fbpx

優れたVPNソリューション

仮想プライベートネットワーク(VPN)は、過去20年間、企業の主力でした。これにより、企業、政府機関、部門は、信頼できないネットワークを介して安全に通信を送信できます。ここ数年で、それらはほとんどのSD-WANソリューションのトランスポート非依存オーバーレイになりました。

問題は、これらのテクノロジの構成と、フェーズ、モード、および暗号化アルゴリズムが多すぎるということは、セキュリティの確保と維持が面倒な作業になる可能性があることです。これが、優れたVPNソリューションが、クラウドを介して安全かつ迅速に安全な状態になるための迅速かつ簡単な方法を提供する場所です。

サイト間VPNとは何ですか?

VPNの最も一般的な実装の1つは、サイト間VPNです。ネットワークリソースをホストしている1つの場所が、VPNを介して別の場所(リソースをホストしている場合もあります)に安全に接続されます。通常、2つの場所は同じ組織の一部です。

サイト間VPNは、各場所のセキュリティアプライアンスおよびファイアウォール間に配置されます。これらのファイアウォールの背後にあるクライアントデバイス(ラップトップやワークステーションなど)では、ソフトウェアをインストールしたり、他のサイトとデータを送受信できるようにローカル設定を構成したりする必要はありません。

メッシュサイトツーサイトVPN(「スポークツースポーク」とも呼ばれます)では、組織の個々のネットワークすべてがVPNを介して相互に接続されます。ハブアンドスポークトポロジでは、すべてのサテライトブランチオフィスネットワーク(「スポーク」)がVPN経由でセントラルオフィス(「ハブ」)にトンネルで戻ります。スポークは互いに直接データを交換しません。

VPNが難しいのはなぜですか?

従来のアーキテクチャでは、分散サイトの数が増えると、マルチサイトVPNの構成と管理が複雑になる可能性があります。これは、各VPNトンネルの両端を手動で作成して調整する必要があるためです(多くの場合、複雑なコマンドラインインターフェイスを使用)。これは時間がかかり、エラーが発生しやすいプロセスです。これには、両方のセキュリティアプライアンスインターフェイスのIPアドレス、事前共有キーまたはデジタル証明書、認証メカニズムと暗号化プロトコル、エクスポート可能なサブネットのリストなどの変数が含まれます。さらに、トンネルごとに2回手動で指定および設定する必要があります。このような構成で発生する可能性のある潜在的な問題に対処するために、シスコは長年にわたって多くのテクノロジーを導入してきました。クラウドベースの管理により、この問題に革新的な方法で対処できます。

最も、本来VPNは本当に優れたセキュリティモデルであるゼロトラストには不要です。VPNからゼロトラストネットワークへの移行を検討している場合は、こちらをご確認ください。

優れたVPNソリューション

Auto VPN:迅速で簡単なセットアップ

完全に統合されたネットワーキングおよびエンタープライズクラスのステートフルファイアウォール、ディープレイヤー7アプリケーションの可視化と制御、動的VPNパス選択、WANロードバランシング、自動VPNおよびWANフェイルオーバー、次世代の侵入防止などのような、セキュリティ機能を備えたクラウドベースのセキュリティおよびSD-WANアプライアンスです。さらに、すべてのMXモデルはAuto VPNをサポートしています。これは、ダッシュボードで数回クリックするだけでサイト間、レイヤー3 VPNを構成する機能で、時間のかかる作業を数秒に圧縮します。

この自動VPN を実現するために、すべてのデバイスが最初にオンラインになったときにダッシュボードが作成する固有の信頼に基づいています。完全なプロセスはこのドキュメントの範囲外ですが、ダッシュボードとそれに接続するデバイスは相互に相互認証されます。

高レベルでは、これはTLS(安全なWebアプリケーションの作成に使用されるテクノロジー)を使用してダッシュボードインフラストラクチャの信頼性を保証するデバイスによって実現されます。次に、各デバイスは、ダッシュボードに対して自身を認証するために、各デバイスに固有の安全な情報を使用します。したがって、以前はゼロトラストシステムであったシステムで、ダッシュボードとデバイスの間に信頼関係を作成します。

