fbpx

ブランチ変換の決定的なガイド

このドキュメントの目的は、ブランチオフィスの場所からローカルにトラフィックをルーティングして、インターネットおよびクラウドアプリケーションに直接アクセスできるようにするセキュリティガイダンスを提供することです。理想的なソリューションを設計するための5つの要件の概要を説明します。しかし、最初に、安全なローカルインターネットブレイクアウトが必要になった理由を説明しましょう。

状況

アプリケーションは、クラウドへの移行を加速し続けています。同時に、ますます多くの従業員が本社の外の支社やリモートオフィスで働いています。組織は、過去に機能していたレガシーネットワークとセキュリティ戦略がもはや意味をなさないことを発見しています。

データセンターにあるアプリケーションへのトラフィックのバックホールを中心としたハブアンドスポークアーキテクチャは、ますます重要ではなくなってきています。それでも、多くの組織は依然としてレガシーアーキテクチャを介してブランチトラフィックを強制的に戻し、クラウドアプリケーションとインターネットにアクセスしているため、そもそもアプリケーションをクラウドに移動する目的に大きく反しています。

クラウドアプリケーションは、優れたユーザーエクスペリエンスを提供するように設計されており、ユーザーの生産性を高めながら、ビジネスの柔軟性と俊敏性を高めます。そして、これらのメリットを実現するには、インターネットへの直接接続が必要です。しかし、そこに到達するには、ネットワークセキュリティへのアプローチ方法に根本的な変更が必要です。

従来のアーキテクチャーの課題

ユーザーエクスペリエンスが悪い

ユーザーがブランチオフィスに移動してリモートで作業する場合、インターネットやクラウドアプリケーションにすばやくアクセスする必要があります。これらの場所からハブアンドスポークネットワークを介して本社のデータセンターにトラフィックをバックホールすると、トラフィックのボトルネックと遅延が発生し、ユーザーが待たされて生産性を低下させます。

高コスト

従来のハブアンドスポークアーキテクチャにより、組織はMPLSの支出を抑えるのに苦労しています。ブランチロケーションからデータセンターへのトラフィックをバックホールすると、ヘアピン効果が生じ、基本的には、インターネットに向かうトラフィックに対して2度支払う必要があります。ブランチからデータセンターにトラフィックを伝送し、再びそのトラフィックをユーザーに戻す必要があります。 これらのコストは、広く分散している多国籍企業では指数関数的に増加し、ITチームは常にMPLS支出を削減する方法を模索しています。

可視性の低下

多くの組織は、集中型ゲートウェイを介してトラフィックをルーティングすることで、可視性と制御性が向上すると考えています。しかし、実際には、アプリケーションがクラウドに移行すると、それらのアプリケーションやそれらが存在するネットワークを可視化できなくなります。

複雑さ

RightScale によると、現在、ワークロードの79%がクラウドで実行されています1。あなたの最もとして支店の従業員であっても、企業ネットワークへのアクセスを必要としないことがあり、アプリケーションのクラウドへの移行します。これらのユーザーをネットワーク上に維持することで、MPLSとアプライアンスの料金を支払い、管理するために不必要なコストと複雑さを追加するだけです。ブランチユーザーは、インターネットやクラウドアプリケーションへの高速で安全なアクセスを必要とするだけです。これは、バックホールでは実現できないことです。

スケーラビリティ

Office 365のようなアプリケーションは、インターネット経由で直接アクセスできるように設計されています。ハブアンドスポークアーキテクチャは長寿命の接続向けに設計されておらず、ユーザーごとのSaaS接続の大幅な増加は、必要な接続をサポートするように拡張できないため、従来のアーキテクチャとファイアウォールをすぐに圧倒します。

クラウドへの道

これらの課題を解決するには、新しい考え方が必要です。クラウドに移行するには、支社にローカルインターネットブレイクアウトを確立し、トラフィックをインターネットに安全にルーティングする必要があります。組織は、ローカルブレイクアウトを確立し、ブランチでのトラフィックルーティングを簡素化するための論理的で費用効果の高い方法として、SD-WAN(Software-defined Wide Area Network)にますます注目しています。SD-WAN の利点には、低コスト、集中型のクラウドベースのポリシー管理、簡素化されたIT、高速で信頼性の高いインターネットアクセスが含まれます。ただし、SD-WANソリューションはネイティブのセキュリティを提供しないため、これらのローカルのブレイクアウトは引き続き保護する必要があります。

