Zscaler Internet Access(ZIA)の送信元IPアドレス固定(SIPA)の設定方法
こんにちは。ネットワークソリューション特集 編集部です。
今回はZscaler Internet Access(ZIA)での送信元IPアドレス固定の設定方法について紹介します。
ZIA経由でインターネットへアクセスする際、送信元IPアドレスを自社固有のIPアドレスに固定してアクセスしたい場合、Source IP Anchoring(SIPA)という機能を利用します。
SIPAを利用することで、IPアドレス制限をかけているサイトなどに接続する際、送信元IPアドレスを自社で所有するグローバルIPアドレスに固定化することができます。
SIPA(送信元IPアドレス固定)についてはこちらの記事も参照ください。
※ZIAでSIPAを利用するにはZIAのオプションのライセンスもしくはZPAのライセンスが必要になります。ライセンスについては導入時に確認ください。
SIPAの構成
SIPAはZPAの仕組みを活用して実装します。そのため、ZIAの環境とZPAの環境及びApp Connectorの構築が必要となります。
以下の図のように、ZIAのトラフィックをZPAを利用して一度自社のネットワークを経由させて、指定のサイトへアクセスするようにします。
トラフィックの流れは、以下のようになります。
- 端末からZIAへ転送されたインターネットトラフィックのうち、IPアドレス制限がかかっているサイト宛てのトラフィックをZPAへ転送します。
- ZPAで該当の宛先のトラフィックを、送信元を固定するグローバルIPアドレスのある自社ネットワークに設置したAppConnectorへ転送します。
- AppConnectorから自社ルーターを経由して指定のサイトへアクセスします。
※SIPAを利用するには、用意されたZIAとZPAのサイトを紐づけてZIAからZPAへトラフィックを転送できるように接続します。これらの設定は、メーカーに依頼して実施してもらう必要があります。
続いて、設定方法についてみていきます。設定の流れとしては、「ZPA側のSIPA設定」、「ZIA側のSIPA設定」の順に実施します。
ZAP側のSIPA設定
ZPA側で必要な設定は以下になります。
- App Connectorの構築
- アプリケーションセグメントの設定
- アクセスポリシーの設定
- クライアント転送ポリシーの設定
App Connectorの構築
まずは、本社やデーターセンターなど、SIPAで利用するグローバルIPアドレスが適用されているサイトにApp Connectorを構築します。
※ZPAでは、SIPA用のApp ConnectorとPrivate Access用のApp Connectorはそれぞれ別にして構築することが推奨となります。
App Connectorの構築については、以下の記事を参照ください。
アプリケーションセグメントの設定
SIPA用のアプリケーションセグメントを作成して、送信元IPアドレス固定が必要なアプケーションを登録します。
1.「リソース管理」>「アプリケーションの管理」>「Application Segments」を選択します。
2.右上にある「Application Segmentを追加」を押します。
3.「アプリケーションの定義」で、以下設定をします。設定後、「次へ」を押して「セグメントグループ」の設定に進みます。
- 名前:アプリケーションセグメントに任意の名前を設定します
- 送信元IPアンカー:「有効」にします。
※ZIAのSIPAの設定に関連づけます。有効にすると、ZIA側でアプリケーションセグメントが選択できるようになります。 - アプリケーション:送信元IPアドレス固定が必要なサイトのドメイン名やIPアドレスを入力します。
- デフォルトのポート範囲:宛先のサーバーで利用するTCPやUDPのポート範囲を入力します。
※プルダウンからアプリケーションの種類を選択することもできます。例えば、Web Serverを選択するとTCPの80、443、8080ポートが範囲に追加されます。 - バイパス:「クライアント転送ポリシーの使用」が選択されていることを確認します。
※こちらはZCCから指定の宛先に転送する際に、転送方法の制御にクライアント転送ポリシーを利用するための設定になります。 - ICMPアクセス:対象の宛先にPingの疎通確認を実施します。
※設定は必要に応じて有効にしてください。 - 正常性レポート:App Connectorが接続先のサーバーの正常性確認を実施します。
※設定は必要に応じて有効にしてください。 - App Connectorの選択方法:接続先のアプリケーションに最も近いApp Connectorを利用する場合は「アプリケーションに近い」を選択します。選択すると対象までの往復時間が最も短いAppConnectorのが選ばれます。
※対象はTCPのアプリケーションで、利用するためには正常性レポートが有効になっている必要があります。
