Zscalerは、シングル スキャン マルチアクション(SSMA)テクノロジーを備えたZIA パブリック サービス エッジと呼ばれるフル機能のインライン プロキシーを使用して、組織を出入りするトラフィックを検査し、ポリシーを適用します。SSMAテクノロジーはトラフィックのインスペクションを処理します。ポリシーの適用は、ZIA Public Service EdgeのWebモジュールとファイアウォール モジュールで行われます。

SSMAを使用すると、インスペクション エンジンは1回のパスですべてのコンテンツをスキャンできます。パケットは、高度に最適化されたカスタム サーバーの共有メモリーに配置され、ZIA Public Service Edge上のすべてのCPUから同時にアクセスできます。各機能に専用のCPUを使用することで、すべてのエンジンが同じパケットを同時に検査できます。このアプローチは、各セキュリティ サービスがパケットを独立して処理し、各ホップに増分レイテンシーが追加する物理アプライアンスまたは仮想アプライアンスの連鎖モデルとはまったく異なります。SSMAテクノロジーにより、Zscalerサービスはさまざまなセキュリティ エンジンに基づくポリシーを最小限のレイテンシーで適用します。SSMAインスペクション プロセスが完了すると、ZIA Public Service Edgeは特定の優先順位でポリシーを実行します。

各ZIA Public Service Edgeには、ポリシーを適用するための2つのメイン モジュール(Webモジュールとファイアウォール モジュール)があります。次のセクションでは、トラフィックがモジュールをどのように流れるかを示します。

• [アウトバウンドWebトラフィック]: ZIA Public Service Edgeは、組織からインターネットへのアウトバウンドWebトラフィックを受信すると、ポリシー評価のためにファイアウォール モジュールにトラフィックを送信します。トラフィックがファイアウォール ポリシーに違反している場合、トランザクションはブロックされます。トラフィックがファイアウォール ポリシーに違反していない場合は、ポリシー評価のためにトラフィックをWebモジュールに送信します。Webモジュールでは、トラフィックがWebポリシーに違反すると、トランザクションがブロックされます。トラフィックがWebポリシーに違反していない場合は、インターネットへのトラフィックが許可されます。
• [アウトバウンド非Webトラフィック]: ZIA Public Service Edgeは、80/443以外のポート(またはその他のHTTPまたはHTTPSポート)に送信されるアウトバウンド非Webトラフィックを受信すると、ポリシー評価のためにトラフィックをファイアウォール モジュールに直接送信します。トラフィックがファイアウォール ポリシーに違反する場合、トランザクションはブロックされます。トラフィックがファイアウォール ポリシーに違反しない場合は、インターネットへのトラフィックが許可されます。
• [インバウンドWebトラフィック]: ZIA Public Service Edgeは、HTTP GETまたはPOSTリクエストにレスポンスしてインターネットからインバウンドWebトラフィック(ポート80/443のHTTPまたはHTTPSトラフィック)を受信すると、ポリシー評価のためにそのトラフィックをWebモジュールに送信します。トラフィックがWebポリシーに違反する場合、トランザクションはブロックされます。トラフィックがWebポリシーに違反しない場合は、組織へのトラフィックが許可されます。

Webトラフィックがファイアウォール ポリシーに違反すると、ファイアウォール ログとWebインサイト ログの両方で、トラフィックがブロックされたことが示されます。ただし、ファイアウォール ポリシーには合格したがWebポリシーに違反した場合、ファイアウォール インサイトのログには、ファイアウォール ポリシーが許可されていることが示されますが、Webインサイトのログにはブロックされていることが示されます。

Webトラフィックに対するポリシーの適用

すべてのWebトラフィックは最初にファイアウォール モジュールで評価され、ファイアウォール モジュールを通過する場合(ファイアウォール ポリシーに違反しなかった場合)のみWebモジュールに転送され、そこでトラフィックはWebポリシーに対して評価されます。

• ファイアウォール モジュールでのポリシーの適用

  ファイアウォール モジュールのWebトラフィックに対するポリシーの適用には、次の条件が満たされている必要があります。これらの条件が満たされると、ファイアウォール モジュールはWebトラフィックにポリシーを適用します。

