icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

中国でのZIA使用の管理

Zscalerの中国のプレミアム インターネット アクセス機能は、中国本土に居住するユーザーに高速で安全なインターネット アクセスを提供します。この機能により、ユーザーはSalesforce、Office 365などの国際的なサイトやアプリケーションにアクセスできます。Zscaler Private Access (ZPA)の中国プレミアム サービスをお探しの場合は、「中国でのZPA使用の管理」を参照してください。

プレミアムサービス

中国本土から海外サイトにアクセスする必要のあるユーザーには、以下のプレミアムサービスを提供します。

  • 中国プレミアム サービスは、中国国内のパートナー サイトでホストされているPrivate Service Edgeを使用します。このパートナー サイトには、中国の国内インターネットへのアクセスと、国際的なWebサイトとSoftware as a Service (SaaS)アプリケーションへのプレミアム アクセスの両方を持つ、プレミアム中国インターネット サービス プロバイダー(ISP)があります。このサービスにより、中国国内のトラフィックを遮断して検査し、パートナー プレミアム ファブリックをあらゆる目的地(国内または国際)で利用できます。このサービスには、トラフィック転送の制限はありません。このサービスを使用すると、任意のエンドポイントから中国のZscalerパートナーが管理するPrivate Service Edgeへのインターネット プロトコル セキュリティ(IPSec)/汎用ルーティング カプセル化(GRE)トンネルを確立できます。このサービスは、パブリックZscalerデータ センター(DC)と同様に使用できます。

    中国プレミアムサービスのトラフィックフロー図

    Zscalerは、パートナーのプレミアム ファブリックを管理します。

    このソリューションの重要なメリットは次のとおりです。

    • 共有プレミアム帯域幅
    • 複数の入力トンネルが可能です(GRE/IPSec)
    • Z-Tunnel 1.0
    • Z-Tunnel 2.0 (任意のトラフィック、任意のポート)
    • 支店でのトラフィック分割は不要
    • 中国国内のトラフィックを遮断し、検査できる
    • 国内および国際トラフィックへのアクセス
    • 国際トラフィックは中国グレートファイアウォール(GFW)経由でルーティングされます。
    • 中国の規制とSLAに準拠
    • バックアップが利用可能です。有効にするには、Zscalerサポートにお問い合わせください。

    サービスの有効化

    お客様の組織でサービスを有効にするには、次のことが必要です。

    1. このサービスを購入し、Zscalerによるプロビジョニングを受けてください。
    2. 送信元で帯域幅を制限するか、Zscaler帯域幅コントロールを使用してトラフィックを制限します。

    サービスの提供

    お客様の組織でサービスをプロビジョニングするには、次のことが必要です。

    1. Zscalerサポートチケットを開いて、GRE用の中国POPに送信元トンネルIPを提供します。

      Zscalerは仮想IP(VIP)をサービスに関連付け、48時間以内にZIA Public Service Edgeに必要な変更を行います。

    2. IPSec/GREトンネルの帯域幅制限を設定して、サービス用に購入した帯域幅を超えないようにします。

      発注書で購入した帯域幅を表示できます。

    3. 組織がプロビジョニングされたら、VIPへのトンネルを設定します。
    4. Zscalerサポートと連携してトラフィックを転送し、トラフィックの流れを確認します。

    中国プレミアム バックアップ

    Zscalerにより、プライマリーDCの冗長性として、中国内の代替サイト(セカンダリーDC)にトラフィックを送信できるようになります。北京と上海のDCにアクセスし、ユーザーのロケーションに基づいてどちらかをプライマリーDCとして使用できます。また、いずれかのDCの割り当てをリクエストすることもできます。Zscalerは状況を確認し、適切なDCを割り当てます。プライマリーDC(北京など)に障害が発生した場合、トラフィックはセカンダリーDC(上海など)に転送されます。中国プレミアム サービス用に購入した帯域幅を超えないようにする必要があります。たとえば、北京で100Mbpsの帯域幅が必要な場合、上海と北京の全体の帯域幅が100Mbpsを超えてはなりません。

    • バックアップ帯域幅は、中国プレミアム サービスを利用している場合にのみ購入できます。中国プレミアム バックアップが必要な場合は、Zscalerサポートにお問い合わせください。
    • その際には必ず、北京と上海の間で帯域幅をどのように分割するかをZscalerアカウント チームに伝えるか、北京と上海に近いユーザーの分布を伝えてください。

    バックアップ ソリューションを設定して展開する際には、次のことを行う必要があります。

    • GRE/IPSecトンネル構成でプライマリーDCとセカンダリーDCを定義します(たとえば、北京のオフィスでトラフィックを北京のZscaler Private Service Edgeに転送する場合、それをGRE/IPSecトンネル構成のプライマリーDCとして定義し、上海をセカンダリーDCとして定義します)。
    • リモート ユーザー用のPACファイルで北京DCと上海DCの両方のサブクラウドを定義します。つまり、ユーザーのロケーションに基づいて最も近いDCに接続します。
    Zscalerの中国プレミアム(バックアップDC付き)閉じる

