APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

【Zscaler】Device Postureとは

#1 はじめに

こんにちは、エーピーコミュニケーションズ 0-WANの島田です。今回はZscalerのDevice Postureについてご紹介したいと思います。

#2 Device Postureとは

より緻密なアクセス制御を可能とするために、OSバージョンなどのデバイスの詳細な状態を定義する機能です(※Posture=姿勢や状態を表す単語)。単体では意味をなさず、定義したDevice PostureはZIAやZPAのポリシーで使用します。

Device Posture設定画面

Device Postureには「Crowd StrikeやMicrosoft Defenderなどのセキュリティソフトが起動しているか」「特定のパスにファイルが存在するか」などの様々な判定項目が備わっています。これを利用すれば、それらを全てクリアしている、どれかが欠けている、どれも満たしていないといった条件分岐でポリシーを細分化できるようになります。検疫ネットワークをイメージすると分かりやすいかもしれません。

デバイスの状態による制御例

#3 利用例

社用デバイスからのインターネット利用について、例えば下記のように要件をDevice Postureで定義していきます。

  • OSのアップデートを促したいので、指定したバージョン未満のデバイスは少々制限したい
    • OSは指定しているバージョン(ビルドナンバー)以降のものか
  • Microsoft Defenderが起動していないデバイスは危険なので、厳しく制限したい
    • Microsoft Defenderが起動しているか

Device Postureによる振り分け例 次にZIA Posture Profileを定義していきます。上の図のように、Device Postureで定義した条件を紐づけ、どれだけ満たしているかでデバイスの信頼度を3段階に振り分けられるようにします。この信頼度をDevice Trust Levelといい、URL Filteringなどの各種ポリシーでユーザーや場所などと同じように条件指定することができます。

満たしている条件が少ないデバイスほどDevice Trust Levelが下がり、Device Trust Levelが低いとURL FilteringでIsolateやBlockに振り分けられるサイトが増えるように設定すれば、段階的な制限の設定も完了です。

#4 補足

help.zscaler.com

今回はDevice Postureのほんの一部について取り上げましたが、上記サイトにあるように他にも様々な項目を設定することができます。EDRとしてCrowd Strikeをご利用の場合、独自連携のスコアリング機能も利用できますので、試してみてはいかがでしょうか。

ZPA Access PolicyでのDevice Posture指定

また、もちろんZPAでもDevice Postureをポリシー適用条件に含めることができます。プライベート側の方が検疫ネットワークっぽくイメージしやすいかもしれませんね。

#5 おわりに

以上、Device Postureの紹介でした。社員がなかなかOSのアップデートを適用してくれない!なんて嘆きを耳にすることがありますが、アップデートしないとYouTubeやSNSサイトなどにも繋がらなくなると思えば、対応する社員が増える...なんてことがあるかもしれませんね(笑)

お読みいただきありがとうございました!

0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。
ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。
お気軽にご相談ください。

問い合わせ先、0-WANについてはこちら。

www.ap-com.co.jp