セキュアなプライベートアクセス(ZPA)

Google Cloud Platform用のPrivate Service Edgeの展開ガイド

この展開ガイドは、前提条件、Google Cloud Platform (GCP)でのPrivate Service Edgeの展開方法、展開後の検証チェックに関する情報を提供します。ZPA用Private Service Edgeの展開に関する一般情報は、ZPA Private Service Edgeの展開についてを参照してください。

ステップ1: Private Service Edge展開の前提条件をすべて満たしていることを確認する

Zscalerでは、サポートされるプラットフォーム上にZPA Private Service Edgeを展開する前に、以下の情報を読み、該当する場合は組織の環境に必要な変更を加えることを強く推奨します。

各ZPA Private Service Edgeは、最大500Mbpsのスループットに対応しています。このページの情報を使用して、展開用のZPA Private Service Edgeのサイズ要件を決定します。たとえば、1Gbpsの集約(つまり、インバウンドとアウトバウンドの合計)接続では、2つから3つのZPA Private Service Edgeを展開する必要があります。

ZPA Private Service Edge仕様とサイジング要件

ZPA Private Service Edgeごとに最大500Mbpsのスループットを実現するために、Zscalerが推奨する仕様は次のとおりです。

メモリ(RAM)およびvCPU(仮想マシンの場合)またはCPU(物理マシンの場合)コアは次の通りです。

アクティブなユーザー	メモリー	vCPUまたはCPUコア
2,000まで	8GB(ZDX使用時は10GB)	4個のvCPUまたは4個のCPU
4,000まで	16GB(ZDX使用時は18GB)	8個のvCPUまたは8個のCPU
10,000まで	32GB(ZDX使用時は34GB)	16個のvCPUまたは16個のCPU

詳細は、プラットフォーム用のZPA Private Service Edge展開ガイドを参照してください。

ディスク容量：すべての展開プラットフォームで64 GB (シンプロビジョニング済み)
ネットワークカード：NIC 1枚(最小)

展開のユースケースに応じて、各ZPA Private Service Edgeは、TCPポート443で内部送信元と外部送信元のいずれかまたは両方からの、着信接続を受け入れることができる必要があります。たとえば、リモートユーザーとオフィスユーザーの両方に対してZPAを有効にした場合、各ZPA Private Service Edgeは、Zscaler Client Connectorを実行している内部エンドポイントと外部エンドポイントの両方からの着信接続を受け入れる必要があります。

ZPA Private Service Edgeは、ディザスターリカバリーシナリオで、またはZPA Private Service Edgeが最も近いサービスエッジである場合に、リモートユーザー用にインターネット経由で到達可能です。

ZPA Private Service Edgeがファイアウォールの内側に展開されているシナリオでは、ファイアウォールはZPA Private Service EdgeのプライベートIPアドレスの宛先ネットワークアドレス変換(DNAT)を実行します。この場合、トラフィックのフローはZscaler Client ConnectorからZPA Private Service Edgeです。次に、ファイアウォールは、Zscaler Client Connector接続先の宛先パブリックIPアドレスをZPA Private Service EdgeのプライベートIPアドレスに変換します。ファイアウォールは、インターネット上のパブリックIPアドレスをアドバタイズします。ファイアウォールによってアドバタイズされたパブリックIPアドレスを、それぞれのZPA Private Service EdgeのパブリックIPとして構成する必要があります。ディザスターリカバリーの場合は、このIPアドレスをそのZPA Private Service EdgeのAレコードとして追加する必要があります。

ファイアウォールは、ZPA Private Service EdgeがZPA Public Service EdgeのIPアドレスへのアウトバウンド接続を確立し、App ConnectorおよびZscaler Client Connectorからのインバウンド接続を確立できるように構成する必要があります。

次の条件は、ファイアウォールの内側に配置されている各ZPA Private Service Edgeに適用されます。

(該当する場合、ユースケースに応じて)内部ソース、リモートユーザー、オンプレミスユーザーからの着信接続をTCPポート443で受け入れる必要があります。
内部ネットワーク経由で到達できる一意のプライベートIPアドレスが必要です。

ZPA Private Service Edgeが登録されると、TCPポート443経由でアウトバウンドTLSトンネルがZPAクラウドインフラストラクチャーに確立されます。この通信チャネルは、さまざまな機能を提供し、次のトラフィックが含まれます。

ZPA Public Service Edgeへの定期的なキープアライブ
ポリシー構成のダウンロード
ZPA Private Service Edgeソフトウェアのアップグレード(アップグレードは週単位のスケジュールに基づいて完了します)

ネットワークとインターネット接続を確保しながら、同じプロビジョニングキーを使用して既存のZPA Private Service Edgeグループに追加することで、随時追加のZPA Private Service Edgeを展開できます。ZPA Private Service Edgeは、弾性的にスケーリングするように設計されています。同じZPA Private Service Edgeグループに追加のZPA Private Service Edgeを展開して、展開に必要なスループットの合計を向上させることができます。Zscalerでは、ZPA Private Service Edgeをペア(N+1)で展開することを推奨しています、ここでNはサイジング要件に従ったZPA Private Service Edgeの数です。詳細は、ZPA Private Service Edgeの展開についておよびZPA Private Service Edgeのサポート対象プラットフォームを参照してください。