  • 中国プレミアム プラス サービスは、中国国内のパートナー サイトでホストされているPrivate Service Edgeを使用します。このパートナー サイトは、中国国内のインターネットと、海外のWebサイトとSaaSアプリケーションへの専用リンクの両方にアクセスできる中国のプレミアムISPを備えています。このサービスにより、中国国内のトラフィックを遮断して検査し、パートナー プレミアム ファブリックをあらゆる目的地(国内または国際)で利用できます。このサービスには、トラフィック転送の制限はありません。このサービスは、帯域幅とユーザー数が最も多い組織に最適です。このサービスは、パブリックZscaler DCと同様に使用できます。

    中国プレミアムプラスサービスのトラフィックフロー図

    Zscalerは、パートナーのプレミアム ファブリックを管理します。

    中国プレミアム アクセス プラスのメリットは次のとおりです。

    • 専用の国際帯域幅
    • 帯域幅コントロールオプション
    • 複数のイングレス トンネル(GRE/IPSec)を設定できる
    • Z-Tunnel 1.0
    • Z-Tunnel 2.0 (任意のトラフィック、任意のポート)
    • 支店でのトラフィック分割は不要
    • 中国国内のトラフィックを遮断し、検査する
    • 国内および国際トラフィックへのアクセス
    • 中国の規制とSLAに準拠
    • (省略可)コンテンツフィルタリングへの対応
    • バックアップが利用可能です。有効にするには、Zscalerサポートにお問い合わせください。

    サービスの有効化

    お客様の組織でサービスを有効にするには、次のことが必要です。

    1. このサービスを購入し、Zscalerによるプロビジョニングを受けてください。
    2. 送信元で帯域幅を制限するか、Zscaler帯域幅コントロールを使用してトラフィックを制限します。

    サービスの提供

    お客様の組織でサービスをプロビジョニングするには、次のことが必要です。

    1. Zscalerサポートチケットを開いて、GRE用の中国POPに送信元トンネルIPを提供します。

      ZscalerはVIPをサービスに関連付け、48時間以内にZIA Public Service Edgeに必要な変更を行います。

    2. IPSec/GREトンネルの帯域幅制限を設定して、サービス用に購入した帯域幅を超えないようにします。

      発注書で購入した帯域幅を表示できます。

    3. 組織がプロビジョニングされたら、VIPへのトンネルを設定します。
    4. Zscalerサポートと連携してトラフィックを転送し、トラフィックの流れを確認します。

    中国プレミアム プラス バックアップ

    Zscalerにより、プライマリーDCの冗長性として、中国内の代替サイト(セカンダリーDC)にトラフィックを送信できるようになります。北京と上海のDCにアクセスし、ユーザーのロケーションに基づいてどちらかをプライマリーDCとして使用できます。また、いずれかのDCの割り当てをリクエストすることもできます。Zscalerは状況を確認し、適切なDCを割り当てます。プライマリーDC(北京など)に障害が発生した場合、トラフィックはセカンダリーDC(上海など)に転送されます。China Premium Plus サービス用に購入した帯域幅を超えないようにする必要があります。 たとえば、北京で100Mbpsの帯域幅が必要な場合、上海と北京の全体の帯域幅が100Mbpsを超えてはなりません。

    • バックアップ帯域幅は、中国プレミアム プラス サービスを利用している場合にのみ購入できます。中国プレミアム プラス バックアップが必要な場合は、Zscalerサポートにお問い合わせください。
    • その際には必ず、北京と上海の間で帯域幅をどのように分割するかをZscalerアカウント チームに伝えるか、北京と上海に近いユーザーの分布を伝えてください。

    バックアップ ソリューションを設定して展開する際には、次のことを行う必要があります。

    • GRE/IPSecトンネル構成でプライマリーDCとセカンダリーDCを定義します(たとえば、北京のオフィスでトラフィックを北京のZscaler Private Service Edgeに転送する場合、それをGRE/IPSecトンネル構成のプライマリーDCとして定義し、上海をセカンダリーDCとして定義します)。
    • リモート ユーザー用のPACファイルで北京DCと上海DCの両方のサブクラウドを定義します。つまり、ユーザーのロケーションに基づいて最も近いDCに接続します。
    Zscalerの中国プレミアム プラス(バックアップ付き)閉じる

中国でのZIAの詳細は、中国でのZscaler Internet Accessの展開を参照してください。

DNSに問題があるWebサイトにアクセスするには、DNSトラフィックをZscalerに転送する必要があります。問題がDNSポイズニングとして特定された場合、Zscalerはポリシーを変更する時間を必要とします。DNSの変更については、Zscalerサポートにお問い合わせください。変更が行われるまでに最大3日かかります。

関連記事
中国でのZIA使用の管理