目次
はじめに
こんにちは、エーピーコミュニケーションズ iTOC事業部BzD部0-WANの柳田です。
Zscalerクラウドと通信する方法の一つにZscaler Client Connector(以下、ZCC)を利用する方法がありユーザの端末にインストールすることで利用できます。
またインストール時にオプションを設定することで組織のポリシーに応じたカスタマイズが可能です。今回はオプションの中の一つである「StrictEnforcement」を使用したZCCのインストール方法とその挙動について紹介します。
StrictEnforcementとは
StrictEnforcementとはユーザがZCCにログインするまでインターネットアクセスをブロックする機能です。
これによりZscalerクラウドを介さずにインターネット通信が行われるというリスクを防ぐことができます。
StrictEnforcementで実現できること
ZCCにログインすることで、Zscalerクラウドとのトンネルが確立され、管理者ポータルで設定したポリシーに基づき、通信の許可・ブロックやアクセスログの取得が可能になります。 しかし、ZCCにログインしていない場合、通信はZscalerクラウドを経由せず、ポリシーが適用されないため、アクセスログも取得されずインターネットに自由にアクセスできてしまいます。 StrictEnforcement を適用することで、ZCCにログインしていない端末のインターネット通信をブロックできるようになります。
1 ※全ての通信がブロックされるわけではありません。設定によって一部の通信を許可することも可能です
2 ※Forwarding Profileの設定によってはトンネリングされない場合もあります
設定手順
前提
OS:Windows10
ZCCのダウンロード形式:Exe 64bit
ZCCのバージョン:4.4.0.324
Forwarding Profileの作成
Forwarding Profileは「ZCCP > Administration > Forwarding Profile」から作成します。
StrictEnforcementを適用させるにはForwarding Profileのアクションを「Tunnel」若しくは「Tunnel with Local Proxy」にする必要があります。
App Profileの作成
端末に適用する StrictEnforcement 用の App Profile を作成します。
「ZCCP > App Profile > Windows」から先ほど作成した Forwarding Profileを選択しWindowsポリシーを作成します。
ZCCのインストール
「ZCC管理ポータル > Administration > Client Connector App Store > Registered Devices > Windows」からEXEファイルをダウンロードします。
ダウンロード後、管理者権限でコマンドプロンプトを立ち上げ以下のコマンドを実行します
ZCCがインストールされ起動すれば完了です。
検証
ZCCログイン前のインターネットアクセス
例として当社のWebサイトにアクセスします。
ZCCにログインしていない状態なのでインターネットアクセスができません。
ZCCログイン後のインターネットアクセス
次に、ログインした状態でアクセスします。
ログインした状態ではインターネットアクセスができ、当社のWebサイトが表示されることが確認できました。
まとめ
StrictEnforcementを適用することでZCCにログインするまでインターネットアクセスをブロックすることができます。
またApp ProfileではZCCのログアウトやアンインストール等を行う際にパスワード入力を必須にすることも可能なので、これらを組み合わせることでより強固なセキュリティを実現できます。
0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。
ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。
お気軽にご相談ください。
問い合わせ先、0-WANについてはこちら。