展開後、ZPA Private Service Edgeがサイズ要件を満たしていることを確認します。詳細については、ZPA Private Service Edgeのサイジング仕様の確認を参照してください。Zscalerでは、ZPA Private Service Edgeのディスク容量が満杯になった場合、ファイルをアーカイブし、より多くのログスペースを作成することを推奨します。詳細は、「ZPA Private Service Edgeのパフォーマンスの監視」を参照してください。

ZPA Private Service Edgeスループットについての理解

スループットの数値は集計値です(つまり、インバウンドとアウトバウンドの合計)。各ZPA Private Service Edgeは、最大500 Mbpsのスループットに対応しています。ZPA Private Service Edgeは、提供された(デフォルト)ゲートウェイ(ISP WANブロードバンド接続である可能性が高い)経由で通信します。

Zscalerでは、サイジング要件を決定する際に、既存のVPNソリューションの平均スループットとピークスループットを確認することを推奨します。ユーザーまたはクライアントのVPNトラフィックのみを考慮し、サイト間のトンネル化されたトラフィックは考慮しないでください。

たとえば、データセンターに1 Gbpsの集約(つまり、インバウンドとアウトバウンドの合計)接続がある場合、500 Mbpsのスループットガイドラインを使用して、接続に対応するのに十分なZPA Private Service Edgeと、フェイルオーバー(N+1)の余地があることを確認できます。この場合、1 Gbps接続に対応するには、2つから3つのZPA Private Service Edgeを展開する必要があります。

正確なスループットは、内部ネットワークのセットアップ、レイテンシーのほか、二重暗号化、AppProtection、またはZDXが有効になっているかどうかなど、他のネットワーク要因によって異なります。接続に対応するのに十分なZPA Private Service Edgeと、フェイルオーバー(N+1)の余地があることを確認します。

展開を水平方向にスケーリングするには、Zscalerでは、高い仕様の少ないZPA Private Service Edgeを展開するのではなく、低い仕様のZPA Private Service Edgeを多数展開することを推奨します。たとえば、高い仕様の少ないZPA Private Service Edgeを展開し、その1つが失敗した場合には、小さなZPA Private Service Edgeで障害が発生した場合よりも、多くのユーザーアプリケーショントラフィック/セッションに悪影響を与える可能性があります。

閉じる

ZPA Private Service Edgeプラットフォームの前提条件
ご使用のプラットフォームの「ZPA Private Service Edgeの展開ガイド」の手順を開始する前に、次のものを用意してください。
- Intel x86_64/AMD64ベースのアーキテクチャー
- systemd
- 新しいパッケージリポジトリーを構成し、パッケージをインストールするためのシステムへのrootまたはsudoアクセス
- DNS解決とネットワークアクセス
- ZPA Admin Portalから取得したZPA Private Service Edgeのプロビジョニングキー
- 固定MACアドレス
閉じる
ZPA Private Service Edgeセキュリティガイダンスとファイアウォールの要件
ZPA Private Service Edgeは、さまざまな方法(プライベートクラウドVM、パブリッククラウドVM、OSパッケージ)で展開できるため、展開タイプごとにセキュリティ機能が若干異なります。
オペレーティングシステムのセキュリティ
プライベートクラウドで使用するためにZscalerによって配布されるZPA Private Service Edge VMは、リモートからアクセスできるサービスを実行せずに設定されます。スワップパーティションは、ZPA Private Service EdgeとそのVMで無効になり、メモリーの増加がZPA Private Service Edgeのパフォーマンスに影響を与えないようにします。セキュリティを強化するには、passwdコマンドを使用して、デフォルトの管理者アカウントの資格情報を変更する必要があります。詳細は、使用しているプラットフォームのZPA Private Service Edge展開ガイドを参照してください。
セキュリティ技術実装ガイド(STIG)のイメージは、デフォルトで、AWS、GCP、Microsoft Azure、およびVMware向けに提供されます。詳細は、プラットフォーム別ZPA Private Service Edgeソフトウェアを参照してください。Zscalerによって提供される、残りのプライベートクラウドおよびパブリッククラウドのVMイメージは、基本的に変更されていないオペレーティングシステムです(現在はRHEL 9.xベース)。必要に応じて、標準のyum OS更新メカニズムを使用して、これらのシステムにパッチを適用できます。Zscalerでは、初期展開後に、組織のセキュリティ標準に従って、VMイメージ上のオペレーティングシステム(sshd-configファイルを含む)を強化することを推奨します。詳細は、展開済みZPA Private Service Edgeの管理を参照してください。
CentOS 7.x のサポートの詳細は、CentOS 7.x、RHEL 7.xおよび Oracle Linux 7.xのサポート終了を参照してください。
DNSリゾルバーやLinuxカーネルなどのコアオープンソースコンポーネントに脆弱性が定期的に見られるため、Zscalerは、定期的にパッチを適用するか、Zscalerで配布された新しいVMイメージを使用するか、ファイアウォールポリシーを使用してZPA Private Service Edgeを保護することを推奨します。さらに、ZPA Private Service Edgeをパッケージとしてインストールした場合、Zscalerでは、同様の予防措置を講じることを推奨します。
一部の組織では、データセンターからインターネットへのアウトバウンドトラフィックをファイアウォールまたはその他の方法で制限することを選択します。このような環境でZPA Private Service Edgeを展開することは、Private Service EdgeがZPA パブリックサービスエッジを含むすべてのZscalerデータセンターに到達できる限り可能です。展開用のファイアウォール設定情報については、config.zscaler.com/private.zscaler.com/zpa (private.zscaler.comクラウドの場合)またはconfig.zscaler.com/zpatwo.net/zpa (zpatwo.netクラウドの場合)を参照してください。詳細は、ZPAのクラウド名は何ですか？を参照してください。
ファイアウォールの要件と相互運用性ガイドライン
ZPA パブリックサービスエッジを含む、すべてのZscalerデータセンターを許可する必要があります。ファイアウォール構成が一部であると、エンドユーザーの接続に問題が発生します。Zscalerのポリシーは、制御ポリシーを変更する十分な機会を組織に提供するために、追加のIP CIDR範囲をアクティブ化することについて、90日前の通知を提供することです。
このサービスにより、クライアント証明書とサーバー証明書の両方にTLS証明書のピン留めが適用されるため、インラインまたは中間者TLSインターセプトまたはインスペクションのすべての形式を無効にする必要があります。ZPA パブリックサービスエッジによって提示されたTLS証明書が、Zscalerによって信頼された公開キーに対して暗号的に検証しない場合、ZPA Private Service Edgeは機能しません。
設計上、証明書の検証はサービスの整合性を維持するように設定できないため、ZPA Private Service Edgeから発信されるトラフィックのSSLバイパスリストに*.prod.zpath.netが含まれていることを確認してください。これは、ZPA Private Service EdgeがZPA パブリックサービスエッジを解決して、これに到達できるようにするために必要です。ZPA Private Service Edgeでは、ユーザーからの着信接続を受け入れるようにファイアウォールを設定する必要があります。また、追加のZscalerのIPアドレスを許可リストに登録する必要がある場合は、config.zscaler.jp/private.zscaler.jp/zpa (private.zscaler.jpクラウドの場合)またはconfig.zscaler.jp/zpatwo.net/zpa (zpatwo.netクラウドの場合)を参照してください。詳細は、「ZPAのクラウド名は何ですか？」を参照してください。IPアドレスではなく、Zscalerクラウドのホスト名に基づいて許可リストに登録できる場合があります。
閉じる
ZPA Private Service Edge Zscaler Client Connectorの要件
ZPA Private Service Edgeでは、Zscaler Client Connectorが少なくともバージョン2.1.2である必要があります。
閉じる

