/ クラウド プロキシとは
クラウド プロキシとは
クラウド プロキシが必要な理由
クラウド プロキシは、多くの点でリバース プロキシと同様に機能します。つまり、クライアントからのリクエストはクラウド プロキシを経由してインターネット アドレスへ流れ、Webページへのアクセス許可などの応答はプロキシを経由してクライアントに戻ってきます。ただし、クラウド プロキシはクラウドに存在するため、従来のアプライアンスベースのプロキシのようにデータ センターのハードウェアに縛られることはありません。
アプライアンスベースのプロキシが抱える課題
従来型のリバース プロキシ サーバーとHTTPプロキシは、現在のネットワーク セキュリティ スタックにおいても一般的ですが、ITにおいては以下のような問題が増えてきています。
- レイテンシー:プロキシは、インラインで動作してトラフィックをインターセプトする必要がありますが、帯域幅が制限されたアプライアンスを介してトラフィックをシリアル方式でルーティングすると、リクエストに大幅なレイテンシーが発生し、ユーザー エクスペリエンスの低下につながります。これは特にオンサイトのエンタープライズ展開で顕著です。
- 互換性:従来型のプロキシは、リッチWebベースのアプリケーションが認証、API呼び出し、サービス リクエストなどを実行する方法に合わせて構築されていません。そのため、アプリケーションの互換性の問題が発生しやすくなり、追加のトラブルシューティングも余儀なくされます。
- コスト:企業用のプロキシ アプライアンスにかかるコストは、一般的なITの予算を鑑みると非常に高額です。TLS/SSLトラフィックの検査に使用する場合、ベンダーによっては8倍のアプライアンスの使用を推奨することもあり、費用はさらに高額になります。
- キャッシュ:キャッシュはかつてプロキシ アーキテクチャーの重要な機能でしたが、今ではあらゆるWebブラウザーに備わっており、ネットワークベースのキャッシュはせいぜい副次的なサービスになっています。
クラウド プロキシのメリット
プロキシは、ユーザー エクスペリエンスを損なうことなく、ステルス性が高い脅威を防止するうえで、現在も適したソリューションであると言えます。しかし、クラウドとモビリティが中心となった今日、ハードウェアベースのソリューションでは、この目的を確実に果たすことはできません。一方、効果的なクラウドベースのプロキシ アーキテクチャーは、以下を実現することが可能です。
- あらゆるアプリケーションへの対応:クラウドベースのアプリも含め、あらゆるポートに対応し、互換性の問題を大幅に削減します。
- グローバルなユーザーへの対応:移動が多く企業のネットワークから遠く離れたところで仕事をするユーザーにも対応できます。
- 一般的なハードウェアベースのプロキシの平均価格と比較して大幅なコスト削減を実現し、IT関連の支出を削減。
- 優れたユーザー エクスペリエンスの実現:TLS/SSLのフル インスペクションを有効にしても、エンド ユーザーが気づくようなレイテンシーは発生しません。
- 外部からの不可視化:サーバーを外部から不可視化します。ユーザーの実際の接続元IPアドレスが必要なアプリ向けには、XFFヘッダーをサポートしています。
クラウドベースのプロキシ アーキテクチャーの中でも、総合的なセキュリティ アーキテクチャーの一部として提供されるものは特に有効です。コンプライアンスやセキュリティに関するすべての基準に対応できるため、カバーできなかった部分の解決のために他の機能やサード パーティー(クラウド プロバイダーなど)に頼る必要はありません。
クラウド プロキシの仕組み
トラフィックの流れの中にあるクラウド プロキシは、組織の認証サービス(例:シングル サインオン)と統合され、その後、エージェントなしでインラインで動作できます。これにより、管理対象のクラウド アプリなどへのトラフィックが自動的にクラウド プロキシにリダイレクトされ、円滑なユーザー エクスペリエンスが提供されます。
このプロセスをより詳しく見てみましょう。
クラウド プロキシは、機密データが存在するサーバーの仲介または代理として機能することで、機密データ(例:PCIデータ、PII)を保護することが可能です。クライアント リクエストは最初にクラウド プロキシにルーティングされ、次に該当するファイアウォール内の指定されたポートを経由してコンテンツ サーバーに向かい、最後に再びユーザーの元に戻ります。クライアントとサーバーが直接通信することはありませんが、クライアントは直接的な通信があったかのように応答を受け取ります。基本的な手順は以下のとおりです。
