Zscalerを使用してVerkadaをセットアップする
Verkadaは、セキュア・バイ・デフォルト(セキュリティ機能組み込み)アーキテクチャを採用しています。その一環として、カメラからの接続はすべてアウトバウンド接続のみとなっており、Verkadaサーバーへの接続にはTLS 1.2を使用しています。
プロキシは、クライアントから発信されたトラフィックを取得し、目的の宛先に転送します。トラフィックフィルタリング、監査、セキュリティなど、プロキシは様々な理由で利用されます。そうした活動の利点を活かすために、インターネットに向かうすべてのトラフィックをプロキシ経由でリダイレクトするようにネットワークを設定している場所もあります。
VerkadaカメラとCommandは、中間者攻撃を防ぐためにマネージド証明書を使用しています。導入されているプロキシの動作によっては、これらの証明書にSSL/TLS復号化などの調整が加えられると、カメラが起動しなくなったり、正常に動作しなくなったりします。詳細については、次の記事をご覧ください。
プロキシユーザーは、セキュア・バイ・デフォルトという性質上、SSLインスペクションをサポートできない技術に対して、バイパスルールを利用することがよくあります。このルールでは、トラフィックがプロキシをバイパスできるようにするために使用される特定のアドレス、FQDN、またはその他の識別特性を指定します。Verkadaカメラが正常に動作するためには、このルールを設定する必要があります。
Zscalerの例
Zscalerは、クラウドベースのプロキシおよびファイアウォールソリューションです。トラフィックはオンプレミスからサービスにルーティングされ、さまざまなポリシーを適用することができます。
トポロジの例
上記のトポロジは、望ましい最終目標を概説したものです。すべてのトラフィックは、元の設定に基づいてZscalerに転送されます。VerkadaがZscalerのポリシーの対象となりカメラが安全な接続を確立する際に問題が発生するのを避けるため、Verkadaカメラからのトラフィックを対象外にするよう除外ポリシーを設定する必要があります。
除外ポリシーを設定する
ZscalerでSSLインスペクションを利用する場合、除外ポリシーを設定する必要があります。その方法の詳細については、次のURLをご覧ください。
ローカルでカメラトラフィックにZscalerを回避させる
Zscalerサービスのセットアップによっては、VerkadaカメラのトラフィックをZscalerにまったく転送しないことも可能です。例えば、GRE/IPSecトンネルでデフォルトルートを使ってZscaler DCにトラフィックを送るのではなく、PBR(ポリシーベースルーティング)を使用してクライアントベースのVLAN内トラフィックをZscalerに転送するだけであれば、ルーティングを調整する余地があると言えます。
そのため、Verkadaカメラが専用VLAN上にある場合、以下のトポロジのように、クライアントベースのVLANをZscalerに転送しながら、このVLANから通常の方法でインターネットにトラフィックを転送するよう、ネットワークを設定することができます。
トポロジの例
検討すべきZscalerの追加機能
Zscalerには、利用できる追加機能が多数あります。Verkadaカメラの操作に影響を及ぼす可能性のある機能を以下に示します。
Verkadaカメラがオンラインにならない場合は、このガイドの手順をに従ってください。