  • トラフィックは、ユーザーからWebに向かうアウトバウンドです。
  • 組織は、そのロケーションに対してファイアウォール ポリシーを有効にしています。

  組織のWebポリシーでトランザクションが許可されているが、競合するファイアウォール ポリシーによってブロックされている場合、サービスはファイアウォール ポリシーを適用します。たとえば、Webクラウド アプリ制御ポリシーでアプリケーションのBox.comが許可されているが、ファイアウォール ポリシーでブロックされている場合、サービスはトランザクションをブロックします。

  明示的な転送トラフィックを使用するリモート ユーザーでは、Zscalerは内部と外部の両方のタプルを評価します。詳細は、ファイアウォールHTTPトンネル接続を参照してください。

  閉じる
• Webモジュールでのポリシーの適用

  ユーザーのHTTPまたはHTTPSトランザクションがファイアウォール モジュールによってブロックされていない場合、ZIA Public Service Edgeはポリシー適用のためにトラフィックをWebモジュールに送信します。

  ZIA Public Service EdgeがWebトラフィック(ポート80/443上のHTTPまたはHTTPSトラフィック)を受信すると、Webモジュールは最初にトラフィックを検査し、組織のWebポリシーを適用します。Webモジュールには、さまざまなタイプのWebトラフィックにポリシーを適用する特定の順序があります。サービスは、トラフィックを検査する際にポリシー違反を検出すると、直ちにトランザクションをブロックし、保留中のWebポリシーを適用しません。

  ZIA Public Service Edgeは、受信したWebトラフィックのタイプ、トラフィックが暗号化されているかどうか、SSLインスペクションが有効になっているかどうかに応じて、トラフィックにポリシーを適用します。

  Webトラフィックのタイプによるポリシー適用の順序については、以下を参照してください。

  • HTTPトラフィック ポリシーと適用順序

    適用されるポリシーは、トランザクションがHTTP GETリクエスト、HTTP POSTリクエストまたはHTTP GETレスポンスまたはPOSTレスポンスのいずれであるかによって異なります。いずれの場合も、Webモジュールがトランザクションが特定のポリシーに違反していると判断すると、ZIA Public Service Edgeはそのトランザクションを直ちにブロックし、その後のポリシーの適用を継続しません。ZIA Public Service Edgeは、ポリシー評価のためにトラフィックをファイアウォール モジュールに送信しません。ただし、ファイアウォール ログには、ユーザーのWebトランザクションがブロックされていることを示します。

    • HTTP GETリクエスト

      これは、Webからリソース(Webページなど)を取得するためのユーザー リクエストです。ZIA Public Service EdgeはGETリクエストをスキャンし、次の順序でポリシーを適用します。

      1. [カスタム悪意のあるURL(高度な脅威対策)]:ZIA Public Service Edgeは、さまざまなパートナーからのフィードで毎日更新される広範なURLデータベースを使用して、リクエストされたURLに悪意のあるコンテンツがあるかどうかを確認します(つまり、ZIA Public Service Edgeは、組織のカスタム高度な脅威対策拒否リストにURLが存在するかどうかを確認します)。

      2. [クラウド アプリ制御]:ZIA Public Service Edgeは、リクエストされたアプリケーションが組織によって構成されたクラウド アプリ制御ポリシーに違反しているかどうかを確認します。

         デフォルトでは、クラウド アプリ制御ポリシーにより明示的に許可されたクラウド アプリをユーザーが要求した場合、サービスはクラウド アプリ制御ポリシーのみを適用し、URLフィルタリング ポリシーは適用しません。その後、サービスはブラウザー コントロールの評価に進みます。たとえば、Facebookの表示を許可するクラウド アプリ制御ポリシー ルールがあるが、www.facebook.comをブロックするURLフィルタリング ポリシー ルールを除く場合、ユーザーは引き続きFacebookを表示できます。これは、デフォルトでは、クラウド アプリ制御ポリシー ルールでトランザクションが許可されている場合、サービスはURLフィルタリング ポリシーを適用しないためです。