ブランチオフィスでのSD-WAN展開を保護するには、複雑さを増すことなく、すべての場所で一貫して安全なインターネット接続を提供するという課題に取り組む必要があります。主なオプションは2つあります。すべてのブランチにセキュリティアプライアンスを導入するか、セキュリティをクラウドに移行します。ブランチトランスフォーメーションを成功させるための5つの​​主要な要件を検討するにつれ、クラウドへの最善の道が明らかになるはずです。

インターネットへの直接接続の保護

クラウドの世界で分散型組織が直面している課題について説明したので、それらにうまく対処する方法を見てみましょう。 安全なローカルインターネットブレイクアウトを確立する必要があることは明らかです。これらの接続を有効にする適切なソリューションは、包括的な保護を提供し、コストを削減し、ITを簡素化し、すべてのブランチユーザーに高速なユーザーエクスペリエンスを提供するための5つの主要要件を満たす必要があると考えています。

包括的なセキュリティプラットフォーム

包括的なセキュリティとは、すべての場所で同一の保護が必要であることを意味します。これは、真のクラウドソリューションでのみ可能です。ソリューションでは、すべてのポートとプロトコルを検査し、クラウドサンドボックス、クラウドファイアウォール、高度な脅威防止などの統合セキュリティおよびアクセスサービスの完全なスタックを含める必要があります。また、セキュリティはユーザーがどこに接続しても、ユーザーを追跡する必要があります。それについて考えてください。ローカルブランチは、インターネットアプリとクラウドアプリへの新しい出口ポイントです。ブランチの従業員数に関係なく、データセンターにあるのと同じレベルのセキュリティを各ブランチで提供する必要があります。

包括的なセキュリティソリューションでは、WebEx、Box、Dropbox などのアプリが通常の80と443を超えるポートを使用するため、DNSとビデオトラフィックを含むすべてのポートとプロトコルのトラフィックを分割する必要もあります。

レガシーテクノロジーが不十分な理由

従来のファイアウォールは、彼らがない意味ないプロキシHTTPまたはFTPトラフィック、缶タイプの完全なコンテキストはありませRであるセキュリティのequiredを。彼らは既知のシグネチャに基づいてトラフィックを検査することしかできません。これはすべての脆弱性のわずか3〜8 %をキャッチするため、組織はDNSトンネリングなどの攻撃にさらされます。さらに、DNSトラフィックを分割しないと、通常、ユーザーが最も近いインスタンスに接続されなくなり、アプリケーションのパフォーマンスとユーザーエクスペリエンスに悪影響を及ぼします。

角を切ることはオプションではありません

ローカルブレイクアウトを保護するために、一部の組織はセキュリティアプライアンスを各場所に展開しますが、このような複雑なブランチ展開の購入、構成、管理、および維持のコストのために、すべての場所でインターネットゲートウェイセキュリティスタックを複製する組織はほとんどありません。

手を抜くために、組織はブランチの場所に最適なセキュリティ制御を備えていない、より小さなファイアウォールとUTMアプライアンスを展開することにより、セキュリティに妥協します。このアプローチでは、組織全体のさまざまな容量と機能を管理する必要があり、ポリシー制御が複雑になり、ポリシーの一貫性が失われ、監査証跡が断片化することがよくあります。これらのセキュリティの侵害により、ブランチ、つまりネットワーク全体が脆弱になります。

または、アプライアンスベンダーは、ハブを確立し、これらの地域のデータセンターへのトラフィックをバックホールすることを推奨します。このアプローチは、各ブランチロケーションにアプライアンスを展開するコストと複雑さを軽減する可能性がありますが、修正されたハブアンドスポークネットワークを作成するだけで、対処するために設定した課題を解決せず、必要な直接的インターネット接続を確立しません。トラフィックをインターネットに効率的かつ安全にルーティングするには、クラウドセキュリティプラットフォームが必要です。

すべてのcloudが平等に作成されるわけではありません

自家発電機を使って発電所を建設するのは非効率的で規模を欠いていて、意味がありません。また、シングルテナントアプライアンスでセキュリティクラウドを構築することも意味がありません。次世代ファイアウォールやUTM などのレガシーテクノロジーは、クラウドソリューションに必要なアーキテクチャを欠いており、クラウドに転用することはできません。

仮想化ファイアウォールの使用は、ゼロからクラウド用に設計されたマルチテナントクラウドセキュリティプラットフォームと同じではありません。仮想化されたファイアウォールには依然として容量の問題があり、SSLトラフィックを検査したり、新しいセキュリティ機能を追加したりすると、パフォーマンスが影響を受けます。それはまだ箱であり、単なる物理的な箱ではありません。進化する要求を満たすために拡張することはできません。

