トップ > zscaler > ZCC から ZIA(SME)Secure Tunnel 作成までのフロー

ZCC から ZIA(SME)Secure Tunnel 作成までのフロー

zscaler ZCC tech Z Tunnel

本記事では、運用・設計者向けに、Zscaler Client Connector(ZCC)から ZIA(SME / Zscaler Service Edge)への Secure Tunnel が作成されるまでの内部フローを整理します。

Secure Tunnel の挙動を正しく理解することで、トラブルシューティングや設計上の判断をスムーズに行えるようになることを目的としています。

全体フロー

はじめに、ZCCからZIA SMEトンネルまでの全体フローを説明します。Zscaler Client Connector(ZCC)は起動後、mobile.zscaler.net を起点に Zscaler クラウドへ接続し、テナント固有の mobile.<ZscalerCloud>.net にてサービス情報と認証状態を確認します。

未認証の場合は login.<ZscalerCloud>.net を通じて Identity Provider (IdP) 認証を行い、認証完了後にpac.<ZscalerCloud>.net から通信制御情報を取得します。

その後、最適な ZIA Service Edge(SME)との間で Secure Tunnel(TLS)を確立し、インターネット通信はすべて ZIA を経由して制御されます。

クラウド確認

Zscaler Client Connector(ZCC)初回起動後、最初にmobile.zscaler.net へアクセスし、ユーザーがどの Zscaler クラウド(ZscalerCloud)に紐づいているかを確認します。この処理により、ZCC は以降接続すべきテナント固有のクラウドを特定します。

mobile.zscaler.netは、Zscaler が提供するグローバル共通のブートストラップ用エンドポイントで、ZCC が最初にアクセスする 固定 FQDNとなります。

このエンドポイントの役割は、「ユーザーや端末が属する Zscaler クラウドを案内すること」となります。

※ここでは 通信の中継やポリシー適用は行われません。

このフェーズのZCC → mobile.zscaler.net の通信では、主に以下が行われます。

  • ZCC が利用すべき ZscalerCloud(例:zscalerthree.net 等)の判定
  • テナント情報の取得
  • 次に接続すべき mobile.<ZscalerCloud>.net の案内

サービス確認

ZCC は、前ステップで判定された Zscaler クラウドのmobile.<ZscalerCloud>.net へアクセスし、当該ユーザー/テナントで利用可能なサービス(ZIA / ZPA / ZDX)を取得します。

この情報を基に、ZCC は後続の認証処理や通信制御フローを判断します。

IdP認証

ZCC は login.<ZscalerCloud>.net へアクセスし、ユーザーに適用される認証方式(SAML / SCIM)を確認します。認証方式が SAML の場合、ZCC は該当する IdP へリダイレクトされ、Identity Provider (IdP) によるユーザー認証が実行されます。

認証成功後、login.<ZscalerCloud>.net に戻り、認証トークンが発行されます。

デバイス登録

ユーザー認証完了後、認証トークンを伴ってmobile.<ZscalerCloud>.net へリダイレクトされ、提示された認証トークンの正当性がlogin.<ZscalerCloud>.net との通信により確認されます。その後、ZCC は端末情報を送信し、デバイス登録処理が行われます。

既に登録済みの端末の場合は登録情報の確認のみを行い、初回端末の場合は新規デバイス登録が実施されます。

PAC取得

デバイス登録完了後、ZCC はpac.<ZscalerCloud>.net へアクセスし、PAC(Proxy Auto-Config)ファイルを取得します。

PAC には、ZIA へ送信すべき通信やローカルブレイクアウト条件が定義されており、以降の通信制御方針がここで確定します。

ZIA SME との Secure Tunnel 確立

PAC 取得後、ZCC は ZIA 対象通信について最適な ZIA Service Edge(SME)を選択し、ZIA SME との間で Secure Tunnel(TLS)を確立します。以降のインターネット通信はすべてこのトンネルを通過し、ZIA ポリシーに基づいて検査・制御されます。

ユーザーのインターネット通信は、まず ZIA の Service Edge(SME)に到達します。SME 上では URL フィルタリング、Web セキュリティ、Firewall、SSL 検査などが実行され、定義されたセキュリティポリシーに基づいて通信可否が判定されます。

検査および判定が完了した通信のみが、SME からインターネットへ送信されます。

まとめ

ZCC は起動後、ユーザーが属する Zscaler クラウドおよび利用可能なサービスを確認し、認証方式に応じたユーザー認証とデバイス登録を行います。

その後、PAC を取得し、ZIA の Service Edge(SME)との Secure Tunnel を確立します。確立されたトンネルを通じて送信されるインターネット通信は、SME 上でセキュリティ検査およびポリシー判定を受けた後、インターネットへ送信されます。

以上が、ZIA 導入時における Zscaler Client Connector(ZCC)の認証から Secure Tunnel 確立までの一連のフローです。

執筆担当者プロフィール
Ei Chaw Mone

Ei Chaw Mone(日本ビジネスシステムズ株式会社)

2022年度中途入社。金融・保険事業本部。Zscaler SSEの導入支援を中心に、ネットワークセキュリティ領域、エンドポイントセキュリティを深堀中。趣味はスノーボード。

担当記事一覧