icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

Public Service Edgeについて

Zscalerクラウドの主要コンポーネントであるZIA Public Service Edgesは、統合されたインターネットセキュリティを提供するフル機能のセキュアなインターネットゲートウェイです。すべてのWebトラフィックを双方向で検査してマルウェアを検出し、セキュリティ、コンプライアンス、ファイアウォールの各ポリシーを適用します。各Public Service Edgeには、トラフィックを検査し、ポリシーを適用するための2つの主要モジュール(Webモジュールとファイアウォールモジュール)があります。Public Service Edgeがポリシーを適用する方法の詳細は、ポリシーの実施についてを参照してください。

Public Service Edgeは世界中のZscalerデータセンターに展開されており、何百万もの同時セッションを持つ数十万人の同時ユーザーを処理できます。Public Service Edgeこのため、どこにいても、ユーザーはどのデバイスからでもインターネットにアクセスでき、Public Service Edgeはトラフィックを保護し、企業ポリシーを適用します。Sandbox化を除き、すべてのインスペクションエンジンはPublic Service Edge内で実行されます。

パブリックサービス エッジは、重要なフォールト・トレランス機能を備えています。また、アクティブ-アクティブモードで配備されて可用性と冗長性を保証し、ZscalerはPublic Service Edgeを監視・保守し、継続的な可用性を保証します。

顧客のトラフィックはZscalerのインフラストラクチャ内の他のコンポーネントに渡されることはなく、パブリックサービス エッジはデータをディスクに保存することは一切ありません。パケットデータは検査のためにメモリに保持され、その後、ポリシーに基づいて転送または廃棄されます。トランザクションごとに生成されるログデータは圧縮、トークン化され、安全なTLS接続を介してログルーターにエクスポートされます。ログルーターは、組織ごとに適切な地理的地域でホストされるNanologクラスターにログを転送します。さらに、Public Service EdgeはすべてZscalerのデータセンターに設置されており、最高レベルのデータプライバシーとネットワークセキュリティを提供します。

Zscalerは通常、組織がトラフィックをZscalerクラウド内のPublic Service Edgeに転送することを推奨しています。ただし、Public Service Edgeが適切な選択ではない場合もあります。代替案の詳細については、Private Service Edgeの紹介および仮想サービス エッジについてを参照してください。

Zscalerはまた、そのクラウド全体でいくつかのグローバル(またはゴースト)パブリックサービス エッジを構成しています。これらは、すべてのパブリック・サービス・エッジが知っているダミーのアドレスで、デフォルト・ルートがない環境で使用できます。詳細については、グローバルパブリックサービス エッジについてを参照してください。

ZscalerのクラウドアーキテクチャにおけるZENの位置づけを示す図

公共サービスの端緒と中央官庁

Zscaler中央認証局(CA)は、すべてのカスタマーポリシーと構成設定をホストします。クラウドを監視し、ソフトウェアとデータベースのアップデート、および脅威インテリジェンスについての中心的なロケーションを提供します。Zscalerアーキテクチャにおけるその機能の詳細については、ZIAクラウド アーキテクチャーについてを参照してください。

マルチテナントのZscalerアーキテクチャでは、CAは冗長化されており、複数の異なるZscalerデータセンターでバックアップが行われています。Public Service Edgeは、すべてのポリシー設定をダウンロードするために、CAとの持続的な接続を確立します。新しいユーザーがPublic Service Edgeに接続すると、この接続を通じてCAにポリシー要求が送信されます。その後、CAはそのユーザーに適用されるポリシーを計算し、高度に圧縮されたビットマップとしてポリシーをPublic Service Edgeに送信します。

ダウンロード後、ZIA Admin Portalでポリシーが変更されるまで、ポリシーはキャッシュされます。この場合、組織のキャッシュされたポリシーはすべてパージされ、Public Service Edgeは、ユーザーが次に要求を行ったときに新しいポリシーを要求します。Zscalerクラウドは毎秒[ハートビート]するため、ポリシーが変更されるとすべてのノードに通知されます。すべてのPublic Service Edgeは、組織からの新しい要求を受け取ったときにポリシーの変更をプルできます。ユーザーにとって、これは、どこにいても、次にPublic Service Edgeに接続するときに新しいポリシーを使用することを意味します。

ネットワーク障害やその他の事象により、Public Service EdgeがCAに到達できない、またはCAから構成をダウンロードできない場合、Public Service Edgeは直ちにセーフ・モードに切り替わります。セーフモードでは、Public Service Edgeはキャッシュされたすべてのポリシーを実行し、ユーザーと場所の構成に対するユーザーアクセスを記録します(この情報はすでにキャッシュで利用可能です)。ノードは1秒ごとにCAとの接続の再確立を試みます。健全な接続が復元されるとすぐに、ノードはセーフモードから移行します。

セーフモードでの実行中は、完全なセキュリティインスペクションが実施されます。Zscalerがユーザーまたはロケーションポリシーをダウンロードできない要求が発生した場合、デフォルトのURLポリシーが適用されます。このデフォルトのポリシーは、法的責任のURLカテゴリーに含まれるすべてのURLへのアクセスをブロックします。法務責任カテゴリーに含まれるものの詳細については、URLカテゴリーについてを参照してください。このモードで実行する際、認証は要求されません。

関連記事s
Public Service EdgeについてグローバルPublic Service Edgeについて