明しました。ZPAの処理から除外したいアプリケーションがある場合は、バイパス処理を検討しましょう。ありがとうございました。