fbpx

ゼロトラストネットワークアクセス戦略には3つのニーズがある

クラウドの緊張の下でVPNがきしみ始める

クラウドコンピューティングの登場と拡大は、従来のVPN 技術アーキテクチャにとって大きな課題です。企業のデータセンターを介してトラフィックのバックホールを強制すると、レイテンシが発生し、その結果、多くの場合、ユーザーエクスペリエンスが低下し、生産性が低下します。SaaSアプリケーションの使用率が急上昇し、アプリケーションインフラストラクチャのオプションとしてIaaSおよびPaaS環境が増加し続けているため、ラップトップからデータセンターに「トロンボーン」してからクラウドベースのアプリケーションに戻る必要があるトラフィックは非効率であり、リモートユーザーの生産性を低下させます。ネットワーク管理のコストと複雑さを増大させます。エッジコンピューティング。アプリケーションをさらに細分化し、複数に配置します。 ロケーションでは、VPNアーキテクチャの潜在的なレイテンシの問題のみが複雑になります。

続きを読む

デバイスの整合性とゼロトラストフレームワーク:企業の基盤を守る

最近のリモート作業環境への移行により、多くの企業や政府機関に新たな課題が生じ、組織のセキュリティモデルに大きな影響を与えています。突然、多くのユーザーは、企業ネットワークのオンプレミスにある多くのセキュリティ層によって保護されなくなりました。代わりに、セキュリティポリシーは、ユーザーがデフォルトでリモートであり、大量の信頼できないインバウンド接続が標準であるという新しい現実をサポートするために進化する必要があります。ゼロトラストのようなセキュリティ概念を組み込むことは、企業のラップトップ、BYODデバイス、およびホームネットワーキングギアの組み合わせを含むことが多いこれらのリモート作業環境を保護する上で重要な部分になる可能性があります。

続きを読む

セキュリティ対策はアイデンティティから始まる

クラウド時代は、企業のセキュリティに対する考え方を根本的に変えています。保護の焦点はもはや物理ネットワークではありません。従来のネットワーク境界がクラウドに拡大するにつれ、セキュリティの出発点は今やユーザーのアイデンティティである必要があります。

これにより、適切な人々が適切なリソースにアクセスし、適切な作業を行うことが保証されます。これらの5つの原則に従うことで、完全にリモートまたはハイブリッドのホームオフィスでの作業に適した堅牢なID戦略を実装できます。

クラウドベースの仮想ランドスケープにおける最初の防御線は、常にアイデンティティである必要があります。

オープンスタンダードを受け入れる

さまざまなデバイス、アプリ、サービスの仮想作業環境では、ID管理へのアプローチがオープンスタンダードをサポートすることが重要です。

たとえば、OAuth 2.0、OIDC、SAML などの標準により、ユーザーが作業しているデバイスに関係なく、アプリやクラウド全体でシングルサインオンが可能になります。同様に、SCIMは自動ユーザープロビジョニングを可能にし、FIDOアライアンスの新しい標準によりサインインをより安全にします。

Azure AD などのこれらのオープンスタンダードをサポートするAPIとプロトコルを備えたIDソリューションを選択すると、進化するリモート作業の変化と課題に対するセキュリティ戦略が将来にわたって保証されます。

新しいテクノロジーを活用する

セキュリティリスクを軽減する簡単な最初のステップは、多要素認証(MFA)を有効にすることです。これにより、資格情報ベースの違反が99%以上削減されることが証明されています。MFAは、登録済みの携帯電話に送信されるコードや指紋のスキャンなど、サインオン時に追加の身分証明書をユーザーに要求します。

MFAは非常に安全ですが、ユーザーは多くの場合、パスワードを覚えておく必要があることに加えて、追加のセキュリティレイヤーに不満を感じます。別のオプションは、FIDO(Fast Identity Online)セキュリティキーの使用です。これは、WebAuthN 標準と組み合わせて、パスワードの使用を完全に排除できます。FIDOは、パスワードなしの認証のオープンスタンダードであり、ユーザーは外部セキュリティキーまたはデバイスに組み込まれたプラットフォームキーを使用してサインインできます。

