インターネットとSaaSへのセキュアなアクセス(ZIA)
Zscalerトラフィック バイパス
この記事では、Zscalerクラウドで利用可能なトラフィック バイパスのタイプについて詳しく説明します。次のセクションでは、Zscalerクラウドで特定のアプリケーション トラフィックまたはWebトラフィックをバイパスする方法を示します。
- Zscaler Client Connector
Zscaler Client Connectorには、特定のアプリケーションがZscalerトンネル(Z-Tunnel) 2.0を介してトンネリングされることを自動的にバイパスできるアプリケーション バイパス機能があります。バイパスするアプリケーションを[アプリケーション バイパス]フィールドに追加し、Zscaler Client Connector Portalでアプリ プロファイルを設定する必要があります。詳細は、「Zscaler Client Connectorプロファイルの設定」を参照してください。
このアプリケーション バイパスは、Windowsアプリ プロファイルおよびmacOSアプリ プロファイルおよびZscaler Client Connectorで転送プロファイルとしてZ-Tunnel 2.0を使用している場合にのみ適用されます。バイパス済みアプリケーションの詳細は、[アプリケーション バイパス情報]ページで表示することもできます。
バイパスされたセッション、バイパスされたセッション イベントの時刻、フローの種類など、Zscaler Client Connectorによってバイパスされたトラフィックの完全な可視性はログに記録され、ZIA管理ポータルのWebログとファイアウォール インサイト ログに表示されます。
Androidのアプリケーションベースのバイパス
Zscalerでは、Androidアプリケーションのトラフィックをバイパスすることをお勧めします。Androidアプリ プロファイルの設定中に、次の手順を使用して、Android上の標準メッセージング アプリケーションを自動的にバイパスできます。
- [MMSアプリケーションのトラフィックをバイパス]フィールドを有効にして、Androidがモバイルデータも使用するMMSに干渉しないようにします。
特定のAndroidアプリケーション トラフィックをバイパスするには、アプリの識別子を[特定のアプリケーションのトラフィックをバイパス]フィールドに追加します。アプリの識別子は、アプリのPlayストアの詳細のURLのIDパラメーターの後に確認できます。カスタム アプリケーション(Playストアで利用できないアプリケーション)の場合は、アプリの識別子の代わりにパッケージ名をフィールドに追加します。
アプリケーションのパッケージ名がわからない場合は、ファイルベースの除外を使用してPAC特定のホスト名とIPアドレスをバイパスします。これを行うには、Google FQDNをバイパスするようにZIA管理ポータル上のカスタムPACファイルを設定し、Androidアプリ プロファイルを追加するときにそのPAC URLを[カスタムPAC URL]フィールドに追加します。
閉じる - SSLインスペクション
SSLインスペクションのZscaler例外リストには、Zscalerベスト プラクティスのZscalerサービス IPアドレス、UCaaSバイパスのcontactservice.zoom.us、O365バイパス イベントのself.event.data.Microsoft.comなど、さまざまな理由でSSLインスペクションできない数十の既知のドメインまたは宛先が含まれています。これらのドメインは変更される可能性があるため、漏洩されません。
[ポリシー]>[SSLインスペクション ポリシー]ページの下にある事前定義済みZscaler推奨免除ルールでは、有効にすると、SSLインスペクションできない既知の宛先が自動的に除外されます。除外リストから特定のドメインをSSLインスペクションする場合は、ルールの順序を高くしてインスペクション ルールを作成します。すべてのドメインのSSLインスペクションの定義済みルールを無効にします。詳細は、「SSLインスペクション ポリシーについて」を参照してください。
SSLインスペクションが行われていないトランザクション、またはインスペクション後にブロックされていないトランザクションは、Web解析ログのSSLポリシーの理由フィルターで確認できます。自動的にSSLバイパスされるトラフィックのパーセンテージは、比較的小さいです(1%未満)。
また、SSLインスペクションは、クライアント アプリケーションが特定のクライアント証明書を1つだけ承諾するようにハードコーディングされているため、証明書のピン留めを使用するアプリケーションでは機能しません。これらは、SSLトランザクションが復号化されないURLカテゴリーのリストに含める必要があります。証明書のピン留めが免除されたアプリケーションを管理するには、Zscalerでは、「証明書のピン留めとSSLインスペクション」記事を参照することをお勧めします。
閉じる - ファイアウォール制御方針
次に、Zscalerクラウドをバイパスするトラフィックに適用されるファイアウォール コントロール ポリシー ルールの一部を示します。
