Zscaler Internet Access(ZIA)の送信元IPアドレス固定(SIPA)の設定方法

こんにちは。ネットワークソリューション特集 編集部です。

今回はZscaler Internet Access(ZIA)での送信元IPアドレス固定の設定方法について紹介します。

ZIA経由でインターネットへアクセスする際、送信元IPアドレスを自社固有のIPアドレスに固定してアクセスしたい場合、Source IP Anchoring(SIPA)という機能を利用します。
SIPAを利用することで、IPアドレス制限をかけているサイトなどに接続する際、送信元IPアドレスを自社で所有するグローバルIPアドレスに固定化することができます。

SIPA(送信元IPアドレス固定)についてはこちらの記事も参照ください。

※ZIAでSIPAを利用するにはZIAのオプションのライセンスもしくはZPAのライセンスが必要になります。ライセンスについては導入時に確認ください。

SIPAの構成

SIPAはZPAの仕組みを活用して実装します。そのため、ZIAの環境とZPAの環境及びApp Connectorの構築が必要となります。

以下の図のように、ZIAのトラフィックをZPAを利用して一度自社のネットワークを経由させて、指定のサイトへアクセスするようにします。

トラフィックの流れは、以下のようになります。

  1. 端末からZIAへ転送されたインターネットトラフィックのうち、IPアドレス制限がかかっているサイト宛てのトラフィックをZPAへ転送します。
  2. ZPAで該当の宛先のトラフィックを、送信元を固定するグローバルIPアドレスのある自社ネットワークに設置したAppConnectorへ転送します。
  3. AppConnectorから自社ルーターを経由して指定のサイトへアクセスします。

※SIPAを利用するには、用意されたZIAとZPAのサイトを紐づけてZIAからZPAへトラフィックを転送できるように接続します。これらの設定は、メーカーに依頼して実施してもらう必要があります。

続いて、設定方法についてみていきます。設定の流れとしては、「ZPA側のSIPA設定」、「ZIA側のSIPA設定」の順に実施します。

ZAP側のSIPA設定

ZPA側で必要な設定は以下になります。

  • App Connectorの構築
  • アプリケーションセグメントの設定
  • アクセスポリシーの設定
  • クライアント転送ポリシーの設定

App Connectorの構築

まずは、本社やデーターセンターなど、SIPAで利用するグローバルIPアドレスが適用されているサイトにApp Connectorを構築します。
※ZPAでは、SIPA用のApp ConnectorとPrivate Access用のApp Connectorはそれぞれ別にして構築することが推奨となります。
App Connectorの構築については、以下の記事を参照ください。

アプリケーションセグメントの設定

SIPA用のアプリケーションセグメントを作成して、送信元IPアドレス固定が必要なアプケーションを登録します。

1.「リソース管理」>「アプリケーションの管理」>「Application Segments」を選択します。

2.右上にある「Application Segmentを追加」を押します。

3.「アプリケーションの定義」で、以下設定をします。設定後、「次へ」を押して「セグメントグループ」の設定に進みます。

  • 名前:アプリケーションセグメントに任意の名前を設定します
  • 送信元IPアンカー:「有効」にします。
    ※ZIAのSIPAの設定に関連づけます。有効にすると、ZIA側でアプリケーションセグメントが選択できるようになります。
  • アプリケーション:送信元IPアドレス固定が必要なサイトのドメイン名やIPアドレスを入力します。
  • デフォルトのポート範囲:宛先のサーバーで利用するTCPやUDPのポート範囲を入力します。
    ※プルダウンからアプリケーションの種類を選択することもできます。例えば、Web Serverを選択するとTCPの80、443、8080ポートが範囲に追加されます。
  • バイパス:「クライアント転送ポリシーの使用」が選択されていることを確認します。
    ※こちらはZCCから指定の宛先に転送する際に、転送方法の制御にクライアント転送ポリシーを利用するための設定になります。
  • ICMPアクセス:対象の宛先にPingの疎通確認を実施します。
    ※設定は必要に応じて有効にしてください。
  • 正常性レポート:App Connectorが接続先のサーバーの正常性確認を実施します。
    ※設定は必要に応じて有効にしてください。
  • App Connectorの選択方法:接続先のアプリケーションに最も近いApp Connectorを利用する場合は「アプリケーションに近い」を選択します。選択すると対象までの往復時間が最も短いAppConnectorのが選ばれます。
    ※対象はTCPのアプリケーションで、利用するためには正常性レポートが有効になっている必要があります。

4.「追加セグメントグループ」タブを選択し、任意の名前を設定し、SIPAで利用するセグメントグループを作成します。
設定後、「次へ」を押して「サーバーグループ」の設定に進みます。

