Zscalerの新機能：ジオローカリゼーション

前回の記事では、ZscalerのPoPがない国のユーザーに対して統一されたセキュリティ ポリシーを適用するうえで、セキュリティ管理者が直面する問題を紹介しました。組織のゼロトラスト戦略の一環としてZscalerを展開すると、あらゆる場所のユーザー、ワークロード、IoT/OTデバイスからのトラフィックが、グローバルに分散するZscalerのデータ センターの1か所に転送されます。Zscalerのマルチテナント アーキテクチャーでは、これらのデータ センターのいずれかから送信されるトラフィックのソースIPアドレスは、そのデータ センターが位置する地域のものになり、そのデータ センターから送信されるすべてのトラフィック間で同一のアドレスが共有されます。

たとえば、ギリシャのユーザーがミラノのデータ センターのサービスを利用する場合、そのトラフィックはイタリアに関連付けられたソースIPアドレスで送信されます。テル アビブにあるZscalerのデータ センターを利用する場合は、そのトラフィックのソースIPアドレスはイスラエルのものになります。結果として、ギリシャにいるこのユーザーに対して、それぞれイタリア語またはヘブライ語でコンテンツが配信されることになります。また、ギリシャの公共機関において、認識された場所に基づいてアクセスを制限している場合、このトラフィックはブロックされます。

Zscalerはグローバルに展開されているものの、世界には200を超える国があり、そのすべての国にPoPを置くことは現実的とはいえません。PoPを置けない国へのコンテンツ配信に伴う問題を解決する方法は、こうした国から発信されるトラフィックのソースIPアドレスを、その国に属すると認識されるIPアドレスに割り当てることです。

_{^{[図1:全世界におけるZscalerのデータ センターの分布]}}

_{^{[図2:さまざまな国のユーザーのIPアドレスのジオローカリゼーション]}}

宛先のWebサイト/サーバーが、世界の多数のジオロケーション データベースの1つを使い、トラフィックのソースIPアドレスに基づいて発信国を照会すると、ZscalerがそのIPアドレスに対して割り当てた国が返されます。結果として、Webサイトはユーザーに対してその地域向けのコンテンツを提供します。政府機関や金融機関の場合も、ユーザーがその国にいるものと見なし、アクセスを許可します。

この機能を実現するZscalerの仕組み

Zscalerは、社内のEgress NATソリューションを活用することでこれを可能にしています。このソリューションは、Zscalerのサービス エッジから送信されるトラフィックのソースIPアドレスを発信元の国に関連付けられたIPアドレスに変換します。Zscaler Zero Trust Exchangeプラットフォームは、Zscalerにトラフィックを転送するユーザーの送信元の国を判別したうえで、その情報を使用してソースIPアドレスを発信元の国のIPアドレスに変換します。

この機能の最も優れた点の1つは、Zscaler Internet Access (ZIA)で現在利用できる豊富な基準に基づいて、トラフィックに対してジオローカリゼーションを選択的に適用できることです。その設定手順を解説します。

_{^{[図3:転送方式にGeoIPを選択することによるジオローカリゼーション]}}

ZIAのオペレーター/管理者は、ZIA管理コンソールの[Policy] > [Forwarding Control]から、転送ゲートウェイ方式に「GeoIP」を選択したポリシーを作成できます。他の転送ルールがすでに構成されている場合は、ルールの順序をカスタマイズすることが可能です。次に、適用する条件(ユーザー、グループ、部門、宛先、ソースIP、アプリケーションなど)を選択できます。

たとえば、特定の既知の宛先FQDNにアクセスする場合にのみ、ユーザーAからのトラフィックをジオローカライズされたIPアドレスで送信するとします。他の宛先についてはすべて、この処理を行わずにZero Trust Exchangeから直接トラフィックを送信することにします。このユーザーからのトラフィックを組織専用のIPアドレスで送信したいという場合あるかもしれません。そのような場合、ルールは以下のようになります。

