Skip to content Skip to navigation Skip to footer

Office365 ネットワーク・セキュリティ ソリューション

Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド

Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド

今すぐ読む
Office365 ネットワーク・セキュリティソリューション

Office365 ネットワーク・セキュリティソリューション

今すぐ読む
Office365 メールセキュリティソリューション

Office365 メールセキュリティソリューション

今すぐ読む

企業や組織で「Microsoft Office 365」などのクラウドサービス利用が増えています。いつでも最新のオフィスアプリケーションを利用できるというメリットと引き換えに、従来型のインフラに想定以上の負荷がかかり、ネットワークやセキュリティのあり方を再考する必要が出てきました。

課題

  • 拠点:拠点からセンター向けの閉域網経由のインターネットトラフィックが増加
    • Office365利用により拠点からのインターネット向けトラフィックが増加
    • 拠点からセンター向けの閉域網経由のトラフィックも増加し回線費用が上昇
  • センター:セッション数増加によるプロキシサーバの負荷増大
    • Office365は1ユーザに対し多くのセッションを同時利用するため 既存プロキシではパフォーマンスが不足
    • インターネット向けトラフィックの増加で回線への負荷も増加

                                                          

ソリューション

拠点:SD-WAN(インターネット・ブレイクアウト)の利用

  • FortiGateのSD-WAN機能で、Office365への通信とそれ以外の通信とで使用する回線を分離 (インターネット・ブレイクアウト)
  • 閉域網へのトラフィック量は変わらず、安価なインターネット回線の利用で回線費用も最適化
  • フォーティネットの優位性
    • FortiGateの標準機能でSD-WAN機能を利用可能
    • Office365を始めとするクラウドサービスが使用するIPアドレス情報を自動更新 (ISDB:インターネットサービス・データベース)
    • レイヤ7(アプリケーションレベル)ではなく、ポリシールーティング処理により高速に動作

拠点でSD-WAN機能を使用する構成
                                                      Internet-閉域網,Office365へは直接通信,他の通信はセンター経由(閉域網へ)通信

 

センター: Office365用プロキシサーバの導入

  • FortiGateのプロキシ機能とSD-WAN機能でOffice365への通信はインターネットへ直接転送
  • 他の通信のみ既存プロキシへ転送するため、既存プロキシに負荷を与えない
  • インターネット回線を増設し、SD-WAN機能で回線を有効活用(マルチホーミング)
  • フォーティネットの優位性
    • ネットワークセキュリティ機能とプロキシ機能の利用で柔軟なネットワークデザインが可能 (2つの機能をFortiGateに統合も可能)
    • Office365が使用するIPアドレス情報を自動更新(ISDB:インターネットサービス・データベース)
    • Microsoft Azure上にプロキシ(FortiGate-VM)を構築し、閉域網から ExpressRoute接続時もプロキシを利用可能(クラウド環境で完結可能)
    • SSLインスペクションを利用してテナントアクセス制限も可能

データセンターにO365用プロキシを設置する構成
                                                           Office365へは O365用プロキシを経由, 他の通信は既存プロキシ経由, FortiGate1台に統合も可能

クラウドにO365用プロキシを設置する構成
                                                          

<「テナントの制限」:内部犯行リスクの回避方法とは?>

Office365を使用するためには、既存Firewallやプロキシサーバにホワイトリストとして、Office365接続先URLを追加する必要があります。Office365接続先は全世界共通のため、業務で使用する自社テナントへの接続を許可すると、他社のテナントや個人契約のテナント、などすべてのOffice365へのアクセスが可能となります。(Webフィルタ機能での制御も不可)これでは、社外秘のファイルやメールの意図的な持出し、操作ミスによる情報流出が発生するリスクがありました。

企業ユーザーのお客様は、この状況をセキュリティリスクやシャドーITの温床として注視しており、その対策としてMicrosoftから「テナントの制限」機能が提供開始されました。
この機能により、組織内LANから接続を許可するテナントを制御することが可能になります。
FortiGateでもこの機能に対応しており、Office365利用のテナント制御が可能です。さらに、標準ではサポートされていないレガシー認証が必要な場合にも対応可能です。

                                                          不正操作や操作ミスにより 個人アカウントで別テナントに不正にファイルのuploadが可能,テナントアクセス制御を導入,不正操作や操作ミスによる別テナントへのアクセス不可,FortiGateでテナント制御することで情報持出しや流出を防止

<ISDB(インターネット・サービスデータベース)とは>

Office365など300種類以上のクラウドアプリケーションで使用されているIPアドレスやポート番号 (TCP/UDP)情報のデータベース。
FortiGuardラボがデータベース化し、グローバルに配信する情報は自動で更新される。

FortiGateのSD-WAN機能で、ルーティングエントリやリンク・ロードバランスの宛先オブジェクトとして指定可能。管理画面でキーワード検索が可能なため、FortiGateでの設定も容易。

※利用にあたってはFortiOS5.6以降の利用を推奨。

FortiGate管理画面
FortiGate管理画面

ISDB方式とアプリケーションシグネチャ方式との比較



img youtube com vi sBWqrW3DdlM sddefault

セキュアSD-WANソリューションのご紹介

FortiOS6.0によるSD-WAN, ISDBによるポリシールーティング, ゼロタッチデプロイ

今すぐ見る

フォーティネット製品を購入するには

contact sales icon

パートナーを探す