インターネットとSaaSへのセキュアなアクセス(ZIA)
ZIAの構成手順ガイド
このガイドでは、Zscaler Internet Access (ZIA)の使用を開始するために必要な構成の手順について説明します。
ZIAの構成を始める前に、以下の記事をご確認ください。
ZIAの構成
ZIAを構成するには、以下の手順を実行します。
- ステップ1:会社および管理者の情報を更新する
- ステップ2:認証およびプロビジョニングの方法を構成する
グループポリシーとユーザーポリシーを実装し、サービスの詳細なレポート機能を活用するには、ユーザーをプロビジョニングし、Zscalerサービスでユーザーを認証できるようにする必要があります。
プロビジョニングでは、ユーザー名、グループ、および部署をサービスデータベースにアップロードします。認証を有効にすると、Zscalerサービスは受信するトラフィックを識別して、構成された部署、グループ、およびユーザーポリシーを適用し、ユーザーと部署のログ記録とレポートを提供できます。
Zscalerサービスは、ユーザーのプロビジョニングと認証に複数の方法をサポートしています。
詳細については、以下を参照してください。
使用可能な方法のうち、Zscalerでは、認証にSAMLを使用し、プロビジョニングにSCIMを使用することをお勧めします。詳細については、以下を参照してください。
閉じる - ステップ3:トラフィック転送を構成する
Zscalerは、すべてのインターネット トラフィック(すべてのプロトコルのトラフィックおよびすべてのポート宛のトラフィック)をZscalerサービスに転送して保護し、ポリシーが適切に適用されるようにすることを推奨しています。
トラフィック転送を開始する前に、以下を参照してください。
- トラフィック転送方法の選択
- トラフィック転送に関するベストプラクティス
- GREまたはIPSecトンネル用の最適なMTUの決定(GREまたはIPSecトンネルを使用している場合)
トラフィックの転送には、4つの好ましい方法があります。
- GRE
- IPSEC
インターネット プロトコル セキュリティ(IPSec)は、仮想プライベート ネットワーク(VPN)にネットワーク層セキュリティを提供するプロトコル スイートです。詳細については、以下を参照してください。
閉じる - Zscaler Client Connector
Zscaler Client Connectorを使用することで、ユーザーはインターネット トラフィックに対するZscalerサービスのすべての利点と、内部リソースへのきめ細かいポリシー ベースのアクセスを1つのポイントから得ることができます。詳細は、以下を参照してください。詳細は、以下を参照してください。
閉じる - PACファイル
プロキシ自動構成(PAC)ファイルは、宛先サーバに直接トラフィックを転送するのではなく、プロキシサーバにトラフィックを転送するようにブラウザーに指示するテキストファイルです。
PACファイルを使用してZscalerサービスにトラフィックを転送する場合、組織はトンネリング、サロゲートIP、Zscaler Client Connectorと組み合わせて使用することを推奨しています。
詳細については、以下を参照してください。
閉じる
Private Service Edgeと仮想サービス エッジ
場合によっては、トラフィックをパブリックZIA Public Service Edgeに転送することが、組織の一部では正しい選択ではない場合があります。この場合、代わりにZIA Private Service Edge (以前のプライベートZENまたはPZEN)または仮想サービス エッジ(以前の仮想ZENまたはVZEN)に転送することを選択できます。詳細は、以下を参照してください。
閉じる - ステップ4:ロケーションを構成する
ロケーションは、組織がインターネット トラフィックを送信するさまざまなネットワークを識別します。詳細は、以下を参照してください。
閉じる - ステップ5:ポリシーを構成する
- ステップ6:分析を構成する
Zscalerサービスは、世界中のリアルタイムのログ統合を提供するため、ユーザーが世界のどこにいても、ユーザーが実行したすべてのトランザクションを表示できます。また、組織のサブスクリプションに基づいて幅広い標準レポートを表示し、最大500個のカスタムレポートを作成できます。詳細は、以下を参照してください。
また、NSS(Nanolog Streaming Service)を活用することも可能です。これは、仮想マシン(VM)を使用して、Zscaler NSSからSplunkやArcSightなどのセキュリティ情報およびイベント管理(SIEM)システムにトラフィックログをリアルタイムでストリームし、リアルタイムのアラート、他のデバイスのログとの相関、長期のローカルログアーカイブを可能にするものです。詳細については、Nanolog配信サービス(NSS)について をご覧ください。
閉じる