ルール1:ユーザーA → 宛先FQDN (www.BankOfCountryA.com) → 転送方式：GeoIP

ルール2:ユーザーA → 宛先アプリケーション(サード パーティーのSaaSアプリケーション) → 転送方式：専用IP (ZPAゲートウェイ)

ルール3:ユーザーA → 転送方式：ダイレクト

なお、ここでのルール3は任意となります。転送ルールの基準を満たさないトラフィックはいずれも、Zscalerの送信IPを使用して宛先に直接転送されます。

ジオローカリゼーション機能をZscalerの転送ポリシー エンジンに組み込みむことで、管理者にとっては組織のニーズに応じたきめ細かなポリシーを作成するための強力なツールとなります。ユース ケースは多岐にわたり、このソリューションは非常に高い柔軟性を提供します。ここで、その活用例の一部を紹介します。

• ある国の財務担当者が国内の財務当局のWebサイトにアクセスする必要がある一方で、他のユーザーは不要な場合
• 選択したソースIPアドレスのグループからのみGeoIPの利用を許可する場合
• 特定のアプリケーションだけがジオローカリゼーションを必要とし、それ以外は不要な場合

内部的には、Zscalerはこのサービスにおいて2つの側面を担保しています。

1. 送信元の国に基づいてトラフィックに正しいIPアドレスが割り当てられるようにすること。Egress NAT機能が、Zscaler Central AuthorityからIPアドレスと国を紐付けるマッピング情報を受信します。また、サービス エッジもEgress NAT機能とそれに紐付く国のIPアドレスのマッピング情報を保持しています。この情報もCentral Authorityから取得され、サービス エッジが適切なEgress NAT機能にトラフィックを転送する際に使用されます。転送は、トラフィックがどの国にマッピングされるべきかを識別するメタデータを含むトンネルを通じて行われます。Egress NAT機能は、このメタデータを使用してトラフィックに割り当てる必要があるIPアドレスを特定し、変換を行い、最終的な宛先に向けてトラフィックを送信します。逆方向の経路も送信時とほぼ同じです。IPアドレスを元のサービス エッジのIPに戻してサービス エッジに転送し、そこから送信元に転送します。
2. IPアドレスと国のマッピング情報がジオロケーション データベースで更新されるようにすること。Zscalerは、RFC 8805の「A Format for Self-Published IP Geolocation Feeds」のアプローチを採用しています。IPアドレスと国のマッピング情報のリストを公開しており、これがジオロケーション データベースによって使用されています。Zscalerは内部的に、Egress NAT機能で使用する独自のデータベースでこのリストを保持しています。

このサービスを提供するZscalerのデータ センターは、ユーザーが所在する国に地理的に最も近い場所になるように慎重に選定されており、(このようなサービスでは不可避となる)レイテンシーを最小限に抑えています。

たとえば、モロッコのユーザーのトラフィックは、フランスにあるZscalerのデータ センターによって処理される場合があります。この場合、モロッコ用のIPのマッピング情報はフランクフルトでホストされます。そのため、トラフィックはフランスにあるZscalerのデータ センターからフランクフルトにあるZscalerのデータ センターに転送され、そこでトラフィックのソースIPアドレスがモロッコのIPアドレスに変換されます。その後、トラフィックはこの新しいソースIPアドレスを使用して宛先に送信されます。同様に、南米の多くの地域からのインターネット回線は、フロリダ州マイアミで終端されるため、南米諸国すべてのIPアドレスのマッピング情報は、マイアミにあるZscalerのデータ センターでホストされています。

近日リリース：Zscaler Geolocalization

Zscaler Geolocalizationは、場所を問わずエンド ユーザーに提供されるすべてのコンテンツのコンテンツ主権を確保します。早ければ来月にもベータ版のサービスが利用可能になる予定です。

国内にZscalerのPoPがない地域にユーザーを抱えており、この新機能をお試しになりたい場合は、ぜひZscalerにお問い合わせのうえご利用をお申し込みください。