ゼロトラストは、クラウドの移行とリモートの労働力に関連するリスクに特に対処するための別のセキュリティモデルです。ゼロトラストアーキテクチャ内では、企業ネットワークの内外を問わず、すべてのユーザーとデバイスは信頼できないと見なされます。「決して信頼せず、常に検証する」という原則に基づいて、リソースへのアクセスは、ユーザーのIDとデバイスの正常性が評価および承認された後にのみ許可されます。

ユーザーの摩擦を最小限に抑え、識別プロセスをさらに簡素化するために、組織は機械学習アルゴリズムを活用することもできます。これは、クラウドに大規模にデプロイされた場合、毎日何兆ものデータポイントを処理して各ユーザーの行動パターンを学習し、異常または高リスクの認証試行にフラグを付けることができます。

ガバナンスを強化および自動化する

強力なガバナンス手順を実施することは、IDセキュリティを維持するために不可欠です。しかし、何千人ものユーザーを扱う場合、それは困難な作業になる可能性があります。アクセスを許可するのは簡単なことですが、他の人が辞任したり、役割を変更したりするときに、アクセス権を削除することを覚えておくことは、さらに困難な場合があります。

アイデンティティーシステムは、ユーザーの役割、場所、およびビジネスユニットに基づいて、リソースへのアクセスを自動的にプロビジョニングおよびプロビジョニング解除する必要があります。従業員とパートナーは、必要なときにアクセスを要求し、迅速かつ正確なシステム応答を取得できる必要があります。

管理者は、特にユーザーが役割を変更するときに、定期的にアクセス許可を確認するように求められます。そして、これらすべてのプロセスは、異常なパターンと認識されていないリスクを常に監視する機械学習とAIによって駆動され、通知される必要があります。これらのIDプロバイダーテクノロジーによって提供される利用可能なデータと可視性のレベルは、オンプレミスシステムと一致することはできませんが、組織はIDに対してまったく新しい運用アプローチを採用する必要があります。

1つの包括的なソリューションを主張する

異なるベンダーの異なるソリューションを使用して、アイデンティティへのモジュール式アプローチを採用する場合、必然的にギャップと脆弱性が存在します。

対照的に、すべてのアプリケーションとさまざまなID をサポートする1つの全体的なソリューションを選択すると、完全なセキュリティと制御が提供され、重要な企業データに対する保証が強化されます。

完全に統合されたIDおよびアクセス管理スイートにより、すべての従業員、ビジネスパートナー、顧客のIDに加えて、アクセスに必要なすべてのリソースを1か所で管理および保護できます。

分散型アイデンティティに移行する

組織の誰もが、自分の個人データが安全でプライベートであると感じるべきです。これは、人々に自分のデジタルIDの所有権を与えることで実現できます。

IDシステムを「分散ID」の原則で強化することにより、ユーザーおよび組織がデータをより詳細に制御できるようにすることができます。

日常生活に統合される自己所有のIDにより、ユーザーは共有するものと誰と共有するかを選択でき、必要に応じてそれを取り戻すことができます。無数のアプリやサービスに幅広い同意を与え、IDデータを多数のプロバイダーに分散させる代わりに、IDデータを保存および管理できる安全で暗号化されたデジタルハブを提供します。

マイクロソフトは、Decentralized Identity Foundation(DIF)、W3C Credentials Community Group、およびより広範なIDコミュニティのメンバーと積極的に協力して、標準を開発し、Decentralized Identityの新しいエクスペリエンスを開拓しています。共同で、開発者と企業がユーザーを制御する製品、アプリ、サービスの新しい波を構築できる、統合された相互運用可能なエコシステムを開発しています。

Microsoft Azure Active Directoryは、ドバイに拠点を置くグローバルな運輸会社のスタッフが仮想チームとしてコラボレーションし、クラウド内のアプリケーションに安全にアクセスするのに役立ちます。

オンプレミスのフットプリントを削減するためのビジネスドライブシフトの一環として、同社はレガシーHRシステムをSaaSソリューションに移行しました。Azure ADを使用すると、従業員は安全かつ簡単にサインインして情報にアクセスできます。また、人事チームは、離れた場所にいる請負業者のID を短期間管理することもできます。