         ただし、詳細設定で[URLフィルタリングへのカスケード接続を許可]を有効にすると、この動作は変わります。そうすると、サービスは、トランザクションを許可するクラウド アプリ制御ポリシー ルールを適用する場合でも、URLフィルタリング ポリシーを適用します。したがって、前の例では、カスケードが有効になっているため、サービスはURLフィルタリング ポリシーを適用し、ユーザーをFacebookからブロックします。ただし、例が変更され、クラウド コントロール ポリシー ルールでFacebookをブロックし、URLフィルタリングでは許可するようにした場合、[URLフィルタリングへのカスケード接続を許可]が有効になっていてもFacebookはブロックされます。
         ユーザーが、クラウド アプリ制御ポリシー ルールを設定していないクラウド アプリをリクエストした場合(たとえば、ユーザーがeBay.comをリクエストし、eBay.com用のクラウド アプリ制御ルールがない場合)、サービスは引き続きURLフィルタリング ポリシーを評価して適用します。

      3. [URLフィルタリング]: ZIA Public Service Edgeは、リクエストされたURLが、組織のURLフィルタリング ポリシーによってブロックされているURLカテゴリーまたはカスタムURLカテゴリーに属しているかどうかを確認します。ユーザーがリクエストしたURLが、クラウド アプリ制御ルールによって明示的に許可されているクラウド アプリ用である場合、サービスはこのポリシーをスキップして次のポリシーに移動します。唯一の例外は、組織が詳細設定で[URLフィルタリングへのカスケード]を有効にしている場合です。
         ワイルドカードを含むURLフィルタリング ポリシー ルールを適用する場合、ZIA Public Service Edgeは常に最初に特定の一致を検索します。たとえば、ワイルドカード エントリー.example.comを含むカスタム カテゴリー1、abc.example.comを含むカスタム カテゴリー2、「ロケーションXでは、カスタム カテゴリー1のすべてをブロック」というURLフィルタリング ポリシー ルールを設定したとします。
         この場合、ユーザーがロケーションXからabc.example.comにアクセスしようとしても、そのドメイン名はブロックされていないカスタム カテゴリー2にあるため、ブロックされません。
      4. [セキュリティ例外]:組織に例外が設定されている場合、ZIA Public Service EdgeはリクエストされたURLが組織の許可リストに含まれているかどうかを確認します。URLは、マルウェア対策ポリシーまたは高度な脅威対策ポリシーの[セキュリティ例外]タブで設定されます。URLが[セキュリティ例外]に含まれている場合、ZIA Public Service Edgeは、一覧表示されているマルウェア対策ポリシー、高度な脅威対策ポリシー、サンドボックスポリシーをスキップします。
      5. [ブラウザー コントロール]:ZIA Public Service Edgeは、ユーザーのブラウザー、またはユーザーのブラウザー内のプラグインとアプリケーションが組織のブラウザー コントロール ポリシーに違反していないかどうかを確認します。
      6. [国ベースのブロッキング(高度な脅威対策]:ZIA Public Service Edgeは、高度な脅威対策ポリシーの下で疑わしい送信先としてブロックした国のサーバーにそのリクエストが送信されているかどうかを確認します。ユーザーがリクエストしたURLがセキュリティ例外に該当する場合、サービスはこのポリシーをスキップし、次のポリシーに移動します。
      7. [IPSシグネチャ検出(高度な脅威対策)]:ZIA Public Service Edgeは、シグネチャベースの検出を使用してリクエストをチェックし、ボットネット、XSS、フィッシング、悪意あるアクティブ コンテンツ、およびその他の高度な脅威に対する保護を提供します。ユーザーがリクエストしたURLがセキュリティ例外に該当する場合、サービスはこのポリシーをスキップし、次のポリシーに移動します。
      8. [疑わしいコンテンツの保護(高度な脅威対策)]: ZIA Public Service Edgeは、疑わしいコンテンツの保護(ページリスク^TM)の値を計算し、その値が高度な脅威対策ポリシーで設定された値を超えるとページをブロックします。ユーザーがリクエストしたURLがセキュリティ例外に該当する場合、サービスはこのポリシーをスキップし、次のポリシーに移動します。
      9. [P2Pコントロール(高度な脅威対策)]:ZIA Public Service Edgeは、リクエストされたアプリケーションが禁止されているP2Pファイル共有、アノニマイザー、またはVoIPアプリケーションであるかどうかを確認します。このチェックは、高度な脅威対策ポリシーに該当します。
      10. [帯域幅コントロール]:ZIA Public Service Edgeは、組織の帯域幅コントロールポリシーとユーザーのロケーションでの現在の帯域幅使用量に基づいて、そのリクエストが帯域幅全体または削減帯域幅のどちらで許可されているかを確認します。