前提条件をすべて満たした後、ZPA Private Service Edgeをサポートされているプラットフォーム上に展開することができます。

閉じる

ステップ2: GCPにPrivate Service Edgeを展開する
GCPの場合、仮想プライベートクラウド(VPC)にPrivate Service Edgeを展開する必要があります。VPCごとに、レジリエンスとスケーラビリティーのために1つ以上のPrivate Service Edgeのペアを展開する必要があります。Private Service Edgeは、インシデント発生時のサービスの継続性を確保するために、リージョンやゾーン全体に展開する必要があります。ZscalerはPrivate Service Edge間で自動的に負荷分散を行います。追加の容量には、各リージョンやゾーンにPrivate Service Edgeを追加することで対処できます。
Private Service Edgeは、VPC内のアプリケーションへの適切なアクセス権で構成することが推奨されます。VPC構成は、Private Service Edgeが適切なTCP/UDPポートでアプリケーションサーバーに接続することを許可し、アプリケーションへのICMP到達可能性とDNS解決を有効にすることが推奨されます。Private Service EdgeのVPC構成では、インターネットへのアウトバウンドアクセスを許可してZscalerクラウドに接続することが推奨されます。Zscalerでは、NATゲートウェイを通じてインターネットに接続するプライベートサブネットにPrivate Service Edgeを展開することを推奨します。
ZPA Private Service Edgeインスタンスを展開する前に、次の前提条件を満たす必要があります。
- Google Cloud CLIのインストール
  Google Cloud CLIをインストールするには、Google Cloudのドキュメンテーションを参照してください。
  閉じる
- ファイアウォールルールの作成
  ファイアウォールルールを作成する手順は次の通りです。
  1. GCP管理コンソールにログインします。
  2. 左側のナビゲーションで、[ネットワークセキュリティ]をクリックします。
  3. [クラウドNGFW]>[ファイアウォールポリシー]の順に移動します。
    画像を参照してください。
    閉じる
    [ファイアウォールポリシー]ウィンドウが表示されます。
  4. [ファイアウォールポリシー]ウィンドウで、[ファイアウォールルールを作成]をクリックします。
    [ファイアウォールルールを作成]ウィンドウが表示されます。
  5. [ファイアウォールルールを作成]ウィンドウで、次の操作を行います。
    [名前]:ファイアウォールルールの名前を入力します。
    [ネットワーク]:ファイアウォールルールを適用するネットワークを選択します。
    [トラフィックの方向]: [入力] (受信トラフィック)または[出力] (送信トラフィック)を選択します。
    [一致時のアクション]:アクションで接続を許可するか([許可])またはブロックするか([拒否])を選択します。
    [ターゲット]:ファイアウォールルールを適用するターゲットをドロップダウンメニューから選択します([ネットワーク内のすべてのインスタンス]、[特定のターゲットタグ]、または[指定されたサービスアカウント])。
    [送信元フィルター]:送信元フィルター範囲([IPv4範囲]、[IPv6範囲]または[送信元タグ])を選択します。ネットワークIP/サブネット形式を使用して送信元フィルター範囲を選択した後に表示される[送信元フィルター範囲]テキストボックスにIPアドレス範囲を入力します。たとえば、IPv4範囲は0.0.0.0/0です。
    [プロトコルとポート]: [指定したプロトコルとポート]を選択し、プロトコル([TCP、]、[UDP]、[その他])とポートを指定します。Private Service Edgeには、SSHの場合はTCPポート22に入力トラフィック方向と出力トラフィック方向があり、ZPAに到達するにはTCPポート443に出力トラフィック方向が必要です。
    画像を参照してください。
    閉じる
  6. [作成]をクリックします。
  必要に応じて、出力トラフィック方向をZPAホストとポートに制限できます。必須IPアドレスの詳細については、config.zscaler.com/private.zscaler.com/zpa(private.zscaler.comクラウドの場合)またはconfig.zscaler.com/zpatwo.net/zpa(zpatwo.netクラウドの場合)を参照してください。詳細は、ZPAのクラウド名は何か？を参照してください。
  閉じる
GCPにイメージを展開するには、次のいずれかの方法を使用します。
- インスタンスウィザードを使用したPrivate Service Edgeの展開
  この手順では、インスタンスウィザードを使用してGCPにZPAを展開する方法について説明し、SSHキーペアとイメージを.vmdk (仮想ディスク)から作成したことを前提としています。
  SSHキーペアを作成する
  SSHキーペアを作成する手順は次の通りです。
  Private Service Edgeターミナルを開き、次のssh-keygenコマンドと-cフラグを併用して、新規SSHキーペアを作成します。
  ssh-keygen -t rsa -f ~/.ssh/gcp_key -C admin -b 2048
  詳細は、Google Cloudのドキュメンテーションを参照してください。
  [Compute Engine]設定で、[メタデータ]>[SSHキー]をクリックします。
  画像を参照してください。
  閉じる
  編集をクリックします。
  [アイテムの追加]をクリックします。
  画像を参照してください。
  閉じる
  SSH公開キーをGCP管理コンソールにアップロードします。
  保存をクリックします。
  閉じる
  GCP MarketplaceでVMを起動する
  GCP MarketplaceでVMを起動する手順は次の通りです。
  ZPA - GCP Marketplaceにアクセスします。
  [開始]をクリックします。
  [Terraform]タブで展開名(zscaler-1など)を入力します。
  サービスアカウントIDを入力します。
  画像を参照してください。
  閉じる
  構成を確認し、次いで[展開]をクリックします。
  [管理]ページで新たに作成したVMを検証します。
  閉じる
  仮想ディスクからSSHキーペアとイメージを作成したら、次のステップを実行してインスタンスウィザードを使用して展開します。
  Private Service Edgeインスタンスを使用して、Private Service Edgeを展開する手順は次の通りです。
  GCP管理コンソールにログインします。
  プロジェクトを作成します。
  プロジェクトを選択します(例：zpa-service-edge)。
  [Compute Engine]>[イメージ]の順に移動します。
