• はじめに
• Zscaler Extranetとは
• 1. Extranetは従来のVPNと何が違うのか？
  • 1-1. セキュリティモデルが根本的に違う
  • 1-2. 「不要なもの」を排除したシンプルな接続
• 2. Extranetのトラフィックフローについて
  • ①.接続開始と本人確認
  • ②.ZPAからZIAへの引継ぎ
  • ③.宛先情報の特定 (DNS)
  • ④.アプリケーションからの応答
  • ⑤.ユーザーへの配信
• ExtranetでのZIAおよびZPAのそれぞれの役割
• Zscaler Extranet設定方法
• 3.前提条件
• 4.ZIAでの設定
  • 4-1. エクストラネットの定義 (Extranet)
    • 4-1-1.ZIAの[Administration] > [Extranet] へ移動します。
    • 4-1-2.[Add Extranet]でエクストラネットを作成します。
    • 4-1-3.エクストラネットの情報入力
• 4-2. VPN認証情報の登録(VPN Credential)
  • 4-2-1.ZIAの[Administration] > [VPN Credential] へ移動します。
  • 4-2-2.[Add VPN Credential]でVPN認証情報を追加します。
  • 4-2-3.VPN認証情報を登録します。
• 4-3.ロケーションの定義 (Location Management)
  • 4-3-1.ZIAの[Administration] > [Location Management] へ移動します。
  • 4-3-2.[Add Location]でロケーションを追加します。
  • 4-3-3.ロケーション情報を入力します。
• 5.ZPAでの設定
  • 5-1.Server Groupsの作成
    • 5-1-1.[Configuration & Control] > [Private infrastructure] > [Server Groups]へ移動します。
    • 5-1-2.[Add]でサーバグループを作成します。
    • 5-1-3.サーバグループの情報入力をします。
• 5-2.Application Segmentsの作成
  • 5-2-1.[Resource Management] > [Application Management] > [Application Segments]へ移動します。
  • 5-2-2.[Add Application Segments]でアプリケーションセグメントを作成します。
  • 5-2-3.アプリケーションセグメントの情報を入力します。
• 5-3.ZPAアクセスポリシーの作成
  • 5-3-1.[Policy] > [Access Policy]へ移動します。
  • 5-3-2.[Add]でアクセスポリシーを作成します。
  • 5-3-3.アクセスポリシーの情報を入力します。
• まとめ
• 0-WANについて
• 参考資料

はじめに

こんにちは、エーピーコミュニケーションズ iTOC事業部 BzD部 0-WANの平松です。本記事は、筆者個人の技術的な知見と経験に基づき、Zscaler Extranetの機能をご紹介するものです。記事の内容は、弊社の公式見解や性能保証を示すものではありません。

Zscaler Extranetとは

Zscaler Extranet Application Support（以下、Extranet）は、自社のZscaler Private Access（以下、ZPA）ユーザーが、ビジネスパートナーのプライベートネットワークへ、安全にアクセスできるようにする機能です。

この機能の導入により、Zero Trust Exchange（以下、ZTE）に直接接続されていないパートナーネットワークを、あたかも自社のネットワークの一部であるかのようにZPAに統合します。結果として、自社のZPAポリシーと同等の高いセキュリティ要件を適用して、パートナーネットワークへのアクセスが可能になります。

1. Extranetは従来のVPNと何が違うのか？

1-1. セキュリティモデルが根本的に違う

従来のVPN接続は、ネットワーク全体を信頼の傘の下に入れる「境界防御モデル」でした。Extranetは違います。

ExtranetがIPSecトンネルでトラフィックを受け取った後、その出口はZTEにあります。ここで、ユーザーIDとデバイスの状態に基づいた厳格なゼロトラストポリシーが適用されます。

トンネルは単なる暗号化されたパイプであり、アクセスはZTEで常に検証されます。これにより、自社のZPAポリシーと同レベルのセキュリティ制御を、外部パートナーのリソースへ適用できます。

1-2. 「不要なもの」を排除したシンプルな接続

Extranet最大のメリットは、ZPAの高度なセキュリティを使いながら、従来の複雑な設定やデプロイ作業が不要になる点です。

App Connector不要

  →パートナー側のネットワークに、ZPAの専用ソフトウェアであるApp Connectorをインストールする必要はありません。

データセンター接続不要

  →従来のVPNのように、自社のデータセンターをパートナーのネットワークに接続する必要はありません。

アクセス範囲を限定

  →トラフィックセレクターにより、特定のアプリケーション宛ての通信だけに限定されるため、不要なトラフィックは流れません。

この結果、パートナーは既存のエッジ機器からZTEにIPSecトンネルを確立するだけで、自社社員は安全かつ簡単にパートナーのアプリにアクセスできるようになります。

2. Extranetのトラフィックフローについて

エクストラネット リソースにアクセスするユーザーのトラフィック フローは以下の通りです。

①.接続開始と本人確認

ユーザーがZscaler Client Connectorを使い、パートナー企業のアプリへ接続を始めます。ZPAは、まずこのユーザーがアクセスする資格があるかどうかを確認します。

②.ZPAからZIAへの引継ぎ

資格が確認されると、ZPAは接続要求をZscaler Internet Access(以下ZIA)に渡します。ZIAは、その要求をIPSecトンネルを通じて、パートナー企業のネットワークに設置されているIPSecゲートウェイ（ルーター等）へ転送します。

③.宛先情報の特定 (DNS)

ZIAは、あらかじめ設定されたDNSサーバーにアプリケーションの場所（IPアドレス）を問い合わせます。その上で、トラフィックセレクター（どのIPアドレス宛ての通信か）に基づき、適切なIPSecトンネルを選んでパートナーネットワークへ通信を送ります。

