【Zscaler】新しい固定IP機能ENATのご紹介

みなさんこんにちは。2年目社員の星です。

Zscalerより「ENAT（イーナット）」というIP固定の新機能がリリースされました。

今回は設定方法に加えて既存のIP固定機能「SIPA」との違いについても触れていますので、参考にしていただければと思います。

目次

1.ENAT（IP固定機能）とは？
2.ENATの設定方法
3.ENAT利用での注意事項
4.既存IP固定機能「SIPA」との関係は？
5.おわりに　

1.ENAT（IP固定機能）とは？

ZscalerのENAT機能とは、各組織専用の「識別番号が変わらないIPアドレス」を提供し、特定のアプリケーションやドメインに安全にアクセスをする機能になります。

IP固定機能を活用することで、IPアドレス制限のあるアプリケーションに特定のIPアドレスでアクセスすることができるようになります。これにより、利用している重要なSaaSアプリケーションにIPアクセス制限をかけることが可能となり、ENATで固定したIPアドレスのみを許可する形で不特定多数のデバイスからの不正アクセスを防止できます。

また、外出先や特定の環境からでも許可されたIPアドレスであればアクセスが可能になるため、セキュリティを維持しつつ利便性も確保できる点がメリットとなります。

2.ENATの設定方法

では構築に移りましょう。

構築の前提条件は以下になります。

・Zscalerのテナントのライセンスが2025年度のライセンス「Zscaler Platform Essential」以上であること

・ZscalerにDedicatedIPの払い出しを依頼し、払い出しが完了されていること

2-1 Dedicated IPアドレスとゲートウェイの設定

①ZIA「管理」→「Dedicated IP」→「Gatewayタブ」へ移動します。

②「Add Gateway」より転送先のデータセンターを備えたゲートウェイを作成します。

設定項目としては以下になります。

・名前：ENATの任意の名前

・Primary Data Center：すべてのトラフィックを宛先に転送するために使用されるデータセンター

・Secondary Data Center：プライマリー データ センターが到達不能な場合のバックアップとして機能するデータセンター

※データセンターの候補にはZscalerによってプロビジョニングされている対象のみ表示されます。

③設定を保存します。

④有効化を行います。緑色のポップアップが表示されれば完了です。

2-2  転送ルールの設定

①「ポリシー」→「Firewall」→「転送コントロール」へ移動します。

②「転送ルールを追加」よりDedicated IPのポリシー(ENAT対象の宛先等)を追加します。

③各項目の設定を行います。項目ごとの設定内容は画像内の表を参考にしてください。

・一般タブ

・サービスタブ

・アプリケーションタブ

・ソースタブ

・宛先タブ

④設定を保存します。

⑤ 1．を参考に有効化を行います。

構築は以上になります。

おまけとして、ユースケースごとの設定についても少しご紹介します。

・特定のDCのENATに送信したい場合

①Gatewayで追加したいDCのIPを指定する。

②転送コントロールで①で設定したGatewayを指定

例）異なる地域のDCから出たトラフィックに対しても東京ENATを通るようにする。

・Geo Location（地理的位置）でENATに送信したい場合

①転送コントロールでGatewayをデフォルト設定にする。

例）東京のDCから出たトラフィックは東京のENATを通るようにする。

3.ENAT利用での注意事項

ENATを利用するにあたって必要な設定が2つあります。

1つ目はDNSの除外設定になります。

これは、DNSクエリをENAT経由で処理すると誤ったIP解決や遅延の防止、地理的ロケーションに基づく正しい解決結果を得るためという2つの理由が考えられます。

①「Policy」→「転送コントロール」に移動します。

②「DNS」をDIRECTにすることでENATから除外します。

2つ目はQUICの除外になります。

これは、Googleのサービスなど一部のサービスがQUICプロトコルを使用する場合があり、このトラフィックがENATを通過することで、通信が正常に確立できないリスクやパフォーマンスの問題が生じるのを防ぐという理由が考えられます。

①「管理」→「ファイアウォールフィルタリング」→「ネットワークサービス」にてサービスグループを作成します。

②先ほどのDNS除外設定をした「転送コントロール」にてQUICのパケットをDIRECTにすることでENATから除外します。

4.既存IP固定機能「SIPA」との関係は？

さて、今まではENATという新規IP固定機能のご紹介をしてきましたが、Zscalerには既存のIP固定機能SIPAがあります。

ENATもSIPAも「できること」に差はありません。

SIPAと比べたENATの特徴は主に2つあります。

一つ目はZIA上で設定を完結できるため設定ハードルが低いということです。

SIPAの場合は、まずZPAでAppConnectorを構築して、ZIAやZCCで設定を見直して、、、と各ポータルでの設定が不可欠ですが、ENATには必要ありません。

二つ目はトラフィックの制限がないということです。

ZIA上で完結する機能のため、トラフィック量によって追加料金が必要になるといったこともありません。

以上が違いになります。

SIPAをすでに利用している方は併用も可能です。

5.おわりに

今回は新規固定IP機能ENATのご紹介でした。

ZIA上で設定が完結するので、短時間でサクサク構築することができました。

今後導入を考えている方や、固定IP機能の利用を考えている方の参考になれば幸いです。

最後まで読んでいただきありがとうございました！