クラウド プロキシとは

クラウド プロキシが必要な理由

クラウド プロキシは、多くの点でリバース プロキシと同様に機能します。つまり、クライアントからのリクエストはクラウド プロキシを経由してインターネット アドレスへ流れ、Webページへのアクセス許可などの応答はプロキシを経由してクライアントに戻ってきます。ただし、クラウド プロキシはクラウドに存在するため、従来のアプライアンスベースのプロキシのようにデータ センターのハードウェアに拘束されません。

アプライアンスベースのプロキシが抱える課題

従来型のリバース プロキシ サーバーとHTTPプロキシは、現在のネットワーク セキュリティ スタックにおいても一般的ですが、ITにおいては以下のような問題が増えてきています。

• レイテンシー：プロキシは、トラフィックを傍受するためにインラインで動作する必要があります。帯域幅が制限されたアプライアンスを介してトラフィックをシリアル方式でルーティングすると、特にオンサイトでのエンタープライズ展開のリクエストに大幅なレイテンシーが生じ、ユーザー エクスペリエンスが低下する可能性があります。
• 互換性：従来型のプロキシは、リッチWebベースのアプリケーションが認証、API呼び出し、サービス リクエストなどを実行する方法に合わせて構築されていません。そのため、アプリケーションの互換性の問題が発生しやすくなり、追加のトラブルシューティングも余儀なくされます。
• コスト：企業用のプロキシ アプライアンスにかかるコストは、一般的なITの予算を鑑みると非常に高額です。TLS/SSLトラフィックの検査に使用する場合、ベンダーによっては8倍のアプライアンスの使用を推奨することもあり、費用はさらに高額になります。
• キャッシュ：かつてキャッシュはプロキシ アーキテクチャーの重要な機能でしたが、今ではあらゆるWebブラウザーに備わっており、ネットワークベースのキャッシュはせいぜい副次的なサービスになっています。
  

クラウド プロキシのメリット

プロキシは、ユーザー エクスペリエンスを損なうことなく、ステルス性が高い脅威を防止するうえで、現在も適したソリューションであると言えます。しかし、クラウドとモビリティーが中心となった今日、ハードウェアベースのソリューションでは、この目的を確実に果たすことはできません。一方、効果的なクラウドベースのプロキシ アーキテクチャーは、以下を実現することが可能です。

• あらゆるアプリケーションへの対応：クラウドベースのアプリも含め、あらゆるポートに対応し、互換性の問題を大幅に削減します。
• グローバルなユーザーへの対応：移動が多く企業のネットワークから遠く離れたところで仕事をするユーザーにも対応できます。
• コストの大幅な削減：一般的なハードウェアベースのプロキシに比べ非常に低コストなため、IT関連の支出を削減できます。
• 優れたユーザー エクスペリエンスの実現：TLS/SSLのフル インスペクションを有効にしても、エンド ユーザーが気づくようなレイテンシーは発生しません。
• 外部からの不可視化：サーバーを外部から不可視化します。ユーザーの実際の接続元IPアドレスが必要なアプリ向けには、XFFヘッダーをサポートしています。

クラウドベースのプロキシ アーキテクチャーの中でも、総合的なセキュリティ アーキテクチャーの一部として提供されるものは特に有効です。コンプライアンスやセキュリティに関するすべての基準に対応できるため、カバーできなかった部分の解決のために他の機能やサード パーティー(クラウド プロバイダーなど)に頼る必要はありません。

クラウド プロキシの仕組み

トラフィックの流れの中にあるクラウド プロキシは、組織の認証サービス(例：シングル サインオン)と統合され、その後、エージェントなしでインラインで動作できます。これにより、管理対象のクラウド アプリなどへのトラフィックが自動的にクラウド プロキシにリダイレクトされ、円滑なユーザー エクスペリエンスが提供されます。

このプロセスをより詳しく見てみましょう。

クラウド プロキシは、機密データが存在するサーバーの仲介または代理として機能することで、機密データ(例：PCIデータ、PII)を保護することが可能です。クライアント リクエストは最初にクラウド プロキシにルーティングされ、次に該当するファイアウォール内の指定されたポートを経由してコンテンツ サーバーに向かい、最後に再びユーザーの元に戻ります。クライアントとサーバーが直接通信することはありませんが、クライアントは直接的な通信があったかのように応答を受け取ります。基本的な手順は以下のとおりです。