      閉じる
    • HTTP POSTリクエスト

      これは、Webにデータを送信または投稿するためのユーザーリクエストです（たとえば、Webメールで送信された電子メールやソーシャルネットワーキングサイトへの投稿）。ZIA Public Service Edgeは、POSTリクエストをスキャンし、次の順序でポリシーを適用します。

      1. [カスタムの悪意のあるURL]: ZIA Public Service Edgeは、リクエストされたURLが組織のカスタム高度な脅威対策拒否リストに存在するかどうかを確認します。
      2. [クラウド アプリ制御]:ZIA Public Service Edgeは、リクエストされたアプリケーションが組織によって構成されたクラウド アプリ制御ポリシーに違反しているかどうかを確認します。
      3. [URLフィルタリング]:ZIA Public Service Edgeは、リクエストされたURLが、組織のURLフィルタリング ポリシーによってブロックされたURLカテゴリーまたはカスタムURLカテゴリーに属しているかどうかを確認します。
      4. [セキュリティ例外]:組織に例外が設定されている場合、ZIA Public Service EdgeはリクエストされたURLが組織の許可リストに含まれているかどうかを確認します。これらは、マルウェア対策ポリシーまたは高度な脅威対策ポリシーの[セキュリティ例外]タブで設定されます。URLが[セキュリティ例外]に含まれている場合、ZIA Public Service Edgeは、一覧表示されているマルウェア対策ポリシー、高度な脅威対策ポリシー、サンドボックスポリシーをスキップします。
      5. [ブラウザー コントロール]:ZIA Public Service Edgeは、ユーザーのブラウザー、またはユーザーのブラウザー内のプラグインとアプリケーションが組織のブラウザー コントロール ポリシーに違反していないかどうかを確認します。
      6. [国ベースのブロッキング(高度な脅威対策]:ZIA Public Service Edgeは、高度な脅威対策ポリシーの下で疑わしい送信先としてブロックした国のサーバーにそのリクエストが送信されているかどうかを確認します。ユーザーがリクエストしたURLがセキュリティ例外に該当する場合、サービスはこのポリシーをスキップし、次のポリシーに移動します。
      7. [悪意のあるURLブロック(高度な脅威対策)]: ZIA Public Service Edgeは、さまざまなパートナーからのフィードで毎日更新される広範なURLデータベースを使用して、リクエストされたURLに悪意のあるコンテンツが含まれているかどうかを確認します。このチェックは、高度な脅威対策ポリシーに該当します。ユーザーがリクエストしたURLがセキュリティ例外に該当する場合、サービスはこのポリシーをスキップして次のポリシーに移動します。
      8. [IPSシグネチャ検出(高度な脅威対策)]: ZIA Public Service Edgeは、シグネチャベースの検出を使用してリクエストをチェックし、ボットネット、XSS、フィッシング、悪意あるアクティブ コンテンツ、およびその他の高度な脅威に対する保護を提供します。ユーザーがリクエストしたURLがセキュリティ例外に該当する場合、サービスはこのポリシーをスキップし、次のポリシーに移動します。ZIA Public Service Edgeは、シグネチャベースの検出を使用してリクエストをチェックし、ボットネット、XSS、フィッシング、悪意のあるアクティブ コンテンツ、およびその他の高度な脅威に対する保護を提供します。
      9. [疑わしいコンテンツの保護(高度な脅威対策)]: ZIA Public Service Edgeは、疑わしいコンテンツの保護(ページリスク^TM)の値を計算し、その値が高度な脅威対策ポリシーで設定された値を超えるとページをブロックします。ユーザーがリクエストしたURLがセキュリティ例外に該当する場合、サービスはこのポリシーをスキップし、次のポリシーに移動します。
      10. [マルウェア対策]: ZIA Public Service Edgeは、リクエスト内のファイルをウイルス対策およびスパイウェア対策シグネチャと照合します。このサービスには、10MBを超えるファイルを処理するための専用スレッドがあり、大きなファイルの評価によってボトルネックが発生したり、小さなファイルの評価が遅れたりしないようにします。このチェックは、マルウェア対策ポリシーに該当します。ユーザーがリクエストしたURLがセキュリティ例外に該当する場合、サービスはこのポリシーをスキップし、次のポリシーに移動します。
      11. [ファイルタイプのコントロール]:ZIA Public Service Edgeは、POSTリクエストがファイルタイプのコントロール ポリシーに違反しているかどうかを確認します。
      12. [情報漏洩防止]:ZIA Public Service Edgeは、POSTリクエストに組織のDLPポリシーに違反するコンテンツが含まれているかどうかを確認します。
      13. [P2Pコントロール]:ZIA Public Service Edgeは、リクエストされたアプリケーションが禁止されているP2Pファイル共有、アノニマイザー、またはVoIPアプリケーションであるかどうかを確認します。このチェックは、高度な脅威対策ポリシーに該当します。
      14. [帯域幅コントロール]:ZIA Public Service Edgeは、組織の帯域幅コントロールポリシーとユーザーのロケーションでの現在の帯域幅使用量に基づいて、そのリクエストが帯域幅全体または削減帯域幅のどちらで許可されているかを確認します。

