#1 はじめに
こんにちは、エーピーコミュニケーションズ 0-WANの島田です。今回はZPAの Application Segment 設定時に意識したい仕様についてご紹介します。
#2 Application Segment とワイルドカード
前提
- Application Segment:例に挙げているもののみ定義
- Access Policy:全Application Segmentを選択し、全UserをAllowedに
- 他の設定:定義されたアプリケーションへ正しく接続できる状態
例1
まずは Application Segment1 のみが定義されたシンプルな構成についてです。test.example.com に対して、とあるユーザーがアクセスを試みます。test.example.com は Application Segment1 の *.example.com に合致し、port22も定義されたレンジ内であるため、ユーザーはこのアプリケーションへ正常にアクセス可能です。
例2
次に、test.example.com を新規に Application Segment2 内で定義します。このとき、port443のみを指定し、port22は未設定とします。
この状態で例1と同様のアクセスがあったとします。Application Segment2 では test.example.com をアプリケーションとして明確に定義していますが、port22が指定されていません。そのため、例1と同じく Application Segment1 のアプリケーションとして拾ってくれるように見えます。しかしながら、実際はどの Application Segment にも含まれていないものとされ、ユーザーはこのアプリケーションへアクセスすることができません。
例3
新たに test.example.com とport22の組み合わせとなる Application Segment3 を定義します。すると、ユーザーはこのアプリケーションへ再びアクセス可能となります。
このように、個別にドメイン名を定義しているアプリケーションについては、一部のポートのみを指定していたとしても「ワイルドカードによる定義から全てのポートが外される」ことになります。これはIPアドレスでも同様で、/24と/32などでアプリケーションを定義している場合に起こり得るZPAの仕様です。
#3 おわりに
ワイルドカードによるアプリケーションの一括定義は便利である一方、個別にアプリケーションを指定するケースも多いため、この挙動に遭遇されている方も多いのではないでしょうか。今回ご紹介したように、新たな設定追加によって既存のアクセスができなくなる可能性がありますので、Application Segment の追加は慎重に行うことを推奨いたします。今回もお読みいただきありがとうございました!
0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。
ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。
お気軽にご相談ください。
問い合わせ先、0-WANについてはこちら。