マルチテナントプラットフォームでは、アプライアンスや仮想化アプライアンスで発生するサービスチェーンとは異なり、遅延を増加させる追加のホップを必要とせずに、すべてのセキュリティサービスを1つのパスで提供できます。また、プラットフォームはクラウドベースであるため、ブランチにいても本社にいても、セキュリティスタックが役立ちます。クラウドアプリケーションを安全に有効にするには、ニーズに合わせて柔軟に拡張できるマルチテナントプラットフォームが必要です。

プロキシベースのアーキテクチャ

SSL暗号化トラフィックが増加しているため、そのトラフィック内に隠れている脅威も増加しています。Googleの報告によると、プロパティを通過するトラフィックの90%以上が暗号化されているため2、SSLインスペクションはオプションではなくなりました。ただし、SSLインスペクションにはプロキシが必要です。最高のセキュリティを実現するには、パフォーマンスを低下させることなく、SSL暗号化トラフィックを大規模にネイティブに検査するプロキシが必要です。

レガシーテクノロジーが不十分な理由

従来のアプライアンスベースのファイアウォールとUTMは、SSL 暗号化トラフィックをネイティブに検査できないため、ソフトウェアベースのボルトオンソリューションが必要です。ただし、SSL インスペクションを有効にすると、アプライアンスのパフォーマンスに大きな影響があります。仕様を確認してください。アプライアンスのライフサイクルは状況を悪化させます。通常、組織は3〜5年のアプライアンス更新サイクルを計画しているため、SSL検査とパフォーマンスのニーズが5年後にどのようになるかを推測する必要があります。

将来のSSLインスペクション要件を予測することはせいぜい困難であり、通常は3つの潜在的な結果の1つになります。パフォーマンスが問題になると、計画外の高額なセキュリティアプライアンスのアップグレードが必要になる場合があります。または、SSLインスペクションをバイパスするように強制される場合があります。SSLトラフィックの将来の増加を見越して、今日購入するアプライアンスとそれに関連する脅威の量を過大に支出し、過剰にプロビジョニングする可能性が高くなります。

また、証明書の管理についても忘れないでください。アプライアンスまたはVNFソリューションでは、証明書をすべてのデバイスに手動でインストールする必要があります。ブランチやリモートロケーションが多数ある場合に、このプロセスを管理して証明書を最新の状態に保つことができると期待するのは現実的ではありません。SSL暗号化トラフィックを効果的に処理するには、ソリューションでネイティブSSLインスペクションを大規模に有効にし、証明書の集中管理を提供する必要があります。

グローバルクラウド

ネットワーク境界の概念は劇的に変化しました。あらゆる場所で作業し接続するユーザーにセキュリティとアクセス制御を提供する必要があります。また、どこにいても一貫したセキュリティレベル(セキュリティスタック全体のレベル)が必要です。マルチテナントアーキテクチャのグローバルクラウドは、ユーザーの移動先に関係なく、一貫したセキュリティを提供します。複数の支店や場所を持つ組織が必要とする信頼性と可用性を提供します。

レガシーテクノロジーが不十分な理由

MPLSを介してリージョナルハブにトラフィックをバックホールするか、トラフィックを少数のデータセンターにルーティングすることにより、出力ポイントを制限すると、地理的なギャップ、遅延、およびユーザーエクスペリエンスの低下を引き起こします。また、規制は地域によって異なるため、データプライバシーのコンプライアンスも複雑になります。ユーザーエクスペリエンスを向上させ、コンプライアンスを簡素化するには、グローバルフットプリントを真に提供するベンダーを選択してください。データセンターと出力ポイントは、すべての地域のブランチユーザーの近くにある、キャリアに中立な交換である必要があります。重要なアプリケーション4 とのピアリングと組み合わせることにより、近接性は最速の接続、優れたアプリケーションパフォーマンスを提供し、データプライバシー要件へのコンプライアンスを容易にします。私たちの言葉を信じないでください。 2017年、マイクロソフトは、Office 365などのより多くのアプリケーションがクラウド5に移行するにつれ、ローカル出力と直接インターネット接続の重要性を強調しました。

エンタープライズグレードの可視性と管理

ユーザー、アプリケーション、および場所によるリアルタイムの可視性は、特に広く分散している組織にとって、セキュリティの展開に不可欠です。ログの欠落を心配したり、断片化したログをつなぎ合わせたり、複数の管理プラットフォームを使用してインターネットログを表示したりする必要はありません。