      閉じる
    • HTTP GETまたはPOSTレスポンス

      これは、HTTP GETまたはPOSTリクエストに応答して宛先ホストからユーザーに送信して戻されるデータです。ZIA Public Service Edgeはレスポンスをスキャンし、次の順序でポリシーを適用します。

      1. [セキュリティ例外]:組織に例外が設定されている場合、ZIA Public Service EdgeはレスポンスURLが組織の許可リストに含まれているかどうかを確認します。これらは、マルウェア対策ポリシーまたは高度な脅威対策ポリシーの[セキュリティ例外]タブで設定されます。URLが[セキュリティ例外]に含まれている場合、ZIA Public Service Edgeは、一覧表示されているマルウェア対策ポリシー、高度な脅威対策ポリシー、サンドボックスポリシーをスキップします。
      2. [IPSシグネチャ検出(高度な脅威対策)]: ZIA Public Service Edgeは、シグネチャベースの検出を使用してレスポンスをチェックし、ボットネット、XSS、フィッシング、悪意あるアクティブ コンテンツ、およびその他の高度な脅威に対する保護を提供します。ユーザーが要求したURLがセキュリティ例外に該当する場合、サービスはこのポリシーをスキップし、次のポリシーに移動します。ZIA Public Service Edgeは、シグネチャベースの検出を使用してリクエストをチェックし、ボットネット、XSS、フィッシング、悪意のあるアクティブ コンテンツ、およびその他の高度な脅威に対する保護を提供します。
      3. [疑わしいコンテンツの保護]: ZIA Public Service Edgeは、 疑わしいコンテンツの保護(ページリスク^TM)の値を計算し、その値が高度な脅威対策ポリシーで設定された値を超えるとページをブロックします。このチェック全体は、高度な脅威対策ポリシーに該当します。ユーザーがリクエストしたURLがセキュリティ例外に該当する場合、サービスはこのポリシーをスキップし、次のポリシーに移動します。
      4. [サンドボックス(既知の悪意のあるファイルのチェック)]: ZIA Public Service Edgeは、レスポンスにサンドボックス エンジンによって以前に識別された悪意のあるファイルが含まれているかどうかを確認します。レスポンスURLがセキュリティ例外に該当する場合、サービスはこのポリシーをスキップして次のポリシーに移動します。
      5. [マルウェア対策]:ZIA Public Service Edgeは、レスポンス内のファイルをウイルス対策およびスパイウェア対策シグネチャと照合します。このサービスには、10MBを超えるファイルを処理するための専用スレッドがあり、大きなファイルの評価によってボトルネックが発生したり、小さなファイルの評価が遅れたりしないようにします。このチェックは、マルウェア対策ポリシーに該当します。ユーザーがリクエストしたURLがセキュリティ例外に該当する場合、サービスはこのポリシーをスキップし、次のポリシーに移動します。
      6. [ファイルタイプのコントロール]:ZIA Public Service Edgeは、レスポンス内のファイルがファイルタイプのコントロール ポリシーに違反していないかどうかを確認します。
      7. Sandbox（不明なファイルのチェック）：レスポンス内のファイルがSandboxエンジンによって悪意あるファイルとして以前に識別されていない場合、サービスはファイルの分析を実行して悪意ある動作を検出します。応答するURLが[セキュリティ例外]に該当する場合、サービスはこのポリシーをスキップし、次のポリシーに移動します。
      8. [AI/MLベースのコンテンツ分類]:ZIA Public Service Edgeは、AI/MLツールを使用して、Webサイトを次のいずれかのカテゴリーに分類する可能性のあるコンテンツの応答URLをチェックします。