自動VPNは、組織内のMX間のブローカーとして機能するクラウドとのこの信頼関係に基づいて構築され、VPNルート、認証メカニズムと暗号化プロトコル、およびキーマテリアルを自動的かつ安全にネゴシエートします。プロセスは次のとおりです。

  1. MXは、WAN IPアドレスとアクティブなNATトラバーサルUDPポートをアドバタイズします。デバイスからクラウドへの通信は2回暗号化されます。1回は独自の暗号化によるもので、もう1つはTLSによるものです。
  2. クラウドはMXアドバタイズメントとパブリックIPアドレスを受け取ります。ダッシュボードは、MXからWAN IPとNATトラバーサル情報、およびそれらのパブリックIPアドレス(MXがNATデバイスの背後にある場合はWAN IPとは異なります)を受け取ります。
  3. クラウドは、組織内のすべてのMXを追跡するための動的テーブルを維持します。WAN IPアドレス、パブリックIPアドレス、NATトラバーサルポート、およびローカルサブネットは、組織内のすべてのMXに対して追跡されます。新しいMXがオンラインになると、その情報がこのテーブルに追加されます。
  4. 適切なIPアドレスが選択されます。クラウドは、MXごとに、インターフェイス(プライベートの可能性があります)またはパブリックIPアドレスのどちらを使用して安全なVPNトンネルを確立するかを決定します。可能な場合は、MXのWAN IPアドレスが使用されます。これにより、ピアMX間のVPNパスを短くすることができます(たとえば、複数のVPNピアがMPLSを介してプライマリデータセンターに接続され、そこからインターネットに接続されている場合)。
  5. VPNトンネルが確立されます。クラウドは、各MXのVLANおよびサブネット情報をすでに認識しており、トンネルの作成に使用するIPアドレスを認識しています。ダッシュボードとMXは、2つの16文字の事前共有キー(方向ごとに1つ)を確立し、128ビットのAES-CBCトンネルを作成します。Auto VPNは、最新のIPSec (IKEv2、Diffe -Hellman、SHA256)の要素を活用して、トンネルの機密性と整合性を保証します。管理者がダッシュボードで指定したローカルサブネットは、VPNを介してエクスポートされます。
  6. VPNルートがAuto VPNドメインを介してすべてのメンバーMXに伝播されます。最後に、ダッシュボードはVPNピア情報(エクスポートされたサブネット、トンネルIP情報など)を各MXに動的にプッシュします。すべてのMXは、この情報を個別の静的ルーティングテーブルに格納します。または、BGPが組織で構成されている場合、フルメッシュで構成されているすべてのAuto VPNハブ間およびすべてのスポークとそれらの構成されているハブ間でiBGP が使用され、完全なIPルートの伝達が保証されます。

Auto VPNは、このユニークでインテリジェントな方法でクラウドを活用するため、サイト間のVPNトンネルをセットアップするためにIT管理者が費やす手作業の構成と時間が減り、プロセスに人的エラーを導入する機会が減ります。

サイト間VPNの組み込みの構成可能な冗長性

VPN機能が失われると、従業員がメールをチェックしたり、ファイル共有にアクセスしたり、データを安全に送信したり、VoIP電話を使用したりするなど、生産性が低下する可能性があります。これを防ぐために、Auto VPNはクラウドを活用して組み込みの冗長性を提供します。たとえば、MXが2つのインターネットアップリンクをホストしていて、VPNトラフィックを処理するプライマリアップリンクが失敗した場合、2番目のアップリンクはプライマリステータスになります。つまり、アクティブリンクがセカンダリにフェイルオーバーすると(たとえば、4G / LTEアップリンクにフェイルオーバーすると、MXのパブリックVPN IPアドレスが変更されます)、自動VPNが自己修復します。自動修復は、Auto VPNで使用可能なメッシュおよびハブアンドスポークVPNトポロジの両方で機能します。

SD-WAN展開では、トランスポート非依存オーバーレイと呼ばれる使用可能なすべてのVPNパスを動的に選択して、トラフィックフローをルーティングできます。これは、ポリシーベース、パフォーマンスベース、または負荷分散方式で実行できます。

MXアプライアンス全体のまれな障害から保護するために重要なハブの場所で、1つのMXセキュリティおよびSD-WANアプライアンスをプライマリVPNコンセントレータとして構成し、最初の障害発生時に引き継ぐ準備ができたセカンダリ(「ウォーム」)のライブMXを用意できます。

