APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > ゼロトラスト > 【Zscaler】App Connector, Private Service Edge のアカウントロックにご注意を

【Zscaler】App Connector, Private Service Edge のアカウントロックにご注意を

ゼロトラスト
< techblogAPCについて(はじめにお読み下さい) >

#1 はじめに

こんにちは、エーピーコミュニケーションズ 0-WANの島田です。先日、Zscalerより下記のようなアナウンスがありました。要約すると下記の通りです。今回はこの影響や対処について、簡潔にですがまとめてみました。

  • 2024年11月以降にリリースされた App Connector, Private Service Edge(以下、PSE) の構築済イメージが対象
  • OS管理者アカウントにパスワード有効期限が設定された
  • 有効期限を過ぎるとそのアカウントがロックされ、使用不可となる

Urgent Action Required: ZPA STIG-hardened App Connector and Private Service Edge Password Change Requirements

Certain ZPA App Connector (AC) and Private Service Edge (PSE) STIG-hardened OS versions may lock administrators out of the affected devices if no action is taken.

#2 影響と対象

サービス影響:なし

App Connector と PSE は正常に機能したまま、サービスを継続できます。

運用影響:あり

OS管理者アカウントがロックされ、ログインできなくなります。

これにより、OSアップデートなどのメンテナンスが一切行えなくなってしまいます。脆弱性対応などで新しいバージョンのOSやアプリケーションを使用したい場合は、新規に別のインスタンスをデプロイし、既存と置き換える必要があります。環境によってはこれらのリプレースに手間取ってしまうことが予想されますので、お早めの対応を推奨いたします。

対象

各プラットフォームにて、下記の日付以降にリリースされた構築済のイメージを用いて App Connector、PSE をデプロイした場合に影響があります。※自前でOSを構築し、Zscalerのアプリケーションをインストールした場合は対象外です

  • 2024/11/24: AWS, GCP
  • 2024/12/12: Azure, Nutanix, VMware

#3 該当のインスタンスへの対処

まずは該当する App Connector, PSE を確認します。

ZPA Admin Portal にて、Configuration & Control > Private Infrastructure > App Connectors または Private Service Edges を開きます。App Connector Host Platform の欄に ZSIVersion: 2024.11、 ZSIVersion: 2024.12 またはそれ以降のバージョンが表示されているものが対象となります。

次に、該当のインスタンスへログインします。「決められた期限毎にパスワードを変更する」「OS管理者のパスワード有効期限を無効化する」のどちらかの対応が必要となりますので、運用ポリシーや負荷などを考慮の上、ご対応をお願いいたします。

$ sudo chage -M -1 admin   ※パスワードの有効期限を無効化する場合のコマンド

詳細な確認コマンドやプラットフォーム毎の有効期限などの情報については、 Zscaler Help にも記載されておりますのでご確認ください。

#4 2024年末のリリースで何があったのか?

各所で「STIG-hardened」と書かれている通り、STIGと呼ばれるガイドラインに従い、パスワードの有効期限が設定されました。

help.zscaler.com

以前より、構築済の App Connector や PSE は不必要なデーモンが停止されているといった各種最適化が図られており、自前のOSを用いるよりも強固な作りになっていました。今後も更なる堅牢化やガイドライン遵守が進むのではないかと予想されます。

とはいえ、2~3ヶ月に1回対応が必要になってしまうと運用負荷がかかってしまうためか、今後はこの制限が緩和されたイメージをリリース予定とのことです。

※STIGとは

Security Technical Implementation Guide の略。情報システムとソフトウェアのセキュリティ実装についてまとめられたガイドラインです。アメリカ国防総省(DoD) の国防長官府(OSD) にある、ホワイトハウスの通信局などを務めている国防情報システム局(DISA) が管理しています。

#5 おわりに

本件は直接のサービス影響はないものの、ゆくゆくは運用に影響が出てしまうことが予想されますので、お早めの対応をご検討ください。今回もお読みいただきありがとうございました!

0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。
ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。
お気軽にご相談ください。

問い合わせ先、0-WANについてはこちら。

www.ap-com.co.jp