120か国で事業を展開する世界最大のコンテナ物流会社の1つは、多様なグローバルクライアントベースの信頼を維持するために顧客データを安全に保つ必要があります。

2017年のサイバー攻撃を受けて、同社はMicrosoft Azure Active DirectoryにID保護および条件付きアクセスツールを実装することを選択しました。これらにより、脅威と危険な動作が可視化され、各ユーザーに条件付きアクセスを簡単に提供できます。

変更はバックグラウンドで迅速かつシームレスにアクティブ化できるため、ユーザーは作業を中断する必要がありません。これは、企業のデータ保護を強化し、グローバルな運用にさらなるセキュリティを追加する、アイデンティティへの統合されたインテリジェントなアプローチです。

ZTAで境界のないセキュリティを実現!ビジネスの未来を確保する

組織が「ビジネスの未来」へと移行するにつれ、従来のアプローチでは変化する脅威の状況に対処できなくなります。重要なリソースを維持および保護するには、脅威管理機能を強化する必要があります。

組織の境界が狭くなり、従業員はセキュリティの新しい境界になりました。日和見的な脅威の攻撃者からの保護が重要になり、強力なセキュリティ文化を組織に組み込む必要性が強調されます。

現在のデジタル時代は、コンピューティングの主要な推進力として浮上しているモバイルおよびクラウドエコシステムによって支えられており、このエコシステムを保護する従来のメカニズムは解消されています。これにより、重要な企業インフラストラクチャを保護し、安全なネットワークアーキテクチャを確立するための管理を行うことがさらに重要になります。

ただし、ユーザーが組織外からシステムやクラウドベースのアプリケーション全体で情報にアクセスして共有するデバイスや操作のモバイル性により、これらの対策の実装は困難です。このような問題により、組織は、情報へのアクセスと共有に使用されるエンドポイントデバイスの保護に集中することが不可欠になっています。

続きを読む

ネットワークセキュリティの未来はクラウドにある

デジタルビジネスの変革は、ネットワークとセキュリティサービスの設計パターンを逆転させ、データセンターではなく、ユーザーやデバイスのIDに焦点を移します。セキュリティとリスク管理のリーダーは、この変化に対処するために、クラウドで提供される統合された安全なアクセスサービスエッジを必要としています。

続きを読む

ゼロトラストネットワークアクセス(ZTNA)とゼロトラストモデルの違い

今日、データ侵害の被害に遭うことはほぼ避けられません。免疫のある組織はありません。Facebook、マリオット、さらには政府機関でさえ被害を受けています。現在、専門家は、データの盗難よりも​​深刻な影響を予測しており、データやシステムの操作、会社の機密情報や知的財産の完全な暴露を含みます。同時に、データ保護を実施する際の困難がかつてないほど困難になり、緊急性が高まっています。

ほとんどの攻撃は、認証情報の侵害、脆弱なエンドポイント、管理されていないIoTデバイス、またはアプリケーションやリソースへの保護されていないアクセスが原因です。攻撃者はネットワークへのエントリポイントを獲得し、リソースの発見と制御の拡大を開始します。しかし、組織は意図しない間違いに対しても脆弱です。最近の調査では、人的エラーがデータ侵害の2番目に大きな原因でした。

続きを読む

ZTNAを使用してユーザーが望むエクスペリエンスを提供する

いつでも、どこでも、どのデバイスからでも従業員へのアプリアクセスを保護します。

ユーザーベースが進化しました

それは2020年であり、従業員はもはやオフィスに限定されていません。彼らは自宅、ホテル、空港で働いています。彼らが使用するデバイスは、エンドポイントチームから提供された管理対象のBlackBerryデバイスではなくなりました。これらは、レジャーと仕事の両方に使用される個人用BYODスマートフォン、タブレット、およびラップトップです。

従業員を確保するだけでなく、会社の給与計算に参加しているサードパーティの請負業者にも責任があります。これらすべてのユーザーは、すべてのデバイス、場所、アプリケーションタイプで、プライベートアプリへの同一のアクセス権が必要です。セキュリティを犠牲にすることなく、これらのデバイスからのアクセスを提供することは、ある時点では不可能でした。もはやそうではありません。

