🌐

Zsclaer Internet Access に Azure VPN Gateway で接続する

2023/04/14に公開

はじめに

Zscaler Internet Access (ZIA) は IPSec や GRE で接続することで、クライアント側にプロキシ設定不要となる透過プロキシ (+ライセンスがあればファイアウォール機能) として使用することが可能です。Azure で動いている各種仮想マシンや プライベート構成の AKS や App Service などの PaaS も社内クライアントと同等のアウトバウンドの Web セキュリティ対策をしたいという要件があると思いますが、プロキシ設定を入れるのが手間だったり、そもそも入れられないサービスもあったりします。
ということで、今回 Azure VPN Gateway で Azure 仮想ネットワークから透過プロキシで ZIA にアクセスする構成を試してみました。

検証の前に

そもそも同じようなことができる機能がいくつかありますので、事前に紹介しておきます。

Zscaler Zero Trust Exchange
クラウドプラットフォーム - Zscaler 間やクラウド間で接続可能なサービスとして Zscaler 社が提供している機能です。必要ライセンスや価格はすいませんが、把握してません。
https://www.zscaler.jp/solutions/infrastructure-modernization/cloud-connectivity

Azure vWAN + ZIA 統合
Azure vWAN に ZIA を統合する機能が提供されています。仕組みとしては、vHub にある VPN Gateway と ZIA が詳細な設定なしで接続される機能なので、今回ご紹介する構成と似ているのですが、vWAN 分のコストがかかるところがネックです。あと、接続先 DC は指定できず自動的に選択されます。
https://www.zscaler.com/blogs/product-insights/securing-microsoft-azure-vwan

Azure ファイアウォール
透過プロキシという観点であれば、Azure ファイアウォールでも実現可能です。ただ、ZIA と比べると機能が不足している部分が多く、かつ社内で ZIA を使っている場合はルールが二重管理になる点がネックになります。
https://learn.microsoft.com/ja-jp/azure/firewall/overview

ZIA の設定

まず ZIA 側で VPN Gateway で使用しているパブリック IPを登録します。
VPN Gateway の概要ページを開き、パブリック IP アドレスをコピーします。


ZIA のポータルにて [Administrator] > [Static IPs & GRE Tunnels] から Static IP を登録します。





VPN の認証情報を登録します。ZIA のポータルにて [Administrator] > [VPN Credentials] を開きます。Authentication Type は IP にして、先ほど登録した IP アドレスを指定します。



ZIA の Location を登録します。ZIA のポータルにて [Administrator] > [Location Management] を開きます。Static IP Address と VPN Credentials に先ほど設定した項目を指定します。



Azure の設定

まず VPN Gateway の対向となる Local Network Gateway をデプロイします。原因はよく分からないのですが、ポータルからだと FQDN の登録がエラーになるので、PowerShell でデプロイしました。


Fqdn については Zscaler 社のサイトで接続先 DC の VPN Host Name ご確認ください。私が使用しているのは zscloud.net なので、以下が確認サイトになります。
https://config.zscaler.com/zscloud.net/cenr

AddressPrefixes については、インターネット向けなので 0.0.0.0/0 を設定したかったのですが、NG のようなので 0.0.0.0/1 と 128.0.0.0/1 を指定しました。


次に VPN Gateway で接続 (Connection) を作成します。サイト対サイトを指定し、先ほど作成した Local Network Gateway を選択、ZIA 側で指定した資格情報を共有キーに入力します。設定後、接続済みになれば OK です。ちなみに私の検証環境は VPN Gateway の SKU が Gen1 Basic なので、1 本しか張っていませんが、本番環境で利用する場合はアクティブ-アクティブなどの冗長構成とする必要があります。


動作確認

今回は透過プロキシで動かすので、ユーザー定義ルートを作成してデフォルトゲートウェイに VPN Gateway を指定します。プロキシ除外したい通信は個別に Internet 向けにルートを定義する必要があります。(下記の場合は KMS の通信)


Windows サーバで動作確認します。プロキシ指定していない状態でも ZIA を経由していることを確認できました。もし証明書のエラーが出る場合には ZIA で SSL Inspection が有効となっていると思いますので、ルート証明書のインストールか、SSL Inspection の除外設定を行ってください。

Microsoft (有志)

Discussion