SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

【Palo Alto】Prisma Browser Connectorで実現するブラウザベースのZTNA

  1. ホーム
  2. 技術ブログ
  3. セキュリティ
  4. 【Palo Alto】Prisma Browser Connectorで実現するブラウザベースのZTNA
セキュリティ
2026.06.22


本記事では、Prisma Browser Connectorを用いたブラウザベースZTNAの実現方法についてご紹介します。

 

Prisma Browser Connectorとは

Prisma Browser Connector (PB Connector) は、Prisma Browserを利用してリモートの⾮管理端末からプライベートアプリに対する安全なアクセスを実現するためのサービスです。

これまで、Prisma Browserからプライベートアプリへのアクセス要件がある場合にはPrisma Accessの展開が必要でした。PB Connectorを利用することで、Prisma Accessを導入することなくPrisma Browserからプライベートアプリに接続することができます。

Prisma BrowserによるZTNAでは、端末へのエージェントインストールや証明書プロビジョニングが不要なことが大きな特徴です。

 

PB Connectorのアーキテクチャ

  • Prisma Browser: ユーザ端末側の実⾏基盤 (クライアントとしての役割)
  • PB Connector: プライベートアプリへの接続を中継 (クラウドサービスとして提供)
  • ZTNA Connector: プライベートネットワークに配置するゲートウェイVM

001.png

接続対象のアプリケーションがあるプライベートネットワーク内にZTNA Connector (ZTNA-C) という仮想マシンを配置します。

PB Connectorは、MASQUEプロキシとZTNA-C終端ノードで構成されています。PB ConnectorがZTNA-Cの場所に最も近いクラウドリージョンを選択し、ZTNA-CからPB Connectorに対して自動トンネルを確立します。ZTNA-C終端ノードではZTNA-Cのオーケストレーションによって接続を最適化します。

Prisma BrowserはPB Connectorに自動接続し、ZTNA-Cを介してプライベートアプリにアクセスします。その際、Prisma BrowserとPB ConnectorはMASQUEプロトコル (QUIC) で接続を確立します。
※QUICが利用できない場合は、HTTP/2に自動的にフォールバックします

 

ZTNA-Cの構成

ZTNA-Cは、下記2パターンの構成で展開することができます。
詳しくはOnboard the ZTNA Connector VM in Your Data Centerを確認してください。

1-Arm構成は、AWS、Azure、GCP、OCIなどのクラウドネイティブ環境でサポートされています。また、オンプレミス環境のESXiでもサポートされています。KVMまたはMicrosoft Hyper-Vなどのオンプレミス環境への展開には、2-Arm構成を使用します。

◆1-Arm構成
この構成では、ZTNA-Cはプライベートサブネット上に配置され、データセンタールーターを介してインターネットにアクセスできます。アプリケーションへのアクセスは、同じサブネット上でローカルに行うことも、データセンタールーターを介して行うことも可能です。

1-arm.png

◆2-Arm構成
この構成では、一方のインターフェースがインターネットに接続され、もう一方のインターフェースがデータセンターに接続されます。セキュリティルールをより詳細に制御したい場合や、オンプレミスのVM環境を使用している場合は2-Arm構成を使用します。

2-arm.png

ZTNA-CはPB Connectorへの接続を開始するため、ファイアウォールのインバウンド通信を許可する必要はありません。ただし、ZTNA-CからPB ConnectorへのIPSecトンネルを作成できるように、インターネット向けにHTTPS (TCP 443)、IKE/IPSec (UDP 500/4500) を許可するアウトバウンドルールが必要です。

 

設定手順

  1. ZTNA-Cのデプロイ
  2. Prisma Browser側の設定
  3. 動作確認

 

1. ZTNA-Cのデプロイ

Strata Cloud Manager (SCM) にアクセスし、Configuration > ZTNA Connectorに移動します。
コネクタグループ >「コネクタグループの作成」を選択します。
コネクタグループの名前を入力して「作成」をクリックします。

002.png

コネクタ >「コネクタの作成」を選択します。
コネクタの名前を入力し、コネクタグループを選択して「作成」をクリックします。

003.png

コネクタ一覧画面から、作成したコネクタの「アクション」に表示されている鍵マークをクリックします。
※コネクタデプロイ前のため、この時点ではTunnelとControl Planeのステータスはダウンしています