ウォームスペアの構成は簡単です。両方のMXがネットワークの境界内に配置され、VPNコンセントレーターとして構成されます。MXにはそれぞれクラウドと通信できるように個別のIPアドレスが割り当てられていますが、共通の仮想IP(vIP )も共有しています。この共有の仮想アドレスはすべてのVPNトラフィックを受信し、デフォルトでは、プライマリコンセントレータがそのトラフィックに応答します。プライマリMXに障害が発生した場合、ウォームスペアはすぐに介入してVPNトラフィックを処理できます(障害検出と完全なフェイルオーバーは30秒未満で発生します)。ウォームスペアはプライマリMXとvIP を共有しているため、トラフィックをウォームスペアに転送するためにIPアドレスを手動で変更する必要はありません。

優れたVPNソリューションの設定方法

MXセキュリティアプライアンス間でサイト間VPNを有効にするには、ダッシュボードにログインし、[設定]> [サイト間VPN]ページに移動します。

1.目的のトポロジに基づいて自動VPNタイプを有効にします

MXが「ハブ」として構成されている場合、自動VPNドメイン内の他のすべてのハブMXへのVPNトンネルのフルメッシュと、このMXがハブとして構成されているすべてのスポークMXへのポイントツーポイントトンネルを構築します。Auto VPNドメインのすべてのMXが「ハブ」として構成されている場合、Auto VPNにはフルメッシュトポロジがあります。

MXが「スポーク」として構成されている場合、「ハブ」として構成されている他のMXへのトンネルのみが構築されます。Auto VPNドメインのMXの大部分が「スポーク」として構成され、いくつかの主要な場所(データセンターや本社など)が「ハブ」として構成されている場合、Auto VPNにはハブアンドスポークトポロジがあります。

2.フルトンネルまたはスプリットトンネル

することにより、デフォルトの自動VPNドメイン内のすべてのMXのみ自動VPNドメイン内に含まれるサブネットの自動VPNピアへのトラフィックを送信します。これはしばしば「スプリットトンネリング」と呼ばれます。組織がAuto VPNドメインに含まれていないすべてのトラフィックトラフィックを特定のハブサイト経由でルーティングする場合、これは「フルトンネリング」と呼ばれます。フルトンネリングはクライアントデータにのみ影響し、すべての管理トラフィックはプライマリWAN経由で直接送信されます。

フルメッシュトポロジでフルトンネリングを構成するには、次のようにAuto VPNドメインのMXから「出口ハブ」を定義するだけです。

ハブアンドスポークトポロジでフルトンネリングを構成するには、「デフォルトルート」を1つ以上のハブMXに関連付けるだけです。

3. VPN経由でエクスポートするサブネット(ローカルネットワーク)を選択します

次に、ローカルで定義されているサブネットまたは利用可能なサブネットをAuto VPNドメインにエクスポートする必要があるかどうかを選択する必要があります。これを行うには、「はい」または「いいえ」を選択して、サブネットをAuto VPNドメインに含めるか除外します。

4.ダッシュボードで[保存]をクリックします

これだけです!これで、メッシュトポロジまたはハブアンドスポークトポロジのいずれかにスプリットまたはフルトンネルVPNが構成されました。

ネットワーク内のすべてのVPNピアMX(または自動VPNもサポートするZテレワーカーゲートウェイアプライアンス)のステータスを確認する場合は、ダッシュボードの[VPNステータス]ページ(セキュリティとSD- WAN>監視> VPNステータス)。各MXまたはZデバイスのステータスが、エクスポートされたサブネットとともに表示されます。ここでは、Auto VPNドメインを介して行われているライブレイテンシ、接続、ルーティングの決定が報告されます。

更なる詳細について

つまり、リモートオフィス間のサイト間VPNの作成と維持をシンプルで直感的なプロセスにします。Auto VPNにクラウドを活用する当社の独自のアプローチは、SD-WANを有効にするプラットフォームを提供しながら、組み込みの冗長性、およびインターネットアクセス可能な場所からVPNネットワークを管理する機能も提供します。すべてのMXセキュリティアプライアンスは、追加料金なしでAuto VPNおよびSD-WAN機能を備えています。

SNSでもご購読できます。

コメントを残す

*