2023年9月12日 / 最終更新日時 : 2023年12月12日 テクバン ネットワークソリューション担当 Zscaler

Zscaler Private Access(ZPA)設定手順

こんにちは。ネットワークソリューション特集 編集部です。
今回は、Zscaler Private Access(ZPA)設定手順についてご紹介します。

今回は、最低限必要な設定に絞っています。

IDaaS連携(認証、ユーザプロビジョニング)

Zscaler Private Access(ZPA)はSAMLが必須となります。また、ユーザプロビジョニングはSCIMを利用します。

Zscaler Client Connectorインストール、設定

Windows、macOS、LinuxのクライアントソフトはZscalerClientPortalからダウンロードしてインストールします。なお、IDaaS連携が終わってない場合はZPAを有効にできません。

モバイル端末は各アプリストアからインストールします。

ZCC更新間隔

Zscaler Client Connectorの更新間隔は固定値のため、設定変更後はすぐにクライアント側に反映されません。

  • 15分ごとに、Zscaler Client Connectorはアプリプロファイルと転送プロファイルのPACファイルをダウンロードします。
  • 1時間ごとに、Zscaler Client Connectorは、アプリプロファイル、転送プロファイル、管理設定からのポリシー更新のために接続します。
    PACファイルのURLが変更された場合、プロファイルの変更としてカウントされるため、1時間ごとに自動更新されます。
  • 2時間ごとに、Zscaler Client Connectorはソフトウェアのアップデートをチェックします。

Forwarding Profile設定

利用場所に応じた転送方法(例えば社内ネットワークではZPA無効等)、トンネル方式を設定します。トンネル方式はすべての通信を転送できるZ-Tunnel2.0が推奨です。

  • Z-Tunnel 1.0
    HTTP(TCP/80,443)のみを転送
    サポートOS全てで転送可能
  • Z-Tunnel 2.0
    全プロトコル、ポート対応
    Windows、macOS、Linuxのみ対応

App Profile設定

OSプラットフォーム毎にApp Profileを作成します。

AppConnectorインストール

ZPAではアクセス先のネットワークにAppConnectorサーバが必要となります。

アクセスするサーバと同じセグメントに2台冗長構成でインストールします。

AppConnectorをインストールするプラットフォームのガイドを参照してください。

help.zscaler.com
App Connectorの展開の前提条件 | Zscaler
https://help.zscaler.com/ja/zpa/connector-deployment-prerequisites
Zscaler Private Access(ZPA)App Connectorの詳細な仕様とサイズ情報、プラットフォームの前提条件、およびベストプラクティス(App Connector導入前に対処すべき各種OSセキュリティ機能、ファイアウォール要件、および相互運用性ガイドラインに関する情報など)を提供します。

AppConnector Group

同じProvisioning Keyをしてデプロイすると冗長構成のAppConnector Groupになります。

アクセス先が異なる場合は、違うProvisioning Keyを作成してデプロイします。

AppConnectorは1台あたり、500Mbpsの転送が可能です。AppConnector Groupは全てアクティブで動作しているため最小構成の2台では1Gbps程度になります。それ以上の速度が必要な場合はスケールアウトして台数を増やしてください。

アプリケーション通信ポリシー設定(AppConnector Group)

サーバがどのAppConnector配下にあるのかAppConnector Groupで定義します。

Servers、Server Groups設定

同じアプリケーションでのロードバランシング要件がなければ下記で設定します。

  • Serversは何も登録しない
  • Server Groupsは「Dynamic Server Discovery」のみを設定

AppConnector Group設定

  • Server Groupsを該当のAppConnector Groupに紐づけます

アプリケーション通信ポリシー設定(Application Segments、Segment Group)

ZCCからの宛先はApplication Segments or Segment Groupを指定します。

Application Segments、Segment Group設定

  • Application Segmentsでアプリケーション、ネットワーク、ポート番号、ヘルスチェックを定義します
  • Application SegmentsをSegment Groupでグルーピングします

ログ転送

ZPAのログは14日間しか保存されないため、ログ転送用のAppConnector、シスログサーバ転送が推奨です。

help.zscaler.com
About the Log Streaming Service | Zscaler
https://help.zscaler.com/ja/zpa/about-log-streaming-service
Information on how the Zscaler Private Access (ZPA) Log Streaming Service (LSS) is deployed, including information on the log types captured by configured log receivers within the ZPA Admin Portal. 

まとめ

  • IDaaS連携必須
  • アプリケーション通信ポリシー設定が初見だと分かりにくいが関係性を整理すれば問題ない
  • ログ保存は14日間なので別途ログサーバに保存する

今回はZscaler Private Access(ZPA)設定手順についてご紹介しました。

関連記事:

Zscaler Client Connector(ZCC)のForwarding Profile設定 Zscaler製品(ZIA、ZPA)のエディション変更(FY24) Zscaler Internet Access(ZIA)、Zscaler Private Access(ZPA)のクラウドログ保存期間とログ転送方法 Zscaler Internet Access(ZIA)、Zscaler Private Access(ZPA)の違い
カテゴリー
Zscaler
タグ
Cato Networks

前の記事

Cato Networks プロダクトアップデート(2023/9/4)
2023年9月8日
Zscaler

次の記事

Zscaler Internet Access(ZIA)でのクラウドファイアウォールの設定
2023年9月14日