概要
(入社三年目のかりやです)
この記事では、Zscaler Internet Access(ZIA)におけるSSLインスペクション機能の
動作とポリシーの設定について説明します。
SSLインスペクション機能について
最初にSSLインスペクション機能(SSL復号、SSLデコード)について説明します。
一般的に、プロキシサーバーはHTTPS通信の内容を検査することはできません。
HTTPSプロトコルの通信はユーザーとサーバー間のエンドツーエンドで暗号化されており、
第三者が通信を傍受することができた場合でも、元の通信の内容を見ることはできません。
<暗号化されたデータ>
この暗号化の仕組みは、ユーザーのセキュリティの担保に役立つ反面、企業や学校などで
利用者の通信の内容を検査したい場合に弊害となります。
ZscalerのSSLインスペクション機能を有効にすると、ユーザーがHTTPSプロトコルを
使用して通信した場合でも、内容を検査することができます。
実際の動作では、ZscalerはユーザーとサーバーのHTTPS通信を仲介し、ユーザー-Zscaler間と
Webサーバー-Zscaler間の2つのHTTPSセッションを確立します。
このような方法でHTTPS通信をの内容を復号することにより、Web通信をZscalerで
スキャンすることができます。
<ZscalerによりHTTPS通信が仲介され
検査されます>
SSLインスペクションポリシーの設定
SSLインスペクション機能は、SSLインスペクションポリシーを使用して制御します。
ここでは、SSLインスペクション機能の動作を検証するために、検証用ユーザーの全ての通信を
SSLインスペクション(復号)するポリシーを設定します。
URLカテゴリを指定しないことにより、すべてのURLカテゴリをポリシーの対象にすることができます。
<SSLインスペクションポリシーの作成>
SSLインスペクション機能の動作の確認
SSLインスペクション機能の実際の動作を確認します。
検証用デバイスにZscaler Client Connector(ZCC)をインストールし、検証用ユーザーでログインします。
SSLインスペクションを有効にした場合の動作
Webブラウザで、KDDIエボルバのホームぺージにアクセスします。
SSLインスペクションによりHTTPS通信が仲介されるため、Zscalerにより署名された
サーバー証明書が表示されました。
これは、ZscalerによりHTTPS通信が仲介されたことを示しています。
<SSLインスペクション機能を使用した場合のサーバー証明書>
Zscaler上のログには、宛先URLやユーザーエージェント、リクエストメソッドなどの情報が
明確に記録されていることが確認できます
<SSLインスペクション機能を使用しない場合のZscaler上のログ>
SSLインスペクション機能を使用しない場合の動作
SSLインスペクションを無効にし、先ほどと同じようにKDDIエボルバのホームページにアクセスします。
ブラウザが受け取ったサーバー証明書を確認すると、DigiCert社により署名された
サーバー証明書が表示されました。
検証用デバイス-宛先Webサーバー間で暗号化されたHTTPS通信が確立されていることを示しています。
<SSLインスペクション機能を使用しない場合のサーバー証明書>
Zscaler上のログでは、通信先ドメインは記録されているものの、
詳細な通信内容については記録されていないことが確認できます。
<SSLインスペクション機能を使用しない場合のZscaler上のログ>
まとめ
SSLインスペクション機能を設定することで、ZscalerでHTTPS通信の内容を検査することが可能になるため、
URLフィルタリング機能や脅威保護機能をより活用することができます。
現在ではほとんどのWeb通信がHTTPSにより暗号化されいるため、セキュリティの向上のために
SSLインスペクション機能の有効化は必須の設定になるかと思います。
本記事は以上となります。閲覧いただきありがとうございました。