1. クライアントがリクエストを送信し、クラウド プロキシが受け取る
2. 必要に応じて、クラウド プロキシがそのリクエストをファイアウォールに転送する
3. ファイアウォールがリクエストをブロックするかサーバーに転送する
4. サーバーがファイアウォール経由でプロキシにレスポンスを送信する
5. クラウド プロキシがクライアントにレスポンスを送信する

弾力性に優れたクラウドにより、トラフィックの量に関係なく、これらはすべてほぼリアルタイムで発生します。

Zscalerのクラウド プロキシ

クリーンかつ安全でコンプライアンスに準拠したインターネット アクセスと優れたユーザー エクスペリエンスを、場所を問わずネットワークを介して、すべてのデバイスやオペレーティング システム上のユーザーに提供するには、クラウドベースのプロキシ アーキテクチャーが効果的です。

確かな実績を誇るZscalerのクラウド プロキシ ベースのアーキテクチャーは、クラウドネイティブなセキュリティ サービス エッジ(SSE)ソリューションであるZscaler Internet Access™の基盤となっています。本ソリューションは、セキュアWebゲートウェイの分野における10年間にわたるリーダーとしての経験に基づいて構築されています。世界最大のセキュリティ クラウドからスケーラブルなSaaSプラットフォームとして提供されるこのソリューションは、従来型のネットワーク セキュリティ ソリューションを置き換え、総合的なゼロトラスト アプローチにより高度な攻撃を阻止して情報漏洩を防ぎます。

Zscaler Internet Accessは、総合的なクラウドネイティブ セキュリティ プラットフォームであるZscaler Zero Trust Exchange™の一部をなしています。

クラウド プロキシのユース ケース

Zscalerのクラウド プロキシ アーキテクチャーでは、リバース プロキシがすべてのトラフィックをカバーします。これは、セキュリティ サービス エッジ(SSE)モデルにおけるクラウド アクセス セキュリティ ブローカー(CASB)の中核的な要素です。

SSEフレームワークの一部として、Zscalerのクラウド プロキシ アーキテクチャーは以下の機能で組織をサポートします。

管理対象外デバイスの保護

従業員の多くは、個人デバイスも含め、複数のデバイスを業務に使用しています。また、サプライヤーやパートナー、顧客も管理されていない私用のデバイスから組織のアプリケーションにアクセスする場合があります。こうした状況は、セキュリティ上のリスクを生み出しかねません。

エージェントをインストールすることで組織が所有するデバイスを管理できますが、管理対象外のエンドポイントに関してはこの限りではありません。サード パーティーのエンドポイントにエージェントをインストールさせることは不可能でしょうし、大半の従業員も個人所有のデバイスにエージェントを取り入れることは望んでいません。そこでZscalerのプロキシ アーキテクチャーは、クラウド アプリケーションやリソースにアクセスする管理対象外のデバイスに対し、情報漏洩やマルウェアに対処するエージェント不要の保護を提供します。

データ保護

Zscalerのプロキシ アーキテクチャーでは、情報漏洩防止ポリシーを適用して、偶発的か意図的かを問わず、承認されたクラウド アプリとの間で起こる機密情報のアップロードやダウンロードを防ぐことができます。インラインで動作し、暗号化されたトラフィックを含むすべてのトラフィックを検査するため、アップロードまたはダウンロードされるデータがポリシーに準拠するよう徹底できます。

脅威対策

クラウド サービス内にある感染ファイルは、接続されているアプリおよびデバイス、特に管理対象外のデバイスに拡散する可能性がありますが、Zscalerのプロキシ アーキテクチャーは、感染ファイルのクラウド リソースへのアップロードまたはそこからのダウンロードをエージェントを用いずに防止することで、マルウェアやランサムウェアに対する高度な脅威対策を提供します。

また、Zscalerのアーキテクチャーの性質上、サーバーとそのIPアドレスはクライアントから不可視化されるため、分散型サービス拒否(DDoS攻撃)などの脅威からWebリソースを保護できます。

負荷分散

Zscalerのプロキシを活用することで、需要の高い単一のサーバーに過剰な負荷をかけうるクライアント リクエストを処理し、サーバーにリクエストを均等に分散することで、高い可用性をサポートしてロード時間を最適化できます。