ビジネス&テクノロジー

クラウドを利用するテレワーカーのためのリモートアクセス保護

投稿者 Lior Cohen | 2020年4月20日

多くの企業が現在、事業継続性と運用継続性を維持する目的で、テレワーク、テレラーニング、リモートの生産性向上ソリューションを急速に導入する過程にあります。しかし、そうした企業は、運用面で不要なコストを発生させることなく、リモートアクセスサービスを提供することも目標にしています。また同時に、既存のビジネスおよび運用モデルと同等レベルのセキュリティを維持する必要があります。有用性が重視される場合はもとより、ビジネスが好調であったとしても、その実現には複雑なプロセスが伴う可能性があります。

リモートユーザーがコアネットワークやデータセンターリソースにリモート接続する際に通常使用されている接続以外にも、組織はリモートユーザーに提供しなければならないものがあることが、このプロセスをさらに複雑にしています。クラウドでホストされるアプリケーションの数も増えていることから、組織はコアネットワークを介してアプリケーションを提供するのではなく、アプリケーションにセキュアなリモート接続を直接提供することを検討する必要があります。ダイレクトに接続することでネットワーク負荷が軽減されるだけでなく、ユーザーエクスペリエンス全体、中でも高帯域幅または遅延の影響を受けやすいアプリケーションのユーザーエクスペリエンスを向上させることができます。

しかし、すでにリモートアクセスソリューションを導入していても、あるいはリモートアクセスソリューションの構築 /拡張の最中であっても、アプリケーションへのリモートアクセスの需要が急増すれば、パフォーマンスとセキュリティの両面で以前とは異なるトラフィックパターンが否応なく現れ、対処が必要になります。こうした傾向は、通常はリモートで(例えば、普段オフィスで作業しているユーザーグループからは)アクセスされないアプリケーションにおいて特に顕著です。こうした新たな発見により、世界中に置かれているデータ(クラウドおよびオンプレミスのデータセンター)に一貫したセキュリティ体制を提供し、同時に、高まる需要に対応する優れたパフォーマンスと柔軟性を実現するリモートアクセスソリューションの必要性が明らかになっています。

すべての導入形態に対応する1つのセキュリティソリューション

リモートユーザー向けに大規模なVPNソリューションを導入するには、熟慮が必要です。単純にアクセスできるようにするだけでなく、属性、セキュリティプロファイル、およびユーザーが必要とするコンテンツとリソースに基づいてユーザーをセグメント化するといった作業は、一次的なタスクです。また、リソースへの特別なアクセスを必要とするユーザーを特定する必要があります。

システム管理者、ITサポート技術者、緊急時対応の担当者など、企業リソースに高い権限でアクセスでき、複数のパラレルなIT環境におけるオペレーションが可能なパワーユーザーはどの従業員でしょうか?システムへの特権アクセスを持つ管理者、サポート技術者、事業継続計画において提携している主要パートナー、緊急時対応の担当者、経営陣など、取り扱いに厳重な注意が必要な機密情報を処理したり、企業の機密情報に高い権限でアクセスしたりする従業員はどうでしょうか?また、拠点ベースのアクセスを必要とするユーザーはどうでしょうか?

これらの質問に答えるには、クラウドからオンプレミス、エンドポイントにいたるまで、ネットワークアーキテクチャ全体について考える必要があります。フォーティネットは、(導入環境がクラウド、オンプレミス、またはパワーユーザーのホームオフィスのいずれであっても)様々な提供形態において、統一された柔軟なオペレーティングシステムを提供することにより、そして、その管理を一元化してポリシーオーケストレーション、VPNテンプレート、ユーザーセグメンテーションを可能にすることにより、このような要件に対応することができます。

