Zscalerのデバイスポスチャについて
こんにちは。ネットワークソリューション特集 編集部です。
今回は、今回は、Zscalerのデバイスポスチャの機能について紹介します。
端末が社内外のリソースやネットワークに接続する際、例えばアンチウィルスソフトが有効になっているなど一定条件を満たしている端末のみアクセスを許可させたいというような場合、デバイスポスチャ機能を利用します。
ポスチャプロファイルについて
Zscalerでは、端末の評価をするための条件をポスチャプロファイルに記載します。ポスチャプロファイルの評価結果に基づいて、ZIAとZPAの両方のポリシーでアクセス制限を設定することができます。
図のようにポスチャプロファイルを設定し、AntivirusとFirewallが有効になっている端末のみアクセス許可することで、条件を満たしていない端末の社内システムへのアクセスやクラウドサービスの利用を制限することができます。
ポスチャプロファイルの設定
ポスチャプロファイルの設定について説明します。
ポスチャプロファイルは、Zscaler Client Connectorのポータルから作成します。
主な設定項目についてみていきます。
PLATFORMではプロファイルを適用する端末のプラットフォームを選択します。対応している端末のプラットフォームは以下になります。
- Windows
- MacOS
- Linux
- Android
- iOS
これらのプラットフォームから対象を1つ以上選択します。
Posture Typeで、デバイスポスチャのタイプを選択します。各タイプで評価する内容については以下になります。
| ポスチャタイプ | 内容 | Windows | MacOS | Linux | Android | iOS |
|---|---|---|---|---|---|---|
| Certificate Trust | 指定した証明書を端末が信頼していることをチェックします。内部ルートCAによって発行された証明書をアップロードします。 | 〇 | 〇 | 〇 | 〇 | 〇 |
| File Path | 指定したファイルが端末に存在していることをチェックします。 | 〇 | 〇 | - | - | - |
| Registry Key | 指定したレジストリキーのパスまたは値と一致することをチェックします。 | 〇 | - | - | - | - |
| Client Certificate | クライアント証明書と秘密鍵をチェックします。 | 〇 | 〇 | 〇 | - | - |
| Firewall | ファイアウォール機能が有効化されていることをチェックします。 | 〇 | 〇 | - | - | - |
| Full Disk Encryption | ディスクが完全に暗号化されていることをチェックします。 | 〇 | 〇 | 〇 | 〇 | - |
| Domain Joined | 指定のドメインまたはワークグループに参加していることをチェックします。 | 〇 | 〇 | - | - | - |
| Process Check | 指定したプロセスが起動していることをチェックします。 | 〇 | 〇 | 〇 | - | - |
| Detect Carbon Black | Carbon Blackが起動していることをチェックします。 | 〇 | 〇 | - | - | - |
| Detect CrowdStrike | CrowdStrikeが起動していることをチェックします。 | 〇 | 〇 | - | - | - |
| CrowdStrike ZTA Score | CrowdStrikeのZTAスコアをチェックします。 | 〇 | 〇 | - | - | - |
| Detect SentinelOne | SentinelOneが起動していることをチェックします。 | 〇 | 〇 | - | - | - |
| Ownership Variable | MDMでZCC配布時に設定する所有権の値をチェックします。 | - | - | - | 〇 | 〇 |
| Unauthorized Modification | ジェイルブレイクやルート化などの不正な変更が行われていないことをチェックします。 | - | - | - | 〇 | 〇 |
| Detect Microsoft Defender | Microsoft Defenderが起動していることをチェックします。 | 〇 | 〇 | 〇 | - | - |
| Detect Antivirus | アンチウィルスソフトが起動していることをチェックします。 | 〇 | 〇 | - | - | |
| OS Version | 指定のOSのバージョンであることをチェックします。 | 〇 | 〇 | 〇 | - | - |
| AzureAD Domain Joined | 指定のテナントのAzureADドメインに参加していることをチェックします。 | 〇 | - | - | - | - |
プラットフォームによって対応するポスチャタイプは異なります。選択するプラットフォームによって、サポートしていないポスチャタイプは利用することはできません。
※記載の内容は、ブログ執筆時点のものとなります。アップデートによって内容の正確性の保証はできませんので、最新の情報はメーカーのマニュアルを確認ください。
まとめ
- Zscalerではデバイスポスチャを利用して、一定の条件を満たした端末のアクセス許可を行なうことが可能
- デバイスポスチャはZscaler Client Connectorポータルでポスチャプロファイルの設定で実施
- ポスチャプロファイルはZIA、ZPAで利用可能
今回はZscalerのデバイスポスチャの設定について紹介しました。