ユーザーのポートフォリオを確認する

現在グローバルに分散している多様な労働力により、プライベートアプリケーションへの安全なアクセスを提供することは、ITチームにとって課題となっています。従業員の見た目は15年前とは異なるかもしれませんが、共通点はまだあります。すべてのユーザーは、ビジネスを円滑に運営するために、プライベートアプリケーションへの高速で信頼性の高いアクセスを必要としています。現代の労働力は次のようになります。

旅行者

Sam Davis、営業担当副社長

「私はおそらく75%の確率で出張しています。多くの場合、私は空港、ホテル、または顧客のサイトで待機時間中に仕事を終わらせようとしています。私の仕事の設定は常に変化しているかもしれませんが、私は顧客により良いサービスを提供できるように、ビジネスリソースにすばやくアクセスする必要があります。」

ローカル

Danielle Allen、財務マネージャー

「私はカリフォルニア州サンノゼの本社に拠点を置いており、ほとんどの場合「オフィス」の従業員です。他の従業員から毎日、支払いについてのリクエストを受け取ります。私は常に財務アプリケーションを使用しており、迅速にアクセスして、要求を確実に把握できるようにする必要があります。」

請負業者

Elaina Thalin 、ウェブ開発請負業者

「私はこの会社と約8か月間契約しています。私は従業員でもオフィスでもありませんが、仕事を終わらせるためにいくつかのプライベートアプリケーションにアクセスする必要があります。それらにアクセスできない場合、私は本当に自分の仕事をすることができません。」

WFH- er

Justin Miller、マーケティングマネージャー

「私はフロリダに住んでおり、ハリケーンなどの気象警報の影響をよく受けます。当時、私は自分の責任を守りながら、自分と家族の安全を確保する必要がありました。」

ユーザーのタイプや職務に関係なく、従業員はどこにいてもプライベートアプリケーションにすばやく安全にアクセスできる必要があります。これを可能にし、セキュリティがユーザーの生産性に影響を与えないようにするには、ITに適切なテクノロジーを活用する必要があります。これが、VPNが現代の労働力に適していない理由です。

ユーザーはVPNよりも価値がある

VPNは30年以上前に開発されたため、セキュリティ設計の欠陥によりユーザーエクスペリエンスが低下しているため、今日の現代の労働力での使用にはもはや十分ではありません。

レイテンシが高く、規模が限定的で、エクスペリエンスが悪い

VPNは、ネットワークへのアクセスを保護するために設計されました。つまり、アプリがパブリッククラウドで実行されている場合でも、すべてのユーザートラフィックが最初にデータセンターにバックホールされます。これにより、ネットワークトロンボーンが発生し、ユーザーの待ち時間が長くなります。また、VPNアプライアンスにはユーザー容量の制限があり、同時に多くの同時ユーザーがVPNサーバーにアクセスしている場合、その影響が大きくなる可能性があります。

繰り返しログインと接続の切断

ネットワークが変更されるか、非アクティブになるたびに、VPN接続は切断されます。現在のモバイルワーカーの場合、これは非常に頻繁に発生する可能性があり、その結果、ユーザーのフラストレーションと生産性の損失につながります。

VPNを使用するタイミングの混乱…

多くの場合、ユーザーはパブリックアプリケーションとプライベートアプリケーションの違いを知らない場合があります。現在、アプリケーションがクラウドに移行しているため、VPN をいつ、どこで、どのように使用すべきかをユーザーが理解するのはさらに困難です。言うまでもなく、VPN はユーザーにとってシームレスでも直感的でもありません。

何千ものDVDプレーヤーを接続してNetflixを構築できなかったのと同じように、いつでもどこでも専用のアプリケーションアクセスソリューションを利用して、専用のアクセスを構築する必要があります。それらは常に利用可能で、拡張性が高く、ユーザー中心である必要があります。VPNアプライアンスをデータセンターに後付けしたり、仮想化したり、クラウドに配置したりしても、モバイルワールドが生み出すユーザーエクスペリエンスやネットワークセキュリティ関連の課題は解決されません。新しいアプローチが必要です。

ZTNAでユーザーの生産性を確保する

パブリッククラウド、SSH、RDP、カスタムイントラネット、またはWebベースのタイムシートアプリでSAPにアクセスする場合、ユーザーエクスペリエンスは常にシームレスである必要があります。これが、ガートナーが組織にリモートアクセスVPNの代わりにゼロトラストネットワークアクセス(ZTNA)テクノロジーを採用することを推奨する理由です。

