Zscaler Internet Access(ZIA)でSSL/TLSインスペクション設定

こんにちは。ネットワークソリューション特集 編集部です。
今回は、Zscaler Internet Access(ZIA)でSSL/TLSインスペクション設定についてご紹介します。

SSL/TLSインスペクション

現在のWeb通信は80%以上が暗号化されており暗号化されている場合はFQDN単位(ドメインフィルタまで)での検査しか対応できません。

CASBやATP(高度な脅威保護)を利用するにはデータの中身を検査する必要があり復号化するにはSSL/TLSインスペクションの設定が必須です。

なお、HTTP/3(QUIC)には未対応のためFWでブロック、ブラウザで無効化等が必要です。

SSLインスペクション設定

1.SSLインスペクションの設定は、ポリシーからSSLインスペクションを選択します。

2.Zscalerには、SSLインスペクションに対応していないサイトなどを除外するためのルールがあらかじめ用意されています。

  • Zscaler Recommended Exemptions
    証明書のピン留めなど様々な理由でSSL検査ができない数十の宛先が含まれています
  • Office 365 One Click
    Office 365の通信を最適化するためのルールです

ルールの中身のURLは公開されていませんが、こちらのルールに適用したかどうはWebログから確認できます。

3.SSLインスペクションルールを追加を押して、ルールを作成します。

4.ルールの順番、ルール名を設定して、ルールのステータスを有効にします。
ルールは上位から順にみていくので、ルールの順番はプリセットされた除外ルールよりもあとになるように設定します。

5.ルールを適用するトラフィックを指定します。
URLカテゴリ、クラウドアプリケーションなど対象を指定します。指定しない場合は、すべてのトラフィックが対象となります。

6.ルールを適用するロケーションやユーザー、グループを指定します。
ユーザーの指定は最大4つまで、グループの指定は最大8つまでの制限があります。 指定しない場合はすべてのユーザーが対象になります。

7.デバイスやデバイスの信頼レベル、ユーザーエージェントを指定してルールを適用することができます。

8.アクションを指定します。SSLインスペクションを適用するのでアクションは検査にします。
信頼されていないサーバ証明書は、ユーザーに警告を出してサイトを表示するかどうか選択できるようにする場合はパススルー、ブロックする場合はブロックを選択します。
ChromeやEdgeなどのほとんどのブラウザでTLS1.0、TLS1.1はデフォルトで無効になっているので、クライアントとサーバーの最小TLSのバージョンは、 TLS1.2以上に設定します。

9.SSLインスペクションが適用されているかどうかは、Webの分析からログで確認ができます。

10.SSLインスペクションが適用されたトラフィックは、SSL Inspectedの列に「はい」と表示されます。
SSL Policy Reasonの列でSSLインスペクションの検査の有無の理由が確認できます。
Zscalerの用意した「Zscaler Recommended Exemptions」と「Office 365 One Click」の除外ルールが適用された場合、それぞれ「Zscalerのベストプラクティスが理由で検証されていません」「Office365バイパスのため検証されていません」とログに記録されます。

まとめ

  • データ検査をするためには、SSL/TLSインスペクションが必要
  • HTTP/3(QUIC)には未対応
  • 未対応のサイト、アプリがある場合は除外が必要

今回はZscaler Internet Access(ZIA)でSSL/TLSインスペクション設定についてご紹介しました。