004.png

Copy Tokenウィンドウが開くので、Keyとシークレットをコピーして控えておきます。

005.png

 

続いて、ZTNA Connectorをデプロイします。今回はVMware ESXi上に構築していきます。
ZTNA Connectorの要件とガイドラインを参照し、プラットフォームごとの最小要件を確認してください。

VMware ESXi / KVM / Hyper-Vにデプロイする場合は、Customer Support Portal (CSP) からファイルをダウンロードします。今回は、VMware ESXi用のOVAファイルをダウンロードします。

006.png

ダウンロードしたOVAファイルからZTNA-Cをデプロイします。
テンプレートのカスタマイズ画面で、SCMでコピーしたKeyとシークレットをペーストします。
その他のネットワーク設定は、ZTNA-Cをデプロイする環境に合わせて変更します。

007.png

正常にデプロイが完了すると、SCMでZTNA-CのTunnelとControl PlaneのステータスがUpになります。

008-01.png

次に、FQDN Targets >「Create FQDN Target」をクリックしてFQDN Targetを作成します。
任意の名前を入力し、コネクタグループを選択します。対象アプリのFQDNを入力し、プロトコルとポートを設定します。Advanced Settingsの項目で、プローブのタイプとポートを設定します。

009-01.png

ZTNA-Cから対象アプリへの接続が可能な場合、Application StatusがUpになります。

010.png

 

2. Prisma Browser側の設定

Strata Cloud Manager (SCM) にアクセスし、Configuration > Prisma Browserに移動します。
DIRECTORY > Applications > Private Applications >「Add private app」を選択します。任意の名前を入力し、プライベートアプリのFQDNまたはIPアドレスを追加して「Add」をクリックします。

011-01.png

追加したプライベートアプリは、Private Applicationsに表示されます。
必要に応じてアプリケーショングループを作成することもできます。

012-01.png

POLICY > Rules > Access & Data Control > Create をクリックして、作成したプライベートアプリへのアクセスを許可するポリシールールを作成します。

013.png

設定が完了したら、「Review changes」をクリックして設定を適用します。

014-01.png

 

3. 動作確認

Prisma Browserにログインします。

015.png

Prisma BrowserからプライベートアプリのFQDNにアクセスすると、無事Webページを開くことができました。

017.png

イベントログを確認します。
ANALYTICS > Events に移動し、対象アプリへのアクセスログを探します。
アプリ名やポリシールール名でフィルタリングすることも可能です。

018.png

クリックして詳細を確認すると、アプリケーション名やユーザー名、ポリシールールなどの情報を確認することができました。

019.png

 

まとめ

本記事では、Prisma Browser Connectorを利用してブラウザベースのZTNA環境を構築する方法をご紹介しました。

従来はPrisma BrowserからプライベートアプリへアクセスするためにPrisma Accessの導入が必要でしたが、Prisma Browser Connectorを利用することで、Prisma Accessを展開することなく安全なアクセスを実現できます。さらに、エージェントのインストールや証明書配布が不要なため、管理対象外端末やBYOD環境においても導入・運用の負荷を大幅に軽減できます。

構成面では、プライベートネットワーク内にZTNA Connectorを配置するだけで、PB Connectorとの自動トンネルを通じて安全な接続経路を確立できます。また、クラウド環境からオンプレミス環境まで幅広い展開方式に対応しており、既存環境に合わせた柔軟な導入が可能です。

ブラウザをセキュリティの実行基盤として活用するPrisma Browser Connectorは、ゼロトラストアクセスをよりシンプルかつ迅速に実現する有効な選択肢といえるでしょう。リモートワークやBYODの活用が進む中、エージェントレスで安全なプライベートアプリケーションアクセスを実現したい場合は、ぜひ導入を検討してみてください。

 

__________________________________________________________________________________

※本ブログの内容は投稿時点での情報となります。
 今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。

「Palo Alto Networksコンシェルジュ」
製品パンフレットのDLからお見積り依頼まで受け付けております

Paloバナーブログ用.jpg

他のおすすめ記事はこちら

【Palo Alto】Prisma Access Browserのご紹介

著者紹介

SB C&S株式会社
NetSec Pro/SecOps Pro/NetSec Analyst
CYBERFORCE HERO
中村 愛佳 -Manaka Nakamura-

Related Posts

関連記事