レガシーテクノロジーが不十分な理由

さまざまなアプライアンス間でアクティビティを関連付け、タイムリーな方法で可視性とレポートを提供することは、アプライアンスがすべてのブランチに分散しているため、ほとんど不可能です。1日に何百万ものトランザクションが存在する場合、そのようなタスクを実行することは非現実的です。従来のセキュリティアプライアンスを使用してネットワーク全体にネットワークとポリシーの変更を実装するには、通常、個別の管理インターフェイスを使用するか、専門のITスタッフが各サイトで構成を手動で展開する必要があるため、どこでも一貫したポリシーを維持することが困難です。場所が20か、それとも200以上あるかにかかわらず、場所固有の構成を作成してプッシュする時間やリソースがない可能性があります。ポリシー管理を簡素化する必要があります。

さらに悪いことに、NGFWおよびUTMソリューションでは、アプライアンスのサイジング時にログのサイズとボリュームを見積もる必要があります。ログスペースがいっぱいになると、アプライアンスはログを上書きします。一部のアプライアンスは7日間のログしか記録せず、それらのメーカーは、独自のログリポジトリを構築するために(追加のコストとサイズで)中央マネージャーを購入することを提案しています。これは、ビジネスの成長にうまく対応できないソリューションです。

ソリューションはIT運用を簡素化する必要があり、複雑にする必要はありません。理想的なソリューションでは、ライセンスを追加したり、スクリプトを追加したりせずに、ポリシーを一元的に作成して複数のブランチにプッシュすることができます。ポリシーを作成し、場所を選択し、ボタンを押してポリシーを適用および適用するだけの簡単なものでなければなりません。

柔軟なスケーラビリティ

クラウドアプリケーション機能の最適化は、トラフィック量に関係なく、パフォーマンスとセキュリティ機能の一貫した配信に依存しています。 また、機能、機能、またはユーザーが追加されてもユーザーに影響が及ばないことを意味します。 簡単に言えば、弾力的に拡張してリソース集約型アプリケーションをサポートし、新しいセキュリティ機能を有効にし、コストや複雑さを増すことなくネットワークトラフィックの増加に対応できるマルチテナントセキュリティプラットフォームが必要です。

レガシーテクノロジーが不十分な理由

Office 365のようなクラウドアプリケーションはリソースを大量に消費するため、ユーザーごとに長期間の接続が生成されます。このような接続の変更は、アプライアンスが必要な接続をサポートできないため、アプライアンスがローカルに展開されている場合でも、アプライアンスを圧倒し、パフォーマンスを著しく低下させる可能性があります。これを補うために、組織はセキュリティハードウェアを頻繁に交換し、高価なアプライアンスのアップグレードを実装する必要があります。

トラフィックを効果的に管理するには、ビジネスに不可欠なアプリケーションに優先順位を付け、アプリケーションが消費する帯域幅を制限する機能が必要です。アプライアンスは、他のトラフィックよりもビジネスアプリケーションを優先するようには設計されていません。NGFWアプライアンスとUTMアプライアンスで使用される帯域幅ポリシングでは、パケットドロップと追加の遅延が発生します。複雑で高価なアプライアンスの無秩序な増加、貧弱なユーザーエクスペリエンス、ボトルネックや帯域幅の競合に対して脆弱な企業になってしまいます。これらの課題に対処するには、ソリューションに帯域幅制御を含めて、YouTube、ストリーミングスポーツイベント、または重要ではないビジネストラフィックを介して、最も重要なアプリケーションのトラフィックに優先順位を付けることができるようにする必要があります。

帯域幅の割り当てと追加サービスの有効化に焦点を移しましょう。あなたが数十の場所からトラフィックを送信しているグローバル企業であると想像してください。シングルテナントテクノロジーを選択すると、組織のセキュリティスキャンを実行するために必要なリソースが制限されます。トラフィックが急増した場合、その急増に対応するのに十分な帯域幅が割り当てられていない可能性があり、コストが高くなる可能性があります。結局のところ、トラフィックのスパイクをシームレスに処理するためにリアルタイムでスケーリングするソリューションが必要です。マルチテナントのセキュリティプラットフォームの利点の1つはスケーラビリティです。どのテナントもクラウドの任意の割合を消費できます。ニーズが拡大すると、それに応じてスケーリングできます。