  画像を参照してください。
  閉じる
  イメージの名前のフィルターを使用して、カスタムイメージを検索します。この手順で使用されるカスタム名の例としては、zpa-service-edge-el9-2024-08-99875b50-featureがあります。
  [メニュー]アイコンをクリックし、[インスタンスを作成]をクリックします。
  画像を参照してください。
  閉じる
  [インスタンスを作成]ウィンドウが表示されます。
  [インスタンスを作成]ウィンドウで、[新規VMインスタンス]を選択します。
  画像を参照してください。
  閉じる
  [マシン構成]セクションの[新しいVMインスタンス]ウィンドウで、ワークロードに適したvCPUとメモリーの容量が事前設定された[マシンタイプ]を選択します。Zscalerでは、n2-standard-4またはn2-highcpu-4仕様の使用を推奨します。
  [n2-standard-4]:サポートされている仕様は、4つのvCPU、2つのコアおよび16 GBメモリーです。
  [n2-highcpu-4]:サポートされている仕様は、4つのvCPU、2つのコアおよび4 GBメモリーです。
  画像を参照してください。
  閉じる
  (省略可)スタートアップスクリプトをVMインスタンスに渡します。
  [メニュー]アイコンをクリックし、次いで[セキュリティ]タブをクリックします。
  左側のナビゲーションで、[データ保護]>[シークレットマネージャー]の順に移動します。
  画像を参照してください。
  閉じる
  [シークレットを作成]をクリックします。
  [シークレットを作成]ウィンドウが表示されます。
  [シークレットを作成]ウィンドウで、次の操作を行います。
  [名前]:シークレットの名前を入力します(例：provisioning_key)。
  [シークレット値]:シークレットの値を入力します(例：<your provisioning key>)。プロビジョニングキーは、ZPA Admin PortalでZPA Private Service Edgeを作成するときに取得できます。詳細は、ZPA Private Service Edgeのプロビジョニングキーについて、およびZPA Private Service Edgeの設定を参照してください。
  画像を参照してください。
  閉じる
  [シークレットを作成]をクリックします。
  [アクセス範囲]では、[すべてのクラウドAPIへのフルアクセスを許可]を選択します。これにより、シークレットマネージャーに存在するprovisioning_keyにアクセスできるようになります。
  [詳細オプション]セクションを展開し、次いで[管理]セクションを展開します。
  [説明]フィールドに説明を追加します。
  [自動化]フィールドに次のスクリプトを入力します。
  #!/usr/bin/bash # Sleep to allow the system to initialize sleep 15 curl -O https://dl.google.com/dl/cloudsdk/channels/rapid/downloads/google-cloud-cli-linux-x86_64.tar.gz tar -xf google-cloud-cli-linux-x86_64.tar.gz export PATH=$PATH:$PWD sudo ./google-cloud-sdk/install.sh # Install Private Service Edge packages yum install -y zpa-service-edge # Stop the Private Service Edge service which was auto-started at boot time systemctl stop zpa-service-edge # Fetch the secret from Secret Manager SECRET_NAME="Provision_key" SECRET_VALUE=$(gcloud secrets versions access latest --secret="$SECRET_NAME") # Use the secret in your application or script echo "The secret value is: $SECRET_VALUE" # Example: Export the secret as an environment variable export MY_SECRET="$SECRET_VALUE" # Create a file from the Private service edge provisioning key created in the ZPA Admin Portal # Make sure that the provisioning key is between double quotes echo "$SECRET_VALUE" > /opt/zscaler/var/service-edge/provision_key chmod 644 /opt/zscaler/var/service-edge/provision_key # Start the Private service edge service to enroll it in the ZPA cloud systemctl start zpa-service-edge # Wait for the Private service edge to download the latest build sleep 60 # Stop and then start the private service edge for the latest build systemctl stop zpa-service-edge systemctl start zpa-service-edge # Run a yum update to apply the latest patches yum update -y
  [作成]をクリックします。
  左側のナビゲーションで、[Compute Engine]>[仮想マシン]>[VMインスタンス]の順に移動し、インスタンスを作成したことを検証します。インスタンス名は、インスタンスの作成時に表示されます。
  画像を参照してください。
  閉じる
  GCP秘密キーをPrivate Service Edgeに構成するには、SSHアクセスが必要です。
  説明書をご覧ください。
  GCP秘密キーを使用して、Private Service Edgeコンソールにログインします。
  標準のSSHクライアントを使用して、次のコマンドを入力してGCPインスタンスに接続します。
  ssh -i<GCPプライベートキー> admin@<プライベートサービスエッジプライベートホスト名またはIPアドレス>
  次の例では、GCPインスタンスの秘密キーは、gcp_keyであり、またPrivate Service Edge IPアドレスは172.31.255.255です。
