このガイドでは、Zscaler Internet Access (ZIA)の使用を開始するために必要な構成の手順について説明します。

ZIAの構成を始める前に、以下の記事をご確認ください。

• ZIAクラウド アーキテクチャーについて
• エンド ユーザー サブスクリプション契約(EUSA)への同意
• Zscalerヘルプ ブラウザーの使用

ZIAの構成

ZIAを構成するには、以下の手順を実行します。

• ステップ1:会社および管理者の情報を更新する

  会社情報を更新し、必要に応じて管理者を構成するには、以下を参照してください。

  • 会社情報について
  • 管理者について
  • ZIA管理者の追加
  • ロール管理について
  • 管理者ロールの追加

  閉じる
• ステップ2:認証およびプロビジョニングの方法を構成する

  グループポリシーとユーザーポリシーを実装し、サービスの詳細なレポート機能を活用するには、ユーザーをプロビジョニングし、Zscalerサービスでユーザーを認証できるようにする必要があります。

  プロビジョニングでは、ユーザー名、グループ、および部署をサービスデータベースにアップロードします。認証を有効にすると、Zscalerサービスは受信するトラフィックを識別して、構成された部署、グループ、およびユーザーポリシーを適用し、ユーザーと部署のログ記録とレポートを提供できます。

  Zscalerサービスは、ユーザーのプロビジョニングと認証に複数の方法をサポートしています。

  詳細については、以下を参照してください。

  • ユーザーのプロビジョニングと認証
  • プロビジョニングと認証の方法の選択

  使用可能な方法のうち、Zscalerでは、認証にSAMLを使用し、プロビジョニングにSCIMを使用することをお勧めします。詳細については、以下を参照してください。

  • SAMLについて
  • SAMLの設定
  • SCIMについて
  • SCIMの設定

  閉じる
• ステップ3:トラフィック転送を構成する

  Zscalerは、すべてのインターネット トラフィック(すべてのプロトコルのトラフィックおよびすべてのポート宛のトラフィック)をZscalerサービスに転送して保護し、ポリシーが適切に適用されるようにすることを推奨しています。

  トラフィック転送を開始する前に、以下を参照してください。

  • トラフィック転送方法の選択
  • トラフィック転送に関するベストプラクティス
  • GREまたはIPSecトンネル用の最適なMTUの決定(GREまたはIPSecトンネルを使用している場合)

  トラフィックの転送には、4つの好ましい方法があります。

  • GRE

    汎用ルーティング カプセル化(GRE)トンネルは、インターネット宛てのトラフィックを企業ネットワークからZscalerサービスに転送するのに最適です。詳細については、以下を参照してください。

    • 汎用ルーティング カプセル化(GRE)の紹介
    • GREトンネルの設定

    ロケーションの設定は、GREトンネルの要件です。詳細については、この記事の手順4を参照してください。

    閉じる
  • IPSEC

    インターネット プロトコル セキュリティ(IPSec)は、仮想プライベート ネットワーク(VPN)にネットワーク層セキュリティを提供するプロトコル スイートです。詳細については、以下を参照してください。

    • IPSec VPNの紹介
    • IPSec VPNトンネルの設定

    閉じる
  • Zscaler Client Connector

    Zscaler Client Connectorを使用することで、ユーザーはインターネット トラフィックに対するZscalerサービスのすべての利点と、内部リソースへのきめ細かいポリシー ベースのアクセスを1つのポイントから得ることができます。詳細は、以下を参照してください。詳細は、以下を参照してください。

    • Zscaler Client Connectorとは何ですか？
    • Zscaler Client Connectorの設定手順ガイド

    閉じる
  • PACファイル

    プロキシ自動構成(PAC)ファイルは、宛先サーバに直接トラフィックを転送するのではなく、プロキシサーバにトラフィックを転送するようにブラウザーに指示するテキストファイルです。

    PACファイルを使用してZscalerサービスにトラフィックを転送する場合、組織はトンネリング、サロゲートIP、Zscaler Client Connectorと組み合わせて使用することを推奨しています。

    詳細については、以下を参照してください。

    • PACファイルについて
    • PACファイルの記述に関するベストプラクティス
    • PACファイルの記述

    閉じる

  Private Service Edgeと仮想サービス エッジ

  場合によっては、トラフィックをパブリックZIA Public Service Edgeに転送することが、組織の一部では正しい選択ではない場合があります。この場合、代わりにZIA Private Service Edge (以前のプライベートZENまたはPZEN)または仮想サービス エッジ(以前の仮想ZENまたはVZEN)に転送することを選択できます。詳細は、以下を参照してください。

  • Private Service Edgeと仮想サービスエッジの選択
  • Private Service Edgeの紹介
  • 仮想サービスエッジについて

  閉じる
• ステップ4:ロケーションを構成する

  ロケーションは、組織がインターネット トラフィックを送信するさまざまなネットワークを識別します。詳細は、以下を参照してください。

  • ロケーションについて
  • ロケーションの設定
  • サブロケーションについて
  • サブロケーションの設定

  閉じる
• ステップ5:ポリシーを構成する

  ポリシーを作成すると、ユーザーがコンテンツを操作する方法をきめ細かくコントロールできます。

  ポリシーを構成する前に、以下を参照してください。

  • ポリシーの実施について
  • 範囲と制限
  • ZIA管理ポータルでの変更の保存とアクティブ化
  • バックアップと復元について

  設定できるさまざまな種類のポリシーの詳細については、ポリシーを参照してください。

  閉じる
• ステップ6:分析を構成する

  Zscalerサービスは、世界中のリアルタイムのログ統合を提供するため、ユーザーが世界のどこにいても、ユーザーが実行したすべてのトランザクションを表示できます。また、組織のサブスクリプションに基づいて幅広い標準レポートを表示し、最大500個のカスタムレポートを作成できます。詳細は、以下を参照してください。

  • ダッシュボードについて
  • 解析について
  • 解析ログについて
  • レポート

  また、NSS(Nanolog Streaming Service)を活用することも可能です。これは、仮想マシン(VM)を使用して、Zscaler NSSからSplunkやArcSightなどのセキュリティ情報およびイベント管理(SIEM)システムにトラフィックログをリアルタイムでストリームし、リアルタイムのアラート、他のデバイスのログとの相関、長期のローカルログアーカイブを可能にするものです。詳細については、Nanolog配信サービス(NSS)について をご覧ください。

  閉じる