Verkadaのセキュア・バイ・デフォルト・アーキテクチャの一環として、カメラからのすべての接続はアウトバウンド専用であり、Verkadaサーバーへの接続にはTLS 1.2を活用しています。
プロキシは、クライアントから発信されたトラフィックをインターセプトし、目的の宛先に転送します。 これらは、トラフィックのフィルタリング、監査、セキュリティなど、さまざまな理由で活用されます。 一部の場所では、これらの利点を利用するために、インターネットに向かうすべてのトラフィックをプロキシ経由でリダイレクトするようにネットワークを構成しています。
コマンドによる証明書の管理
中間者攻撃を防ぐために、VerkadaカメラとVerkada Commandはマネージド証明書を活用します。展開されたプロキシの動作によっては、これらの証明書に調整が加えられた場合(SSL/TLS復号化など)、カメラが起動しないか、正しく機能しません。 Verkada Cameras with SSL Decryptionの詳細をご覧ください。
SSLインスペクションのセットアップ
プロキシユーザーは、SSLインスペクションをサポートできないテクノロジーのバイパスルールを利用することがよくあります。 これは、トラフィックがプロキシをバイパスできるようにするために使用する特定のアドレス、FQDN、またはその他の識別特徴を指定します。
Verkadaカメラが正常に動作するように、これを設定することをお勧めします。
事例
Zscalerの例
Zscalerは、クラウドベースのプロキシおよびファイアウォールソリューションです。トラフィックはオンプレミスからサービスにルーティングされ、さまざまなポリシーを適用することができます。
トポロジの例
このトポロジは、目的の最終目標の概要を示します。 すべてのトラフィックは、元の設定に基づいてZscalerに転送されます。
VerkadaがZscalerポリシーの対象となり、カメラが安全な接続を確立する際に問題を引き起こすのを防ぐには、Verkadaカメラからのトラフィックをそのようなポリシーから除外するように除外ポリシーを設定する必要があります。
例外を設定する
ZscalerでSSLインスペクションを利用する場合は、除外ポリシーを設定する必要があります。 詳しくは、その方法をご覧ください。
Zscalerをバイパスしてカメラトラフィックをローカルで使用
Zscalerサービスの設定によっては、VerkadaカメラトラフィックをZscalerにまったく転送しないこともできます。 たとえば、デフォルト ルートを使用してGRE/IPSecトンネルに沿ってトラフィックをZscaler DCに渡すのではなく、PBRを利用してクライアントVLANトラフィックのみをZscalerに転送する場合、ルーティングを調整する余地があります。
つまり、Verkadaカメラが専用VLAN上にある場合、以下に示すように、クライアントベースのVLANをZscalerに転送しながら、通常の方法でこのVLANからインターネットにトラフィックを転送するようにネットワークを構成できます
トポロジの例
考慮すべきZscalerの機能
Zscalerには、活用できる追加機能が多数あります。 帯域幅制御についてお読みになり、Verkadaカメラの動作に影響を与える可能性のあるものを検討してください。
それでもVerkadaカメラがオンラインにならない場合は、 新しいカメラがオンラインにならないをお読みください。
サポートが必要な場合はVerkadaサポートにお問い合わせください。