  ssh admin@172.31.255.255-i ~/.ssh/gcp_key
  接続を続けるかどうか尋ねられたら、[ はい]と入力してください。
  閉じる
  Private Service Edgeのプロビジョニングキーを適用します。
  説明書をご覧ください。
  次のコマンドを使用して、zpa-service-edgeサービスの実行を停止します。Private Service Edgeの初回起動時にプロビジョニングキーが検出されない場合、Private Service Edgeはスリープサイクルに入り、24時間ごとにキーを再度検索します。
  sudo systemctl stop zpa-service-edge
  644権限を持つプロビジョニングキーファイルを/opt/Zscaler/var/service-edge/provision_keyに作成します。例えば、次の通りです。
  sudo touch /opt/zscaler/var/service-edge/provision_key sudo chmod 644 /opt/zscaler/var/service-edge/provision_key
  ZPA Admin Portalからプロビジョニングキーをコピーし、ファイルにペーストして保存します。viなどのエディターを使用します。
  sudo vi /opt/zscaler/var/service-edge/provision_key
  [vi]を使用している場合は、キーをファイルに貼り付ける前に、挿入モードになっていることを確認してください。
  viエディタに不慣れな方は、以下の echo と tee コマンドを使用して、プロビジョニングキーを貼り付けることも可能です。
  echo "<Private Service Edge Provisioning Key>" | sudo tee /opt/zscaler/var/service-edge/provision_key
  キーが二重引用符(")の中にあることを確認してください。
  以下のコマンドを入力し、ファイルの内容を確認します。
  sudo cat /opt/zscaler/var/service-edge/provision_key
  出力には、前のステップで入力したプロビジョニングキーが返されるはずです。
  次のコマンドを使用して、zpa-service-edgeサービスを開始します。
  sudo systemctl start zpa-service-edge
  次のコマンドを使用して、sshdを停止して無効にします。
  sudo systemctl stop sshd sudo systemctl disable sshd
  閉じる
  Private Service Edgeプロビジョニングキーが適用されたら、次のコマンドを使用して、展開済みPrivate Service Edgeが実行されていることを検証します。
  sudo su ps aux | grep zpa-service-edge
  例えば：
  # ps -aux | grep zpa-service-edge root 1423 1.2 0.1 525288 16200 ? Ssl 14:01 0:00 /opt/zscaler/bin/zpa-service-edge root 1845 0.0 0.0 6412 2176 pts/0 S+ 14:02 0:00 grep --color=auto zpa-service-edge
  詳細は、展開済みPrivate Service Edgeの管理を参照してください。
  Zscalerでは、続行する前にPrivate Service Edgeシステムソフトウェアを更新することを強く推奨します。
  閉じる
  閉じる
- 開始テンプレートとAuto Scalingを使用したPrivate Service Edgeの展開(高度な展開)
  この手順では、開始テンプレートとAuto Scaling構成を通じてGCPにZPAを展開し、スケーラブルでサポート可能なインフラストラクチャーを作成する方法について説明します。
  Auto Scalingとともに開始テンプレートを使用して、GCPにPrivate Service Edgeを展開する手順は次の通りです。
  1. GCP管理コンソールにログインします。
  2. [Compute Engine]をクリックします。
  3. 左側のナビゲーションで、[インスタンスグループ]>[インスタンスグループ]の順に移動します。
  4. [インスタンスグループを作成]をクリックします。
  画像を参照してください。
  閉じる
  [インスタンスグループを作成]ウィンドウが表示されます。
  1. [インスタンスグループを作成]ウィンドウで、次の操作を行います。
    [インスタンスグループ名]を入力します。
    [説明]を入力します。
    [インスタンステンプレート]タブで、ドロップダウンメニューをクリックして既存のインスタンステンプレートを選択するか、[新規インスタンステンプレートを作成]をクリックして新規インスタンステンプレートを作成します。[新規インスタンステンプレートを作成]をクリックした場合は、ここをクリックして詳細な手順を参照してください。
    インスタンステンプレートの[名前]を入力します。
    [マシン構成]の詳細を入力します。
    [起動ディスク]で、[変更]をクリックします。
    カスタマイズされたzpa-service-edgeを選択します。
    [アクセス範囲]では次の操作を行います。
    [すべてのクラウドAPIへのフルアクセスを許可]を選択して、シークレットマネージャーに存在するプロビジョニングキーにアクセスします。
    [詳細オプション]セクションを展開し、次いで[管理]セクションを展開します。
    [管理]セクションで、次の操作を行います。
    [説明]フィールドに説明を入力します。
    [自動化]フィールドに次のスクリプトを追加します。
    #!/usr/bin/bash # Sleep to allow the system to initialize sleep 15 curl -O https://dl.google.com/dl/cloudsdk/channels/rapid/downloads/google-cloud-cli-linux-x86_64.tar.gz tar -xf google-cloud-cli-linux-x86_64.tar.gz export PATH=$PATH:$PWD sudo ./google-cloud-sdk/install.sh # Install Private Service Edge packages yum install -y zpa-service-edge # Stop the Private Service edge service which was auto-started at boot time systemctl stop zpa-service-edge # Fetch the secret from Secret Manager SECRET_NAME="Provision_key" SECRET_VALUE=$(gcloud