4.「追加セグメントグループ」タブを選択し、任意の名前を設定し、SIPAで利用するセグメントグループを作成します。
設定後、「次へ」を押して「サーバーグループ」の設定に進みます。
5.「追加サーバーグループ」タブを選択し、任意の名前を設定し、SIPAで利用するサーバーグループを作成します。App ConnectorグループからSIPAで利用するApp Connectorグループを選択します。
設定後、「次へ」を押して「確認」に進みます。
6.設定内容を確認し、問題なければ「保存」を押します。
7.そのまま、続けてポリシーの設定が行えます。「ポリシーを編集」を押して、ポリシー作成へ進みます。
アクセスポリシーの設定
始めにアクセスポリシーの設定を行います。
1.「アクセスポリシー」タブで右上にある「ルールを追加」を押します。
2.任意の名前を設定し、ルールの処理は「アクセス許可」、App Connectorの選択方法は「アプリケーションのすべてのApp Connectorグループ」にします。
3.「追加条件」を押して、「アプリケーション」を選択します。
4.「Application Segments」に作成したSIPA用のアプリケーションセグメントを設定します。
※セグメントグループでの設定も可能です。
5.「保存」を押して作成したポリシーを保存します。
クライアント転送ポリシーの設定
続いてクライアント転送ポリシーの設定を行います。クライアント転送ポリシーはZCCがトラフィックをZPAへ転送するかどうかの制御に利用します。
ここでは、SIPAの対象のアプリケーションのトラフィックがZCCから直接ZPAへは転送されずに、ZIAからZPAへ転送されるように以下2つのルールを作成します。
- ルール1:クライアントからSIPAのセグメントをZPAへの転送をバイパス
- ルール2:ZIAからSIPAセグメントのトラフィックをZPAへ転送
1.「ポリシー」>「クライアント転送ポリシー」を選択します。
2.「クライアント転送ポリシー」タブで右上にある「ルールを追加」を押します。
3.バイパスルールを作成します。名前は任意で設定、「ルールの処理」は「ZPAをバイパス」を選択し、「追加条件」を押します。
4.「アプリケーション」を選択します。
5.「Application Segments」に作成したSIPA用のアプリケーションセグメントを設定します。
6.「追加条件」を押して、「クライアントタイプ」を選択します。
7.「クライアントタイプ」に「Client Connector」を選択し、保存を押します。
8.「クライアント転送ポリシー」タブで右上にある「ルールを追加」を押します。
9.ZIAからZPAへの転送ルールを作成します。名前は任意で設定し、「ルールの処理」は「ZPAに転送」を選択します。「追加条件」を押します。
10.追加条件で、「Application Segments」に作成したSIPA用のアプリケーションセグメント、「クライアントタイプ」に「ZIA Service Edge」を選択し、保存を押します。
11.ルールが指定の順番で作成されていることを確認します。
ZIA側のSIPA設定
ZIA側で必要な設定は以下になります。
- ZPAゲートウェイの作成
- 転送コントロールの設定
ZPAゲートウェイの作成
ZIAからZPAへ転送するために、ZPAゲートウェイを作成し、送信元IPアドレス固定が必要なアプリケーションセグメントとサーバーグループを関連付けます。
1.「管理」 > 「Zscaler Private Access」を選択します。
2.「追加ZPAへのゲートウェイ」ボタンを押します。
3.「ゲートウェイ名」は任意の名前を入力し、「サーバーグループ」からZPAで設定したSIPAで利用するサーバーグループを選択します。「アプリケーションセグメント」はサーバーグループを選択すると、関連付けられたアプリケーションセグメントが表示されますので、「保存」を押して設定を保存します。
4.「有効化」ボタンを押して、設定を反映します。
転送コントロールの設定
SIPAのトラフィックをZPAへ転送するためのルールを設定します。
1.「ポリシー」 > 「転送コントロール」 を選択します。
2.「転送ルールを追加」を押します。
3.「ルール名」に任意の名前を設定し、「転送方法」は「ZPA」を選択します。
4.「宛先」タブを選択し、「アプリケーションセグメント」に送信元IPアドレス固定が必要なアプリケーションセグメントを設定します。「ZPAゲートウェイに転送」に作成したZPAゲートウェイを設定し、保存を押して設定を保存します。
5.「有効化」ボタンを押して、設定を反映します。
まとめ
- 送信元IPアドレス固定(SIPA)は、ZPAの仕組みを利用して実装します
- SIPAは、ZIAとZPAの両方で設定が必要になります。
- SIPAが必要な宛先は、ZPAのアプリケーションセグメントで指定します。
今回はZIAの送信元IPアドレス固定(SIPA)の設定方法についてご紹介しました。