多目的なセキュリティアプローチの実現

FortiGateソリューションをクラウド、オンプレミス、またはリモートの場所に導入するフォーティネットのお客様は、この一元管理機能を活用して、複数のファイアウォールを横断的に制御および調整し、一貫したセキュリティとユーザーエクスペリエンスを確立し、維持することができます。フォーティネットは、いかなる場所いかなるタイミングでも、ビジネスパフォーマンスがユーザーの生産性、コンテンツやアプリケーションへのアクセスに大きく左右されることを理解しています。フォーティネット セキュリティ ファブリックは、セキュアSD-WANをコア機能として使用することでリモートアクセスを可能にし、様々な場所のパフォーマンス管理を可能にすることにより、大規模なクラウドリソースへのモバイルアクセスと固定アクセスの柔軟なオプションをセキュアに提供します。

例えば、セキュアVPNゲートウェイとして機能するFortiGate VM NGFWをAWSに導入した場合、データセンターとクラウドを接続するダイレクトコネクトリンクのインターネット全体で最大20GbpsのIPsec VPNトラフィック、およびFortiClientまたは他のVPNクライアントに接続された数万のSSL-VPNとIPsec VPNセッションをサポートできます。この高い柔軟性により、ネットワークやセキュリティポリシーを再設計したり、様々な場所を行き来するトラフィックのSLAを管理したりせずに、リモートアクセスのニーズを満たすことができます。FortiGate-VMが比較的小さなコンピュートインスタンスで実行されている場合、お客様は同じ構成を使用してスケールアップし、大きなソリューションを起動してダウンタイムを最小限に抑えながらキャパシティを拡張できます。また、AWS、Azure、GCP、またはOracle Cloudを、FortiGateベースのSSL-VPNまたはIPsec VPNを組み合わせ、クラウドベースのアプリケーションやサービスの使用を増やすことで、どのタイプのユーザーがアプリケーションにアクセスするかを可視化し、制御できます。

このようなお客様の場合、次の2つの領域で増加するトラフィック需要の可視化と保護が可能になります。

  1. クラウドでホストされているアプリケーションにアクセスする必要があるリモートアクセスユーザーは今後増加するため、オンプレミスとクラウドの両方で今以上に多くのVPN接続を終了する必要があります(次の図の1)。その結果、IKE v1/v2でのSSL-VPNとIPsecのセッション確立アクション、およびSSLキーネゴシエーション速度の要件も厳しくなります。
  2. オンプレミスおよびクラウドでホストされている可能性のあるアプリケーションにアクセスするユーザーが増加すると、拠点間VPNトラフィックも増加します(次の図の2)。これにより、アプリケーションの機能とモジュール全体のトラフィック量が増加します。このようなパターンとその結果必要になる復号化と暗号化は、大半のNGFWに大きな負荷をもたらしますが、FortiGateソリューションであれば対応可能です。

リモートアクセスのための統合セキュリティアプローチの利点

当然ですが、トラフィック需要が増加すると、既存インフラストラクチャに対して負荷が掛かり、各種機能がパフォーマンス限界に達します。このような状況では、パフォーマンスヘッドルームに余裕があることが高く評価されます。同時に、パブリッククラウドベースのセキュリティサービスハブソリューションと併せて、フォーティネットのトップクラスのデータセンターエッジセキュリティソリューションを実装したお客様は、統合された1つのセキュリティシステムとして機能するといった、これらのソリューションの柔軟性がもたらすメリットを享受することができます。

リモートアクセス需要の増加に対処する際に考慮すべき主な事項を次に示します。

スケールアップとスケールアウトの比較:VPNは非常にステートフルな通信技術であるため、大規模なVPNの場合にスケールアウト機能として設計すると、新たな課題が生じます。スケールアップベースのソリューションを実装する機能があれば、需要に迅速に対応する能力が大幅に加速するだけでなく、非常に大規模なユーザー接続とトラフィックの暗号化への拡張が可能となります。しかも、達成できるかどうか分からないエンジニアリングプロジェクトに着手する必要がありません。

FortiGate-VMはAWS C5n.9xlargeインスタンスタイプを使用して20Gbpsで実行できるため、FortiClientを使用しているか別のVPNクライアントソフトを使用しているかに関係なく、パブリッククラウドベースのセキュリティサービスハブにセキュアに接続して、クラウド内のアプリケーションにアクセスすることを望んでいる数千人のリモートユーザーをサポートできます。また、AWSへのダイレクトコネクトリンクを使用して、最短距離のクラウドリージョンからオンプレミスアプリケーションにアクセスし、そこからプライベートデータセンターにアクセスできるようになります。そして最終的に、クラウドとデータセンター間の高速データ転送を継続的にサポートします。