secrets versions access latest --secret="$SECRET_NAME") # Use the secret in your application or script echo "The secret value is: $SECRET_VALUE" # Example: Export the secret as an environment variable export MY_SECRET="$SECRET_VALUE" # Create a file from the Private service edge provisioning key created in the ZPA Admin Portal # Make sure that the provisioning key is between double quotes echo "$SECRET_VALUE" > /opt/zscaler/var/service-edge/provision_key chmod 644 /opt/zscaler/var/service-edge/provision_key # Start the private service edge service to enroll it in the ZPA cloud systemctl start zpa-service-edge # Wait for the private service edge to download the latest build sleep 60 # Stop and then start the private servic eedge for the latest build systemctl stop zpa-service-edge systemctl start zpa-service-edge sleep 20 # Run a yum update to apply the latest patches yum update -y
    [作成]をクリックします。
    閉じる
  2. ドロップダウンメニューからリージョンとゾーンを選択します。
  3. [Auto Scaling]タブで、次の操作を行います。
    インスタンスの最小数と最大数をそれぞれ2と4として選択します。
    [シグナルタイプ]ドロップダウンメニューで[CPU使用率]を選択します。
    [ターゲットCPU使用率]フィールドに80と入力します。
    [初期化期間]フィールドに300と入力します。
  4. [作成]をクリックします。
  閉じる
閉じる
ステップ3: STIGで強化されたPrivate Service Edgeイメージのパスワードの有効期限を無効にします
This article applies to Security Technical Implementation Guide (STIG) images that were released on November 24, 2024, and December 12, 2024. STIG images released after these dates are not affected.
If you're using an affected STIG image, passwords automatically expire every 60 days for Amazon Web Services (AWS), Google Cloud Platform (GCP), and Microsoft Azure, or 95 days (60 days + a 35-day grace period) for VMware.
If the password expires without changing it or disabling expiration, admin access to a ZPA Private Service Edge is no longer available. When admin access expires, the only recovery method is to deploy a new ZPA Private Service Edge.
STIG-hardened prebuilt Private Service Edge images affected by password expiration were released on:
- AWS and GCP: November 24, 2024
- Azure and VMware: December 12, 2024
To verify if an image is STIG-hardened:
1. Go to the Private Service Edge page in the ZPA Admin Portal.
2. Expand the row for a Private Service Edge in the table.
3. Under Private Service Edge Host Platform, if you see ZSIVersion: 2024.11 or ZSIVersion: 2024.12 for the ZSIVersion, the image is STIG-hardened.
See image.
Example STIG-hardened image with ZSIVersion: 2024.11.
閉じる
Zscaler recommends using one of these methods for passwords:
- Disable or set a password for AWS, GCP, and Azure.
  Disable the password expiration:
  Enter the following command (replacing admin with your admin username):
  [admin@zpa-service-edge ~]$ sudo chage -M -1 admin
  Verify that the password is set to never expire.
  [admin@zpa-service-edge ~]$ sudo chage -l admin Last password change : Feb 18, 2025 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 1 Maximum number of days between password change : -1 Number of days of warning before password expires : 7
  Set a password when creating a new instance using passwd admin (replacing admin with your admin username) and renew it every 60 days.
  閉じる