セキュリティプラットフォームで追加のサービスを有効にすることも、パフォーマンスに影響を与えることなく、リアルタイムで行われる必要があります。アプライアンスでは、新しいサービスを有効にするために、新しい機能を展開する各サイトで専用ユニットまたはアプライアンスの更新が必要になることがよくあります。実装にはコストと時間がかかり、組織全体でアプライアンスの無秩序な増加と一貫性のない保護につながります。仮想化されたファイアウォールも例外ではありません。それらは容量に制限があり、SSLトラフィックを検査したり、新しいセキュリティ機能を追加したりすると、パフォーマンスが影響を受けます。けれども、それはあなたのデータセンター内の物理ボックスではなく、仮想マシンはまだボックスで数年ごとにアップグレードする必要があります。増大する需要を満たすために拡張することはできません。

ブランチ変革の実現

トラフィックをインターネットに直接ルーティングすることにより、ユーザーの近くにセキュリティを配置し、高速で安全なユーザーエクスペリエンスを実現します。クラウドサービスとして配信することで、ユーザーが本社にいるか、支店に移動しているかに関係なく、セキュリティがユーザーに追随してすべての場所に同一の保護を提供できます。すべてのユーザーが、ネットワーク上でもネットワーク外でも、同じように一貫した継続的な保護を利用できます。

100%クラウド対応アーキテクチャ上に構築されたソリューションは、市場の他のセキュリティソリューションとの関係で独自に位置付けられる5つの主要要件を具体化します。

完全なセキュリティプラットフォーム

セキュリティスタック全体をクラウドサービスとして提供します。これには、クラウドファイアウォール、クラウドサンドボックス、帯域幅制御、脅威防止、データ損失防止が含まれ、すべてのブランチでセキュリティアプライアンスをバックホールまたは展開する必要はありません。このサービスは、HTTP、HTTPS、DNS、SSL暗号化トラフィックを含むすべてのポートとプロトコルを検査し、一貫した永続的なセキュリティを確保します。セキュリティの妥協はもうありません。

プロキシベースのアーキテクチャ

大規模なネイティブSSLインスペクションは、SSL暗号化トラフィックを、アプライアンスやボルトオンソリューションなしで、パフォーマンスに影響を与えることなく処理できることを意味します。また、証明書の集中管理により、ブランチからのSSLトラフィックを簡単に検査できます。ブランチトラフィックのSSLインスペクションをバイパスする必要はありません。

グローバルクラウド

ゼロからクラウド用に設計されたマルチテナントセキュリティアーキテクチャ上に構築されています。本社、支社、または外出先など、どこに接続するかに関係なく、ユーザーに同じ保護を提供します。5つの大陸にある100を超えるデータセンター、および重要なアプリケーションとの直接ピアリングにより、インターネットをユーザーに近づけ、高速接続、アプリケーションパフォーマンスの向上を実現し、ビジネスニーズに生産的なユーザーエクスペリエンスを提供します。

可視性と管理

すべての場所のアプリケーション、ユーザー、脅威をリアルタイムで可視化します。Nanolog ™ストリーミングサービス(NSS)を使用して、カスタマイズされたトランザクションログをSIEMにストリーミングし、脅威を検出して対応し、ネットワークをさらに可視化するのに役立つ洞察を提供できます。ITチームは、単一の集中型クラウドベースコンソールから、新しいサービスをアクティブ化し、ポリシーを定義してすぐに適用し、すべてのブランチロケーションを管理できます。

柔軟なスケーラビリティ

マルチテナントセキュリティプラットフォームを使用すると、トラフィックをローカルにインターネットにルーティングし、トラフィック量に関係なく一貫したセキュリティとパフォーマンスを提供し、帯域幅管理ポリシーを適用して、重要なビジネスアプリケーションを他のトラフィックよりも優先させることができます。クラウドアプリケーション、ネットワークトラフィックの増加、予期しないトラフィックスパイクをサポートするために、柔軟にスケーリングします。

ブランチを変換し、安全なローカルブレイクアウトを確立する準備ができていますか?

アプリケーションがクラウドにあり、ユーザーが世界中のブランチにいる場合、従来のハブアンドスポークネットワークを介してブランチトラフィックを強制することは効果的ではありません。トラフィックをインターネットに直接ルーティングすることで、ネットワークとセキュリティを変革する時が来ました。次のステップを検討するときは、5つの重要な要件に留意してください。クラウドファーストエンタープライズをサポートするように設計および構築されたソリューション、つまり、コストを削減し、より優れたユーザーエクスペリエンスを実現し、本社またはブランチオフィスですべての場所に同じエンタープライズ保護を提供するソリューションから、ブランチの変革の旅を始めます。

SNSでもご購読できます。

コメントを残す

*