      URLカテゴリー 1

      URLスーパーカテゴリー

      SNS

      社会とライフスタイル

      Webメール

      インターネット通信

      アノニマイザー

      法律違反/不正

      オンライン オークション

      ショッピング&オークション

      オンライン・その他ゲーム

      ゲーム

      オンラインショッピング

      ショッピング&オークション

      ギャンブル

      ギャンブル

      クラシファイド広告

      ビジネスと経済

      クラブ/団体

      クラブ/団体

      スポーツ

      スポーツ

      1 to 10 of 29

      Page 1 of 3

      ZIA Public Service Edgeは、Webサイトがこれらのカテゴリーのいずれかに属していると判断した場合、URLフィルタリング ポリシーをチェックして、レスポンスを許可またはブロックする必要があるかどうかを確認します。応答URLがこれら4つのスーパー カテゴリーのいずれにも属していない場合、ZIA Public Service Edgeはページをその他のスーパーカテゴリーに属するものとして分類し、ポリシーに基づいて許可またはブロックします。AI/MLベースのコンテンツ分類は、高度なURLポリシー設定で有効にする必要があります。

      9. [帯域幅コントロール]:ZIA Public Service Edgeは、組織の帯域幅コントロールポリシーとユーザーのロケーションでの現在の帯域幅使用量に基づいて、そのリクエストが帯域幅全体または削減帯域幅のどちらで許可されているかを確認します。

      閉じる

    次の図は、さまざまなHTTPトラフィック タイプに対するポリシー適用の順序をまとめたものです。画像を参照してください。

    

    デフォルトでは、ユーザーが、クラウド アプリ制御で明示的に許可されたクラウド アプリをリクエストした場合、サービスはクラウド アプリ制御ポリシーのみを適用し、URLポリシーはスキップします。

    閉じる

    閉じる
  • SSLトラフィック ポリシーと適用順序

    ZIA Public Service EdgeがSSLトラフィックを受信すると、トラフィック転送方法、SSLインスペクション シナリオ(有効、無効、エンド ユーザー通知の無効化と表示)、CONNECTリクエストとSNIでのURLまたはクラウド アプリケーション ポリシーの評価に応じて、適用されるポリシーの評価と実行がワークフローに従います。

    次の図は、SSLポリシー評価ワークフローを示します。画像を参照してください。

    