- Disable or set a password for VMware.
  Disable the password expiration by entering the following command (replacing admin with your admin username):
  $ sudo chage -M -1 admin
  Set a password when creating a new instance using passwd admin (replacing admin with your admin username) and renew it every 60 or 95 days.
  閉じる
閉じる
ステップ4:展開済みPrivate Service Edgeのネットワークを構成します
サポート対象のプラットフォーム上にZPA Private Service Edgeを展開する前に、以下のネットワーキング構成を完了する必要があります。
- ZPA Private Service EdgeのDHCP IPアドレッシングを設定する
  デフォルトでは、仮想マシンベースのZPA Private Service Edgeは、プライマリーインターフェイスでDHCPネットワークを使用するように設定されています。必要に応じて、ZPA Private Service Edgeの静的IPアドレスを設定できます。
  閉じる
- ZPA Private Service Edgeの静的IPアドレッシングを設定する
  DHCPが利用できない場合、VMベースのZPA Private Service Edgeで静的IPアドレスを設定できます。
  管理者資格情報を使用してZPA Private Service Edgeコンソールにログインします。
  現在の接続プロファイルを表示します。
  [admin@zpa-service-edge ~]$ nmcli connection show
  次の形式を使用して、接続プロファイルを変更します。<プロファイル名> connection.id <新規接続名>。例えば：
  [admin@zpa-service-edge ~]$ sudo nmcli connection modify "Profile 1" connection.id LAN
  現在の接続プロファイルを確認します。
  [admin@zpa-service-edge ~]$ nmcli connection show
  静的IPアドレスとデフォルトゲートウェイを使用して、<接続ID> ipv4.method manual ipv4.addresses <IPアドレス> ipv4.gateway<ゲートウェイIP> ipv4.dns<DNS IP> ipv4.dns-search<ドメイン名>形式でプロフィールを編集します。例：
  [admin@zpa-service-edge ~]$ sudo nmcli connection modify LAN ipv4.method manual ipv4.addresses 172.30.1.88/24 ipv4.gateway 172.30.1.1 ipv4.dns 172.30.1.254 ipv4.dns-search company.com
  変更を適用するため、接続IDをオンに戻します。例えば、次の通りです。
  [admin@zpa-service-edge ~]$ sudo nmcli connection up LAN
  IPアドレスを検証します。
  [admin@zpa-service-edge ~]$ ip addr show
  デフォルトゲートウェイを検証します。
  [admin@zpa-service-edge ~]$ ip route show default
  DNS設定を検証します。
  [admin@zpa-service-edge ~]$ sudo cat /etc/resolv.conf
  閉じる
- ZPA Private Service Edgeの追加インターフェイスを設定する
  必要に応じて、nmcli connection add con-nameを使用して新しいインタフェースを設定するか、nmcli connection modifyを使用して既存のインタフェースの名前を変更することで、インタフェースに追加の変更を加えることができます。
  管理者資格情報を使用してZPA Private Service Edgeコンソールにログインします。
  IPアドレスを表示します。
  [admin@zpa-service-edge ~]$ ip addr show
  現在の接続プロファイルを表示します。
  [admin@zpa-service-edge ~]$ nmcli connection show
  動的または静的イーサネット構成を使用して、インターフェイスのIPネットワークを構成します。
  動的の場合は、接続プロファイルを変更します。例：
  [admin@zpa-service-edge ~]$ sudo nmcli connection modify "Profile 1" ipv4.method auto
  静的の場合は、接続プロファイルを変更し、次の形式を使用してIPアドレスとゲートウェイを識別します。<プロファイル名> ipv4.method manual ipv4.addresses <アドレス> ipv4.gateway <アドレス>。例えば：
  [admin@zpa-service-edge ~]$ sudo nmcli connection modify "Profile 1" ipv4.method manual ipv4.addresses 192.168.2.241/24 ipv4.gateway 192.168.2.254
  変更を適用するには、接続プロファイルのバックアップに戻します。例：
  [admin@zpa-service-edge ~]$ sudo nmcli connection up "Profile 1"
  IPアドレスを再確認してください。
  [admin@zpa-service-edge ~]$ ip addr show
  新しい接続を再確認します。
  [admin@zpa-service-edge ~]$ nmcli connection show
  閉じる
- ZPA Private Service Edgeのスタティックルーティングを設定する
  ZPA Private Service Edge用のインターフェイスコントロールファイルに静的ルートを追加するには、次の手順を実行します。
  管理者資格情報を使用してZPA Private Service Edgeコンソールにログインします。
  次の形式を使用して、既存のイーサネット接続の静的ルートを編集します。<プロファイル名> ipv4.routes <アドレスとゲートウェイ>。例えば：
  [admin@zpa-service-edge ~]$ sudo nmcli connection modify "Profile 1" +ipv4.routes "192.168.2.241/24 10.10.10.1"
  変更を適用するには、接続プロファイルを停止してからバックアップします。例：