5.「追加サーバーグループ」タブを選択し、任意の名前を設定し、SIPAで利用するサーバーグループを作成します。App ConnectorグループからSIPAで利用するApp Connectorグループを選択します。
設定後、「次へ」を押して「確認」に進みます。

6.設定内容を確認し、問題なければ「保存」を押します。

7.そのまま、続けてポリシーの設定が行えます。「ポリシーを編集」を押して、ポリシー作成へ進みます。

アクセスポリシーの設定

始めにアクセスポリシーの設定を行います。

1.「アクセスポリシー」タブで右上にある「ルールを追加」を押します。

2.任意の名前を設定し、ルールの処理は「アクセス許可」、App Connectorの選択方法は「アプリケーションのすべてのApp Connectorグループ」にします。

3.「追加条件」を押して、「アプリケーション」を選択します。

4.「Application Segments」に作成したSIPA用のアプリケーションセグメントを設定します。
※セグメントグループでの設定も可能です。

5.「保存」を押して作成したポリシーを保存します。

クライアント転送ポリシーの設定

続いてクライアント転送ポリシーの設定を行います。クライアント転送ポリシーはZCCがトラフィックをZPAへ転送するかどうかの制御に利用します。
ここでは、SIPAの対象のアプリケーションのトラフィックがZCCから直接ZPAへは転送されずに、ZIAからZPAへ転送されるように以下2つのルールを作成します。

  • ルール1:クライアントからSIPAのセグメントをZPAへの転送をバイパス
  • ルール2:ZIAからSIPAセグメントのトラフィックをZPAへ転送

1.「ポリシー」>「クライアント転送ポリシー」を選択します。

2.「クライアント転送ポリシー」タブで右上にある「ルールを追加」を押します。

3.バイパスルールを作成します。名前は任意で設定、「ルールの処理」は「ZPAをバイパス」を選択し、「追加条件」を押します。

4.「アプリケーション」を選択します。

5.「Application Segments」に作成したSIPA用のアプリケーションセグメントを設定します。

6.「追加条件」を押して、「クライアントタイプ」を選択します。

7.「クライアントタイプ」に「Client Connector」を選択し、保存を押します。

8.「クライアント転送ポリシー」タブで右上にある「ルールを追加」を押します。

9.ZIAからZPAへの転送ルールを作成します。名前は任意で設定し、「ルールの処理」は「ZPAに転送」を選択します。「追加条件」を押します。

10.追加条件で、「Application Segments」に作成したSIPA用のアプリケーションセグメント、「クライアントタイプ」に「ZIA Service Edge」を選択し、保存を押します。

11.ルールが指定の順番で作成されていることを確認します。

ZIA側のSIPA設定

ZIA側で必要な設定は以下になります。

  • ZPAゲートウェイの作成
  • 転送コントロールの設定

ZPAゲートウェイの作成

ZIAからZPAへ転送するために、ZPAゲートウェイを作成し、送信元IPアドレス固定が必要なアプリケーションセグメントとサーバーグループを関連付けます。

1.「管理」 > 「Zscaler Private Access」を選択します。

2.「追加ZPAへのゲートウェイ」ボタンを押します。

3.「ゲートウェイ名」は任意の名前を入力し、「サーバーグループ」からZPAで設定したSIPAで利用するサーバーグループを選択します。「アプリケーションセグメント」はサーバーグループを選択すると、関連付けられたアプリケーションセグメントが表示されますので、「保存」を押して設定を保存します。

4.「有効化」ボタンを押して、設定を反映します。

転送コントロールの設定

SIPAのトラフィックをZPAへ転送するためのルールを設定します。

1.「ポリシー」 > 「転送コントロール」 を選択します。

2.「転送ルールを追加」を押します。

3.「ルール名」に任意の名前を設定し、「転送方法」は「ZPA」を選択します。

4.「宛先」タブを選択し、「アプリケーションセグメント」に送信元IPアドレス固定が必要なアプリケーションセグメントを設定します。「ZPAゲートウェイに転送」に作成したZPAゲートウェイを設定し、保存を押して設定を保存します。

5.「有効化」ボタンを押して、設定を反映します。

まとめ

  • 送信元IPアドレス固定(SIPA)は、ZPAの仕組みを利用して実装します
  • SIPAは、ZIAとZPAの両方で設定が必要になります。
  • SIPAが必要な宛先は、ZPAのアプリケーションセグメントで指定します。

今回はZIAの送信元IPアドレス固定(SIPA)の設定方法についてご紹介しました。