インターネットとSaaSへのセキュアなアクセス(ZIA)
Public Service Edgeについて
Zscalerクラウドの主要コンポーネントであるZIA Public Service Edgesは、統合されたインターネットセキュリティを提供するフル機能のセキュアなインターネットゲートウェイです。すべてのWebトラフィックを双方向で検査してマルウェアを検出し、セキュリティ、コンプライアンス、ファイアウォールの各ポリシーを適用します。各Public Service Edgeには、トラフィックを検査し、ポリシーを適用するための2つの主要モジュール(Webモジュールとファイアウォールモジュール)があります。Public Service Edgeがポリシーを適用する方法の詳細は、ポリシーの実施についてを参照してください。
Public Service Edgeは世界中のZscalerデータセンターに展開されており、何百万もの同時セッションを持つ数十万人の同時ユーザーを処理できます。Public Service Edgeこのため、どこにいても、ユーザーはどのデバイスからでもインターネットにアクセスでき、Public Service Edgeはトラフィックを保護し、企業ポリシーを適用します。Sandbox化を除き、すべてのインスペクションエンジンはPublic Service Edge内で実行されます。
パブリックサービス エッジは、重要なフォールト・トレランス機能を備えています。また、アクティブ-アクティブモードで配備されて可用性と冗長性を保証し、ZscalerはPublic Service Edgeを監視・保守し、継続的な可用性を保証します。
顧客のトラフィックはZscalerのインフラストラクチャ内の他のコンポーネントに渡されることはなく、パブリックサービス エッジはデータをディスクに保存することは一切ありません。パケットデータは検査のためにメモリに保持され、その後、ポリシーに基づいて転送または廃棄されます。トランザクションごとに生成されるログデータは圧縮、トークン化され、安全なTLS接続を介してログルーターにエクスポートされます。ログルーターは、組織ごとに適切な地理的地域でホストされるNanologクラスターにログを転送します。さらに、Public Service EdgeはすべてZscalerのデータセンターに設置されており、最高レベルのデータプライバシーとネットワークセキュリティを提供します。
Zscalerは通常、組織がトラフィックをZscalerクラウド内のPublic Service Edgeに転送することを推奨しています。ただし、Public Service Edgeが適切な選択ではない場合もあります。代替案の詳細については、Private Service Edgeの紹介および仮想サービス エッジについてを参照してください。
Zscalerはまた、そのクラウド全体でいくつかのグローバル(またはゴースト)パブリックサービス エッジを構成しています。これらは、すべてのパブリック・サービス・エッジが知っているダミーのアドレスで、デフォルト・ルートがない環境で使用できます。詳細については、グローバルパブリックサービス エッジについてを参照してください。
公共サービスの端緒と中央官庁
Zscaler中央認証局(CA)は、すべてのカスタマーポリシーと構成設定をホストします。クラウドを監視し、ソフトウェアとデータベースのアップデート、および脅威インテリジェンスについての中心的なロケーションを提供します。Zscalerアーキテクチャにおけるその機能の詳細については、ZIAクラウド アーキテクチャーについてを参照してください。
マルチテナントのZscalerアーキテクチャでは、CAは冗長化されており、複数の異なるZscalerデータセンターでバックアップが行われています。Public Service Edgeは、すべてのポリシー設定をダウンロードするために、CAとの持続的な接続を確立します。新しいユーザーがPublic Service Edgeに接続すると、この接続を通じてCAにポリシー要求が送信されます。その後、CAはそのユーザーに適用されるポリシーを計算し、高度に圧縮されたビットマップとしてポリシーをPublic Service Edgeに送信します。
ダウンロード後、ZIA Admin Portalでポリシーが変更されるまで、ポリシーはキャッシュされます。この場合、組織のキャッシュされたポリシーはすべてパージされ、Public Service Edgeは、ユーザーが次に要求を行ったときに新しいポリシーを要求します。Zscalerクラウドは毎秒[ハートビート]するため、ポリシーが変更されるとすべてのノードに通知されます。すべてのPublic Service Edgeは、組織からの新しい要求を受け取ったときにポリシーの変更をプルできます。ユーザーにとって、これは、どこにいても、次にPublic Service Edgeに接続するときに新しいポリシーを使用することを意味します。
ネットワーク障害やその他の事象により、Public Service EdgeがCAに到達できない、またはCAから構成をダウンロードできない場合、Public Service Edgeは直ちにセーフ・モードに切り替わります。セーフモードでは、Public Service Edgeはキャッシュされたすべてのポリシーを実行し、ユーザーと場所の構成に対するユーザーアクセスを記録します(この情報はすでにキャッシュで利用可能です)。ノードは1秒ごとにCAとの接続の再確立を試みます。健全な接続が復元されるとすぐに、ノードはセーフモードから移行します。
セーフモードでの実行中は、完全なセキュリティインスペクションが実施されます。Zscalerがユーザーまたはロケーションポリシーをダウンロードできない要求が発生した場合、デフォルトのURLポリシーが適用されます。このデフォルトのポリシーは、法的責任のURLカテゴリーに含まれるすべてのURLへのアクセスをブロックします。法務責任カテゴリーに含まれるものの詳細については、URLカテゴリーについてを参照してください。このモードで実行する際、認証は要求されません。