ほとんどの場合、ZTNAサービスはクラウドでホストされ、ポリシーを使用して、特定のプライベートアプリケーションにアクセスできる承認済みユーザーを決定します。これらのポリシーでは、ユーザーのID 、グループ、デバイスのポスチャ、およびその他のいくつかの基準が考慮されます。

多くのZTNAサービスは完全にクラウドで提供されるため、ユーザーはサービスの多くのグローバルプレゼンスポイントの1つに接続でき、プライベートポイントへの安全な接続を仲介します。これは、VPNアプライアンスよりも優れた可用性とはるかに大きなスケールを提供します。ユーザーがネットワークに配置されることはないため、トラフィックはデータセンターにバックホールされなくなりました。つまり、ZTNAサービスは、エンドユーザーへのアクセスをシームレスにしながら、ビジネスへのリスクを最小限に抑えることができます。

ゼロトラストネットワークアクセス(ZTNA)アーキテクチャ

ZTNAのコンポーネントについては下記の箇条書きが概要になります。より詳しく知りたい方はZTNAとは何かを詳しく解説した他の記事についてご確認ください。

  1. セキュアなアプリまたはブラウザーアクセス
    • 認証のためにトラフィックをIDPプロバイダーにリダイレクトします
    • クライアントコネクタは自動的にトラフィックをパブリックサービスエッジにルーティングします
    • ブラウザアクセスにより、Webベースのアプリケーションにアクセスするときのデバイス上のクライアントの必要性がなくなります
  2. パブリックサービスエッジ
    • ユーザーとアプリの接続を保護します
    • すべてのカスタマイズされた管理ポリシーを適用します
  3. アプリコネクタ
    • クラウドやデータセンターのプライベートアプリケーションの前に座っています
    • パブリックサービスエッジからの要求にのみ応答します
    • インバウンド接続なしで、裏返しの接続でのみ応答します

ユーザーが望むエクスペリエンスの提供を開始する

ユーザーが生産的になるようにするには、ZTNAサービスを検討してください。

オーストラリア国立銀行のインフラストラクチャ、クラウド、ワークプレイスのEGMであるスティーブデイがどのようにして彼のユーザーの生産性を向上させたかを必ずチェックしてください。

ルートベースVPNの構成

この記事では、次の間でルートベースVPNを構成する方法について説明します。

  • 2つのCheck Point Embedded NGXゲートウェイ
  • Check Point SmartLSM 拡張機能の有無にかかわらず、Check Point SmartCenter R60 以降を使用している組み込みNGXゲートウェイとCheck Point VPN-1 Pro NGXゲートウェイ

前書き

ルートベースのVPNを構成することにより、大規模ネットワークのネットワークおよびVPN管理の効率を向上させることができます。ルートベースのVPNは、VPNトンネルを介したルーティング接続を可能にするため、リモートVPNサイトは動的または静的ルーティングスキームに参加できます。

静的ルーティングスキームでは、特定のサブネットから送信されたパケット、または特定のサブネットに送信されたパケットの静的ルートを構成する必要があります。このようなスキームでは、ネットワークトポロジが変化するたびに静的ルートを再構成する必要があるため、主に小規模または比較的変化しないネットワークに適しています。

「従来の」VPNを介して静的ルートを持つルートベースVPNを使用する利点は、VPNトンネルが通常のオペレーティングシステム(OS)インターフェイスとして動作することです。これは、インターフェースが上下するときに、VPNトンネルがルーティングの決定で考慮されることを意味します。各ルートに「コスト」を割り当てることにより、ルーティングの決定に影響を与えることができます。組み込みNGXアプライアンスは、常に最低コストのネクストホップを介してパケットをルーティングします。

たとえば、あるインターネット接続(WAN2)で実行されているフレームリレー回線と、別のインターネット接続(WAN)で実行されているルートベースのVPN(VTI1)がある場合、会社は本社(HQ)への2つの静的ルートを構成できます。 ):1つはフレームリレー回線(WAN2)を経由し、もう1つはVPN(VTI1)を経由します。WAN2を経由するルートのコストが10で、VTI1を経由するルートのコストが20の場合、通常、HQへのトラフィックはWAN2を経由します。WAN2に障害が発生すると、トラフィックはVTI1を通過し、WAN2が回復すると、トラフィックは再びWAN2を通過します。