暗号とCPUアフィニティ:クラウド内のコンピュータは一般的に汎用CPUにバインドされているため、高性能の暗号化通信のネゴシエーションをサポートする機能は制限されています。セキュアな接続ソリューションの実現可能なパフォーマンスとスケールに著しい影響を与えるため、ジョブに適した暗号化を選択することが重要です。IKEフェーズ2の設定では、chacha20poly1305暗号を使用して最高のパフォーマンスを達成できることがわかりました。さらに、暗号化と復号には大量のCPUが必要であるため、最大32コアのコンピュートインスタンスを活用することで、それぞれに暗号化専用のコンピュートリソースが備わった複数のVPNトンネルに接続が分散されるため、パフォーマンスを向上させることができます。

IPsecアグリゲーション:一部の組織では、FortiGate-VMで使用されるコンピュートインスタンスの単一の仮想ネットワークインタフェースで利用可能なものよりも、高いパフォーマンスを必要とする高速リンクを保護しなければなりません。FortiGateユーザーはトンネルを集約して、単一のIPsecトンネルの一部として4つの異なる仮想インタフェースにトラフィックを均等に分散し、サイト間暗号化接続の高スループットを実現できます。この機能は、クラウドとデータセンターにおける大量のセキュア通信にとって極めて重要です。

セキュアSD-WANの有効化:ビジネスクリティカルなアプリケーションでのトラフィックバーストによる影響を回避するには、中断が許されない非常に明確なSD-WAN SLAでトラフィックを分離することが推奨されます。これを実現するには、トラフィックを(集約するかどうかに関係なく)異なるVPNトンネルに分割します。FortiGate-VM SD-WANポリシーを使用すると、特定のタイプのトラフィックにトンネル容量を割り当てて予約すること、また、SD-WANポリシーに基づいて追加のリソース / トンネルをトラフィックに動的に割り当てることができます。次に組織は、異なるトンネルを様々な物理接続に関連付け、インターネット接続(上図の3)とダイレクトコネクトリンク(上図の2)を介して実行されるトラフィックを明示的に定義できます。

既存の投資の活用

クラウドでホストされているアプリケーションやSaaSサービスへの需要の増加を原因とする新規や追加のキャパシティ要件に応えることは、大きな課題のように思えるかもしれません。しかし、多くの場合、組織は既存のテクノロジーへの投資で生まれたイノベーションや機能を活用することで、コストを大幅にかけずに大半の要件に対応できます。

フォーティネット製品(ネットワークセキュリティインフラストラクチャ全体用のFortiGateアプライアンスとFortiGate VM、一元管理用のFortiManager / FortiAnalyzer、一元管理されたエンドユーザーVPN接続用の無償バージョンまたは有償バージョンのFortiClient)の一部またはすべてを含むフォーティネット セキュリティ ファブリックベースのネットワークセキュリティインフラストラクチャに投資してきた組織は、必要なツールの多くをすでにお持ちです。これらのツールを使用することで、増大する差し迫ったニーズに対応できるよう既存の構成と環境を調整できると同時に、重要なビジネス要件に対処できます。これにより組織は、増加するテレワーカーコミュニティを効果的かつ安全にサポートするために必要なライフラインを確立できます。

幅広い適用領域でシステム連携し、自動化されたフォーティネットのテレワーカー向けソリューションを通じたビジネス継続性維持の詳細をご覧ください。フォーティネットのダイナミッククラウドセキュリティソリューションを導入することで、どのようにクラウドインストラクチャ全体で強化された可視性と制御を提供し、またデータセンターからクラウドに至る安全なアプリケーションと接続を確保しているか、詳細をご確認ください。

以下のケーススタディ(英語)では、CuebiqSteelcaseがフォーティネットの動的クラウドセキュリティソリューションを実装し、データセンターからクラウドへのセキュアな接続を実現した成功事例を紹介しています。