    閉じる

    1. 明示的プロキシモードでは、URLフィルタリングおよびクラウドアプリケーションポリシーが最初のCONNECT要求に対して評価されます。
    2. SSLインスペクションポリシーは、CONNECTリクエストに対して評価されます。
       • SSLインスペクションが無効の場合
         • ホスト ヘッダーが、SSLインスペクションおよびその他のポリシーから除外されているURL、URLカテゴリー、あるいはホストまたはアプリケーションのリストに含まれている場合、ZIA Public Service Edgeは、トラフィックに対し検査もポリシーの適用も行いません。代わりに、トラフィックをインターネットに直接送信します。
         • リクエストがブロック ルールにヒットした場合、ZIA Public Service Edgeは接続を閉じ、403エラーを返します。
         • リクエストが許可された場合、ZIA Public Service EdgeはSNIに対するポリシー評価の別のラウンドを続行します。

         閉じる
       • SSLインスペクションが有効な場合
         • ZIA Public Service Edgeは、リクエストが許可またはブロックルールにヒットするかどうかに関係なく、SNIのポリシー評価をもう一回続けます。

         閉じる
    3. 受信したSSL接続に対して、SNIに基づきポリシーが評価されます。これは透過型プロキシモードのトラフィックに対するポリシー評価の最初のステップである。
       • SSLインスペクションが無効の場合
         • リクエストされたSNIが、SSLインスペクションおよびその他のポリシーから除外されているURL、URLカテゴリー、あるいはホストまたはアプリケーションのリストに含まれている場合、ZIA Public Service Edgeはトラフィックに対しポリシーの適用も検査も行わず、トラフィックをインターネットに送信します。
         • トラフィックがブロックルールにヒットした場合、ZIA Public Service Edgeは接続をリセットします。
         • 接続が許可されている場合、ZIA Public Service Edgeはトラフィックをさらに検査せずにトラフィックをインターネットに送信します。

         閉じる
       • SSLインスペクションが有効な場合
         • トラフィックがブロック ルールにヒットした場合、ZIA Public Service Edgeは最初のHTTPトランザクションの復号化を続行してEUNを表示します。まれに、(ユーザー アイデンティティーなど)最初のトランザクションを復号した後の追加情報の検出により、最初のHTTPトランザクションの復号後にポリシー アクションが変更されることがあります。
         • トラフィックが許可された場合、ZIA Public Service EdgeはさらにHTTPトランザクションを復号化し、それらにポリシーを適用します。

         閉じる

    政策評価ワークフローに関する注意事項​​​

    • SSLインスペクションが無効だが、ブロック済みトラフィック用のEUNを表示が有効になっている場合、ZIA Public Service Edgeは最初のHTTPSトランザクションでSSLインスペクションを実行し、エンドユーザー通知(EUN)により応答します。SSLポリシー評価ワークフロー図では、SSLインスペクションを有効にしたシナリオでこのケースを検討しています。
    • 宛先ドメインに高度な脅威が含まれていることがわかっているとき、場合、SSLインスペクションが有効になっている場合でも（またはSSLインスペクションが無効になっていてブロックされたトラフィックのEUNを表示は有効）場合でも、EUN を表示せずに接続は直ちに終了します。ブロックがCONNECTホストヘッダーで発生した場合、サービスは403エラーで応答します。SNIでブロックが発生した場合、サービスは接続をリセットします。
    • サロゲートIPを有効にするか、ZIA Public Service Edge用のZscaler Client Connectorを使用して、CONNECTリクエストまたはClient Hello SNI中にユーザー コンテキストを取得する必要があります。ユーザーコンテキストがなく、そのロケーションで認証が有効になっている場合、ZIA Public Service Edgeは、誤った決定を回避するためにポリシー評価をスキップします。ただし、ユーザー コンテキストが欠落しているが、未認証トラフィックのポリシーが有効になっている場合、ZIA Public Service EdgeはCONNECTリクエストとClient Hello SNIのポリシーを評価します。
    • CONNECTリクエストまたは着信SSL接続(SNI)では、宛先ドメインのみが利用可能であり、完全なURLは利用できません。そのため、ZIA Public Service Edgeは、完全なURLやHTTPヘッダーではなく、リクエストされたドメインのみに基づく次のポリシー セットのみを適用します。これらのポリシーは、HTTPトラフィックに適用されるポリシーのサブセットにすぎません。
      • [既知の悪意あるURL(高度な脅威対策)]: ZIA Public Service Edgeは、広範なURLデータベースを使用して、リクエストされたURLに悪意あるコンテンツが含まれていることがわかっているかどうかを確認します。このチェックは、高度な脅威対策ポリシーに該当します。
      • [クラウド アプリ制御]: ZIA Public Service Edgeは、リクエストが組織によって構成されたクラウド アプリ制御ポリシーに違反しているかどうかを確認します。
      • [URLフィルタリング]: ZIA Public Service Edgeは、リクエストされたURLが、組織のURLフィルタリング ポリシーによってブロックされたURLカテゴリーまたはカスタムURLカテゴリーに属しているかどうかを確認します。
      • [帯域幅コントロール]:ZIA Public Service Edgeは、お客様の組織の帯域幅コントロール ポリシーとユーザーのロケーションでの現在の帯域使用量に基づいて、リクエストにどの程度の帯域幅を割り当てるかをチェックします。