- クライアントがリクエストを送信し、クラウド プロキシが受け取る
- 必要に応じて、クラウド プロキシがそのリクエストをファイアウォールに転送します
- ファイアウォールがリクエストをブロックするか、サーバーに転送する
- サーバーがファイアウォール経由でプロキシにレスポンスを送信する
- クラウド プロキシがクライアントにレスポンスを送信します
弾力性に優れたクラウドにより、トラフィックの量に関係なく、これらはすべてほぼリアルタイムで発生します。
Zscalerのクラウド プロキシ
クリーンかつ安全でコンプライアンスに準拠したインターネット アクセスと優れたユーザー エクスペリエンスを、場所を問わずネットワークを介して、すべてのデバイスやオペレーティング システム上のユーザーに提供するには、クラウドベースのプロキシ アーキテクチャーが効果的です。
確かな実績を誇るZscalerのクラウド プロキシ ベースのアーキテクチャーは、クラウドネイティブなセキュリティ サービス エッジ(SSE)ソリューションであるZscaler Internet Access™の基盤となっています。本ソリューションは、セキュアWebゲートウェイの分野における10年間にわたるリーダーとしての経験に基づいて構築されています。世界最大のセキュリティ クラウドからスケーラブルなSaaSプラットフォームとして提供されるこのソリューションは、従来型のネットワーク セキュリティ ソリューションを置き換え、総合的なゼロトラスト アプローチにより高度な攻撃を阻止して情報漏洩を防ぎます。
Zscaler Internet Accessは、総合的なクラウドネイティブ セキュリティ プラットフォームであるZscaler Zero Trust Exchange™の一部をなしています。
クラウド プロキシのユース ケース
Zscalerのクラウド プロキシ アーキテクチャーでは、リバース プロキシがすべてのトラフィックをカバーします。これは、セキュリティ サービス エッジ(SSE)モデルにおけるクラウド アクセス セキュリティ ブローカー(CASB)の中核的な要素です。
SSEフレームワークの一部として、Zscalerのクラウド プロキシ アーキテクチャーは以下の機能で組織をサポートします。
管理対象外デバイスの保護
従業員の多くは、個人デバイスも含め、複数のデバイスを業務に使用しています。また、サプライヤーやパートナー、顧客も管理されていない私用のデバイスから組織のアプリケーションにアクセスする場合があります。こうした状況は、セキュリティ上のリスクを生み出しかねません。
エージェントをインストールすることで組織が所有するデバイスを管理できますが、非管理対象のエンドポイントに関してはこの限りではありません。サードパーティーのエンドポイントにエージェントをインストールさせることは不可能でしょうし、大半の従業員も個人所有のデバイスにエージェントを取り入れることは望んでいません。そこでZscalerのプロキシ アーキテクチャーは、クラウドアプリケーションやリソースにアクセスする非管理対象のデバイスに対し、データ漏洩やマルウェアに対処するエージェント不要の保護を提供します。
Data Protection
Zscalerのプロキシ アーキテクチャーでは、情報漏洩防止ポリシーを適用して、偶発的か意図的かを問わず、承認されたクラウド アプリとの間で起こる機密情報のアップロードやダウンロードを防ぐことができます。インラインで動作し、暗号化されたトラフィックを含むすべてのトラフィックを検査するため、アップロードまたはダウンロードされるデータがポリシーに準拠するよう徹底できます。
脅威対策
クラウド サービス内に感染したファイルがあれば、そこに接続されているアプリやデバイス、特に管理外のデバイスに感染が拡大する可能性があります。Zscalerのプロキシ アーキテクチャーは、クラウド リソースとの間で感染ファイルがアップロードまたはダウンロードされることをエージェントレスで防止するため、マルウェアやランサムウェアに対する高度な脅威対策が可能です。
また、Zscalerのアーキテクチャーの性質上、サーバーとそのIPアドレスはクライアントから不可視化されるため、分散型サービス拒否(DDoS攻撃)などの脅威からWebリソースを保護できます。
負荷分散
Zscalerのプロキシを利用すると、他の方法では単一のサーバーを過負荷状態にしてしまうような高需要時でも、複数のサーバーにリクエストを均等に分散することで可用性を高め、ロード時間を最適化しながらクライアントの要求を処理できます。