- Zscalerバイパス トラフィック
ファイアウォール コントロール ポリシーには、Zscalerクラウド宛ての自己トラフィックにのみ適用される事前定義済みの暗黙的な[Zscalerバイパス トラフィック]ルールがあります。このルールはログに記録され、ファイアウォール インサイト ログとDNSインサイト ログの[ルール名]列に表示されます。
- ファイアウォール ログ
Zscalerバイパス トラフィック ルールは、次の場合にファイアウォール ログに入力されます。
- Webモジュールは、フローの確立中にハンドシェークが突然終了するため、ファイアウォール モジュールからのトラフィック評価の制御を受け入れません。
- トラフィックは、ファイアウォールが有効なサブロケーションから転送されますが、親ロケーションまたは同じ親ロケーションの下の別のサブロケーションには転送されません。これは、X-Forwarded-For(XFF)設定など、これらのロケーションの違いを識別する際のレイテンシが原因で発生します。
- DNSログ
Zscalerバイパス トラフィック ルールは、次の場合にDNSログに入力されます。
- DNSリクエスト クエリーのドメイン名がZscalerクラウドのドメインと一致する場合。
- DNSリクエストクエリが、Office 365ワンクリックの定義済みファイアウォール フィルタリング ルール(有効になっている場合)にリスト示されているOffice 365エンドポイントと一致するとき。
- DNSレスポンスに解決されたIPまたはCNAMEが含まれていないとき。
- DNSレスポンスがリソース レコードのタイプが原因で完全に分析されないとき。DNS制御は、A、AAAA、CNAME、およびPTRレコードのタイプに対する応答の詳細な分析を実行します。
Zscalerでは、事前定義済みZscalerプロキシー トラフィックルールを有効にしておくことをお勧めします。推奨される事前定義ルールを無効にすると、Zscalerバイパス トラフィックルールがトリガーされます。
閉じる - ファイアウォール ログ
- Webプロキシー ポリシーによるブロック
この暗黙的なルールは、Webポリシーがトラフィックをブロックしているときに、トラフィックが属するネットワーク アプリケーションを識別するためにディープ パケット インスペクションによって評価される場合に適用されます。このルールに一致するトランザクションは、ファイアウォール インサイト ログで確認できます。
閉じる - トラフィック バイパスのその他の暗黙的なルール
次のシナリオが発生した場合、ユーザーからのトラフィック フローはZscalerファイアウォールまたはDNSモジュールをバイパスする可能性があります。
ZIA サービスエッジがZscaler中央認証局(CA)との接続を確立できないと、トラフィック フローはポリシー アプリケーションなしでファイアウォールまたはDNSを通過します。これは、特定のユーザーまたはロケーションからのトラフィック フローが初めてサービスエッジに到着し、ポリシーを適用するためにCAへの接続が必要な場合に発生する可能性があります。ファイアウォールはこのトランザクションをログに記録し、[アクション]>[構成不足によりバイパスされた]フィルターを適用することで、ファイアウォール ログでこのトランザクションを表示できます。
サービスエッジがCAとの接続を確立したにもかかわらず、要求された構成が予想される時間内(通常は5秒)にCAから到着しない場合、トラフィック フローはポリシー アプリケーションなしでファイアウォールを通過します。これは、特定のユーザーまたはロケーションからのトラフィック フローが初めてサービスエッジ CAに到着し、CAへの接続が確立されているが、予想される時間枠内にCAからのレスポンスがない場合に発生する可能性があります。ファイアウォールはこのトランザクションをログに記録し、[アクション]>[構成を待っている間にタイム アウト]フィルターを適用することで、ファイアウォール ログでこのトランザクションを表示できます。
- Zscalerバイパス トラフィック
![ファイアウォール ログの[構成不足によりバイパスされた]フィルター](/downloads/zia/traffic-forwarding/zscaler-traffic-bypasses/firewall-logs-bypassed-due-to-missing-config.png "ファイアウォール ログがフィルタリングされ、[構成不足によりバイパスされた]アクションと一致するトランザクションが表示されます")
![ファイアウォール ログの[構成を待っている間にタイム アウト]フィルター](/downloads/zia/traffic-forwarding/zscaler-traffic-bypasses/firewall-logs-timed-out-while-waiting-for-config.png "ファイアウォール ログがフィルタリングされ、[構成を待っている間にタイム アウト]アクションと一致するトランザクションが表示されます")