④.アプリケーションからの応答

パートナー側のアプリケーションが応答を返すと、その応答データはIPSecトンネルを逆行し、ZIAのサービスエッジに戻ってきます。

⑤.ユーザーへの配信

ZIAからアプリケーションの応答を受け取ったZPAは、そのデータを最終的にZscaler Client Connectorを使っているユーザーの元へ届けます。

ExtranetでのZIAおよびZPAのそれぞれの役割

ExtranetにおけるZIAとZPAの役割分担は、接続の基盤確立とアクセス制御という明確な機能分離に基づいています。

ZIAは物理的な接続とルーティング情報を管理し、ZPAはゼロトラストのポリシー制御を管理する役割を担います。

役割	ZIAのタスク（基盤・接続管理）	ZPAのタスク（制御・アクセス管理）
接続の基盤確立	エクストラネットを「場所 (Location)」として登録し、パートナーにZTEへのIPSecトンネルを確立させます。	ZIAの接続を利用し、パートナーのアプリケーションを指すサーバーグループやアプリケーションセグメントを設定します。
ネットワーク情報の定義	ルーティング情報（トラフィックセレクター）と名前解決（DNSサーバー）を定義します。	ZPAアクセスポリシーを使用し、「誰が」「どのアプリケーションに」アクセスできるかを決定・管理します。

Zscaler Extranet設定方法

3.前提条件

• ライセンス: Extranet Application Support機能が契約に含まれていることを確認します。
• IPSec情報: パートナー側のIPSecゲートウェイのグローバルIPアドレス、IKE/IPSecパラメータ等が決まっていることを確認します。
• DNS情報: パートナーネットワーク内のプライベートアプリケーションの名前解決に使用するDNSサーバーのIPアドレスを把握します。

4.ZIAでの設定

ZIAポータルで、パートナーネットワークをロケーションとして定義し、IPSecトンネル接続の基盤を設定します。

4-1. エクストラネットの定義 (Extranet)

4-1-1.ZIAの[Administration] > [Extranet] へ移動します。

4-1-2.[Add Extranet]でエクストラネットを作成します。

4-1-3.エクストラネットの情報入力

【トラフィックセレクター】

パートナー企業のアプリケーションのIPアドレス範囲を指定してください。

必須要件 1: IPアドレスの数

• トラフィックセレクターには、必ず20個以上のIPアドレスを含める必要があり、20個未満の場合、設定ができません。

必須要件 2: デフォルト設定

• 設定したトラフィックセレクターのうち、必ず1つをデフォルトのトラフィックセレクターとして指定してください。

【DNSサーバー】

パートナー企業のDNSサーバーのIPアドレスを設定してください。

必須要件: デフォルト設定

• トラフィックセレクターと同様に、設定したDNSサーバーのうち、必ず1つをデフォルトのDNSサーバーとして指定してください。

4-2. VPN認証情報の登録(VPN Credential)

4-2-1.ZIAの[Administration] > [VPN Credential] へ移動します。

4-2-2.[Add VPN Credential]でVPN認証情報を追加します。

4-2-3.VPN認証情報を登録します。

4-3.ロケーションの定義 (Location Management)

4-3-1.ZIAの[Administration] > [Location Management] へ移動します。

4-3-2.[Add Location]でロケーションを追加します。

4-3-3.ロケーション情報を入力します。

ロケーション登録において、特に重要な設定は以下の2点です。

• 「Location Type」を「Extranet」に設定します

• 「VPN Credential」にVPN認証情報を設定します

このうち、「Location Type」を「Extranet」に設定することで、事前に登録したExtranet名をロケーションに紐づけることが可能になります（添付画像参照）。

この手順により、パートナーネットワークとの拠点間接続に必要な基盤設定が完了します。

5.ZPAでの設定

ZIA管理ポータルでエクストラネットのリソースとロケーションを設定すると、それらの情報はZPA管理ポータルに連携されます。サーバーグループやアプリケーションセグメントの設定の際に、ZPA管理画面上で該当リソースが正しく利用可能になっているかを確認してください。

5-1.Server Groupsの作成

5-1-1.[Configuration & Control] > [Private infrastructure] > [Server Groups]へ移動します。

5-1-2.[Add]でサーバグループを作成します。

5-1-3.サーバグループの情報入力をします。

5-2.Application Segmentsの作成

5-2-1.[Resource Management] > [Application Management] > [Application Segments]へ移動します。

5-2-2.[Add Application Segments]でアプリケーションセグメントを作成します。

5-2-3.アプリケーションセグメントの情報を入力します。

5-3.ZPAアクセスポリシーの作成

5-3-1.[Policy] > [Access Policy]へ移動します。

5-3-2.[Add]でアクセスポリシーを作成します。

5-3-3.アクセスポリシーの情報を入力します。

これにてExtranetの設定は完了になります。

まとめ

今回は、Zscalerの比較的新しい機能であるExtranetの概要と具体的な設定方法についてまとめました。 本機能は、一部理解しずらい内容を含みますが、基本的な内容を理解してしまえば比較的容易に設定可能です。皆様の設定の一助となれば幸いです。 今後は、Zscaler Extranetの運用に不可欠なExtranetのログの見方なども記事にする予定です。ぜひ次回の記事にご期待ください！

0-WANについて

私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの？製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。 問い合わせ先、0-WANについてはこちら。

www.ap-com.co.jp

参考資料

Understanding Extranet Application Support

[https://help.zscaler.com/zia/understanding-extranet-application-support]

About Extranet

[https://help.zscaler.com/zia/about-extranet]