#1 はじめに
こんにちは、エーピーコミュニケーションズ 0-WANの島田です。近頃、Zscaler話題の新機能 Branch Connector のVMを構築する機会がありました。今回はその様子とともに、Branch Connectorとはどんなものなのかを簡潔に説明していきたいと思います。
#2 Branch Connectorとは
主にIoT/OTデバイスからの通信について、Zscalerを経由するように仲介するインスタンスのことを Branch Connector と呼びます。
IoT/OTデバイスはWindowsやLinuxなどの一般的なOSを搭載しておらず、ZscalerのエージェントであるZCC(Zscaler Client Connector)をインストールできないケースが多いのが課題です。そのようなデバイスであっても、Branch Connectorを介することでZscalerを経由して通信可能になるため、従来はスコープ外だった攻撃対象領域をゼロに近づけることができます。
また、従来はサーバーの手前にApplication Connectorを設置することにより、サーバーが受信側となるアクセスのみを制御していました。そこにBranch Connectorが加わることで、サーバーが送信側となるアクセスも制御できるようになります。Branch Connectorによって送信側のサーバーをZscalerのクライアントとして扱うことで、今までZscalerが対応できなかった拠点間通信にも対応可能になるため、Zscalerユーザーにとっては待望の機能と言えるでしょう。
What Is Zscaler Branch Connector? | Zscaler
#3 構築
help.zscaler.comのガイドに従って構築していきます。今回はVM版をESXi上にデプロイしました。
おおまかな流れは下記の通りです。
- Zscaler Cloud & Branch Connector Admin Portal 設定
- ESXi上にBranch ConnectorとなるVMを作成
- VMがAPI Keyを利用してZscalerと通信、Branch Connectorとして稼働
1. Zscaler Cloud & Branch Connector Admin Portal 設定
Branch ConnectorとなるVMからAPIを叩くAdminアカウントとAPI Keyの作成、Branch Connectorのロケーション、ネットワーク情報などを設定していきます。また、VMを作成する際に使用するOVAファイルをダウンロードしておきます。
2. ESXi上にBranch ConnectorとなるVMを作成
ダウンロードしておいたOVAファイルを使用して、ESXi上にVMを作成します。 また、API Keyなどの情報を記載したISOファイルを作成し、マウントしてVMを起動します。
3. VMがAPI Keyを利用してZscalerと通信、Branch Connectorとして稼働
起動したVMが自動的にZscalerと通信し、Admin Portal上からActiveになっていることを確認できます。
これで最低限、任意のデバイスがBranch Connectorを介してZscaler経由で通信できる状態になりました。
#4 Branch Connectorを介したZscaler経由の通信確認
ZCCをインストールしていないWindowsデバイスをIoT/OTデバイスに見立てて、ZCCがなくてもZscalerを経由した通信ができるか検証します。
#5 おわりに
以上、簡単にですがBranch Connectorの紹介でした。今後は技術検証を進めて、どのような要件にマッチするのかをより詳細に調べていく予定です。
お読みいただきありがとうございました!