絶えず変化するネットワークでは、OSPF(Open Shortest Path First)動的ルーティングスキームと組み合わせたルートベースのVPNを使用することをお勧めします。OSPFは、単一の自律システム(AS)内のルーター間でルーティング情報を配布します。AS内の各ルーターは、ローカル状態(つまり、ルーターの使用可能なインターフェイスと到達可能なネイバー)をAS内の他のルーターに配布し、他のルーターのリンク状態アドバタイズを使用して、ASトポロジー全体を記述するデータベースを構築および維持します。したがって、内部ネットワークを追加するなどしてネットワークトポロジに変更を加えると、ネットワークトポロジへのすべての変更でルーターが自動的に更新されます。

OSPF動的ルーティングスキームでルートベースVPNを使用すると、静的ルーティングスキームでルートベースVPNと同じ利点があります。ただし、静的ルーティングスキームの障害検出機能はネクストホップゲートウェイの可用性の検出に限定されていますが、これらの機能は動的ルーティングスキームの方が優れています。が迅速に検出され、ルーティングテーブルが更新されて、次善の(最短の)オープンパスが存在する場合、そのパスを経由して障害を迂回します。

OSPFは標準プロトコルなので、動的ルーティングスキームには、組織内のチェックポイントと非チェックポイントの両方のルーターを含めることができます。

尚、このドキュメントにはスタティックルーティングスキームとOSPFダイナミックルーティングスキームの両方のルートベースVPNの構成に関する情報が含まれています。ただしセキュリティの観点から考えるとVPN自体NGです。VPNをゼロトラストへ移行する必要があります。より詳細な内容にご感心あれば、是非他の記事もご覧ください。

組み込みNGXゲートウェイ間のルートベースVPNの構成

概観

ルートベースVPNを構成するには:

  1. 各ゲートウェイで、もう一方のゲートウェイをVPNサイトとして追加します。たとえば、ゲートウェイAで、ゲートウェイBをVPNサイトとして追加します。ゲートウェイBで、ゲートウェイAをVPNサイトとして追加します。後述の「VPNサイトの追加」を参照してください。
  2. 次のいずれかを実行します。
    • 静的ルーティングスキームを使用するには、各ゲートウェイで、他のゲートウェイの背後にあるネットワークへの静的ルートを追加します。後述の「静的ルートの追加」を参照してください。
    • OSPF動的ルーティング方式を使用するには、各ゲートウェイでOSPFを構成します。後述の「ゲートウェイでのOSPFの構成」を参照してください。

VPNサイトの追加

VPNサイトを追加するには:

  1. メインメニューの[VPN]をクリックし、[VPNサイト]タブをクリックします。「VPNサイト」ページに、VPNサイトのリストが表示されます。
  2.  [新しいサイト]をクリックします。VPN-1 Edge VPNサイトウィザードが開き、[VPNサイトウィザードへようこそ]ダイアログボックスが表示されます。
  3.  [サイト間VPN]をクリックします。
  4. 次へをクリックします。[VPNゲートウェイアドレス]ダイアログボックスが表示されます。
  5. 必要に応じてフィールドに入力します。詳細については、ユーザーガイドを参照してください。
  6. 次へをクリックします。[VPNネットワーク構成]ダイアログボックスが表示されます。
  7. Route Based VPNをクリックします。
  8. 次へをクリックします。Route Based VPNダイアログボックスが表示されます。
  9. [トンネルローカルIP]フィールドに、VPNトンネルのこの端のローカルIPアドレスを入力します。これは、VPNサイトごとに一意である必要があります。ゲートウェイAに構成したトンネルローカルIPアドレスは、ゲートウェイBのトンネルリモートIPアドレスになります。たとえば、たとえば、ゲートウェイAのローカルIPアドレスを192.168.10.10, then you must configure the remote IP address on gateway Bとした192.168.10.10として構成するとします。
  10. [トンネルリモートIP]フィールドに、VPNトンネルのリモートエンドのIPアドレスを入力します。これは、VPNサイトのVTI(仮想トンネルインターフェース)です。これは、VPNサイトごとに一意である必要があります。ゲートウェイAで構成するトンネルリモートIPアドレスは、ゲートウェイBでトンネルローカルIPアドレスになります。たとえば、ゲートウェイAのリモートIPアドレスを192.168.10.20として構成する場合、ゲートウェイBのローカルIPアドレスを192.168.10.20として構成する必要があります。
  11. OSPF動的ルーティングを使用するには、[OSPFコスト]フィールドに、動的ルーティングを目的としたこのリンクのコストを入力します。OSPFは常に、コストが最も低いルートを介してトラフィックを送信することを好みます。デフォルト値は10です。
  12. 次へをクリックします。
  13. 必要に応じてウィザードを完了します。詳細については、ユーザーガイドを参照してください。[VPNサイト]ページが再び表示され、新しいサイトが表示されます。