    閉じる

  閉じる
• ポリシー評価とログ記録のサマリー

  次のテーブルは、さまざまな接続タイプに基づいて、プロトコルとリクエスト メソッドがどのように評価され、ログに記録されるかをまとめたものです。

  トラフィックタイプ	政策評価とWebロギングに使用されるプロトコル	政策評価のリクエスト方法	Webロギングに使用されるリクエストメソッド
  ZIA Public Service EdgeにCONNECT	HTTP-Proxy	接続	接続
  サードパーティプロキシへの接続	HTTP	接続	接続
  CONNECT後のバイナリ	トンネル	すべて	NA
  SSLクライアントハロー	SSL	GET、POSTなど	GET、POSTなど
  SSL後のHTTP	HTTPS	すべて	NA
  SSL後のバイナリ	TUNNEL-SSL	すべて	NA

  ポリシーの評価とログ記録に関する重要な情報を次に示します。

  • ZIA Public Service Edge宛てのCONNECTリクエストは、HTTPプロキシーと呼ばれる特別なプロトコル カテゴリーを使用して評価および記録されます。この特別なプロトコルは、Zscaler宛てのリクエストとサードパーティーのプロキシー宛てのHTTP CONNECTリクエストを区別するために使用されます。これにより、サードパーティーのプロキシー宛てのCONNECTリクエストのみを選択的に許可またはブロックする詳細なポリシーを定義できます。
  • SSL接続が検査されると、ZIA Public Service EdgeはSNIのポリシーを評価しますが、セッション全体の集約Webログは記録しません。

  閉じる

ポリシー適用例

Zscalerサービスがさまざまなシナリオでポリシーをどのように適用するかを知ることは、特定のポリシーがユーザーのトラフィックに対してトリガーされるまたはトリガーされない理由を理解するのに役立ちます。また、組織のトラフィックが期待どおりに保護されることも保証されます。以下に、ポリシー適用シナリオの例をいくつか示します。

• 実施例1

  次のような組織について考えてみます。

  • ファイアウォールポリシーで、クラウドアプリケーションBox.netを許可します。
  • Webポリシーで、同じアプリケーションをブロックします。

  組織のユーザーがブラウザーを開いてアプリケーションBox.netを要求すると、そのユーザーはブロックされます。最初に検査を実行するファイアウォールモジュールがトラフィックを許可しても、WebモジュールはそのトラフィックにWebポリシーを検査して適用します。

  閉じる
• 実施例2

  次のような組織について考えてみます。

  • ファイルタイプコントロールのポリシーで、PDFが社内ネットワークから送信されないようにブロックします。
  • DLPポリシーの下で、米国の社会保障番号を含むドキュメントをブロックし、Zscalerサービスが監査役に通知を送信しようとしているユーザーを検出したときに通知を送信するように指定します。

  この組織のユーザーがクレジット カード番号を含むPDFを送信しようとした場合、サービスはトランザクションをブロックしますが、その原因は、DLPポリシーではなくファイル タイプのコントロール ポリシーによります。DLPポリシー自体がトリガーされることはなく、サービスは、ユーザーが組織外に社会保障番号を送信しようとしたことを監査役に警告する通知を送信しません。

  閉じる