  [admin@zpa-service-edge ~]$ sudo nmcli connection down "Profile 1"
  [admin@zpa-service-edge ~]$ sudo nmcli connection up "Profile 1"
  新しいルートが追加されたことを確認します。
  [admin@zpa-service-edge ~]$ ip route
  閉じる
- ZPA Private Service Edgeのドメインネームシステム(DNS)リゾルバーを設定する
  DNS解決は、ZPAPrivate Service Edgeの正常な作動に不可欠です。ZPA Private Service Edgeは、ZPAクラウドインフラストラクチャーなどの外部DNS名も解決できる必要があります。
  管理者資格情報を使用してZPA Private Service Edgeコンソールにログインします。
  現在の接続プロファイルを表示します。
  [admin@zpa-service-edge ~]$ nmcli connection show
  次の形式を使用して、DNS設定を変更します。<プロファイル名> ipv4.dns <ネームサーバーIP>。例えば：
  [admin@zpa-service-edge ~]$ sudo nmcli connection modify "Profile 1" +ipv4.dns 192.168.2.241
  変更を適用するには、接続プロファイルを停止してからバックアップします。例：
  [admin@zpa-service-edge ~]$ sudo nmcli connection down "Profile 1"
  [admin@zpa-service-edge ~]$ sudo nmcli connection up "Profile 1"
  ネームサーバーレコードが追加されたことを確認します。
  [admin@zpa-service-edge ~]$ sudo cat /etc/resolv.conf
  閉じる
- ZPA Private Service Edgeのネットワークタイムプロトコル(NTP)サーバーを設定する
  ZPA Private Service Edgeで内部NTPサーバーを使用するように設定するには、次の手順を実行します。
  管理者資格情報を使用してZPA Private Service Edgeコンソールにログインします。
  /etc/chrony.confファイルを編集します。viなどのエディターを使用します。
  [admin@zpa-service-edge ~]$sudo vi /etc/chrony.conf
  社内のNTPサーバーをリストに追加します。次に例を示します。
  server 0.zscaler.pool.ntp.org iburst server 1.zscaler.pool.ntp.org iburst server 2.zscaler.pool.ntp.org iburst server 3.zscaler.pool.ntp.org iburst
  変更を適用するには、以下のコマンドでchrony daemonを再起動します。
  [admin@zpa-service-edge ~]$ systemctl restart chronyd
  閉じる
- ZPA Private Service Edgeで明示的なプロキシサーバーを使用するように設定する
  トラフィックがプロキシを経由する場合は、そのプロキシを経由するようにPrivate Service Edgeを手動で設定する必要があります。以下の手順により、ZPA Private Service Edgeは、標準のHTTPプロキシーサーバーを通じてCONNECTリクエストを使用してブローカーと通信できます。
  ZPA Private Service Edgeで明示的なプロキシを経由して動作するように設定するには、次の手順を実行します。
  管理者資格情報を使用してZPA Private Service Edgeコンソールにログインします。
  /opt/zscaler/var/service-edge/proxyという名前のファイルを作成します。viなどのエディターを使用します。
  [admin@zpa-service-edge ~]$ sudo vi /opt/zscaler/var/service-edge/proxy
  以下の形式を使用してプロキシ情報を入力します：<プロキシホスト名またはIPアドレス>:<プロキシポート>(例、192.0.2.0:0)。
  変更を適用するには、次のコマンドを使用して、ZPA Private Service Edgeを再起動します。
  [admin@zpa-service-edge ~]$ sudo systemctl restart zpa-service-edge
  ZPA Private Service Edgeは、前に指定したプロキシーを介してTLSセッションの作成を試みます。
  閉じる
- HTTPプロキシサーバーを使用するようにyumを設定する
  HTTPプロキシサーバーを介して通信するようにyumを設定する場合は、CentOSおよびRed Hatのドキュメントを参照してください。CentOS 7.x、RHEL 7.x、および Oracle Linux 7.x のサポートの詳細は、CentOS 7.x、RHEL 7.xおよびOracle Linux 7.xのサポート終了を参照してください。
  閉じる
閉じる
ステップ5:展開済みPrivate Service Edgeが正常に実行されていることを確認します。また、サイジング要件を満たしていることを確認します。

展開を確認したら、システムを維持するための追加タスクを実行できます(つまり、Private Service Edgeコンソール管理者資格情報の変更やシステムソフトウェア更新の実行)。詳細は、展開済みZPA Private Service Edgeの管理を参照してください。

Private Service Edgeが展開されたら、次のことができます。

アプリケーショントラフィックを渡すためのApplication Segmentsとアクセスポリシーを作成します。たとえば、構成をテストするには、Private Service EdgeへのSSHアクセスを許可する、シンプルなApplication Segmentをセットアップすることを検討してください。
Private Service Edgeのログレシーバーを構成して、ログストリーミングサービス(LSS)経由でPrivate Service Edgeまたはユーザーに関する情報を受信します。

セキュアなプライベート アクセス(ZPA)

Google Cloud Platform用のPrivate Service Edgeの展開ガイド

ZPA Private Service Edgeスループットについての理解

オペレーティングシステムのセキュリティ

ファイアウォールの要件と相互運用性ガイドライン

この記事は役に立ちましたか？下のアイコンをクリックしてご意見をお寄せください。

関連記事s

セキュアなプライベートアクセス(ZPA)