静的ルートの追加

スタティックルーティングスキームを使用する場合は、スタティックルートを作成して、「VPNサイトの追加」で設定したVTIを介して送信するトラフィックを指定する必要があります。

または、後述の「ゲートウェイでのOSPFの構成」の手順を使用してOSPFを構成できます。

静的ルートを追加するには:

  1. メインメニューの[ネットワーク]をクリックし、[ルート]タブをクリックします。[静的ルート]ページが表示され、既存の静的ルートのリストが示されます。
  2. [新しいルート]をクリックします。Static Route Wizardが開き、Step 1:Source and Destinationダイアログボックスが表示されます。
  3. [ソース]ドロップダウンリストで、[ANY]を選択します。
  4. [宛先]ドロップダウンリストで、[指定されたネットワーク]を選択します。新しいフィールドが表示されます。
  5. [ネットワーク]フィールドに、リモートネットワークのIPアドレスを入力します。
  6. [ネットマスク]ドロップダウンリストで、サブネットマスクを選択します。
  7. 次へをクリックします。[ステップ2:次ホップとメトリック]ダイアログボックスが表示されます。
  8. ネクストホップIPフィールドに、リモートネットワーク宛てのパケットをルーティングする先のIPアドレスを入力します。これは、2ページの「VPNサイトの追加」で構成したリモートネットワークのVTI(仮想トンネルインターフェイス)です。
  9. [メトリック]フィールドに、静的ルートのメトリックを入力します。ゲートウェイは、パケットの宛先と一致し、メトリックが最小のルートにパケットを送信します。デフォルト値は10です。
  10. 次へをクリックします。[ルート]ページが再び表示され、新しい静的ルートが表示されます。

ゲートウェイでのOSPFの構成

OSPF動的ルーティング方式を使用する場合は、ゲートウェイでOSPFを構成する必要があります。OSPFの構成は、CLIコマンドを介して行われます。Embedded NGXポータルのコマンドラインインターフェイスを使用するか、SSH(Secure Shell)管理プロトコルを使用して、必要なコマンドを実行できます。詳細については、組み込みNGX CLIリファレンスガイドを参照してください。

または、後述の「静的ルートの追加」の手順を使用して、静的ルーティングスキームを構成できます。

OSPFを構成するには

  1. 次のコマンドを入力して、OSPFを有効にします。
    set ospf mode internal
  2. 次のコマンドを入力して、ローカルネットワークIPアドレス、サブネットマスク、およびOSPFエリアを公開します。
    add ospf network address address mask mask area area
    where:
    address:ローカルネットワークのIPアドレス。
    mask:ローカルネットワークのサブネットマスク。
    area:OSPFエリアのIPアドレス。
    例:add ospf network address 192.168.20.0 mask 255.255.255.0 area 0.0.0.0
  3. 次のコマンドを入力して、ローカルVTIを公開します。
    add ospf network address address mask mask area area
    where:
    address:ローカルVTIのIPアドレス。
    mask:ローカルVTIのサブネットマスク。
    area:OSPFエリアのIPアドレス。
    例:add ospf network address 1.1.1.1 mask 0.0.0.0 area 0.0.0.0
  4. OSPFが正しく構成されていることを確認するには、次のコマンドを入力します。
    • info ospf neighbor
    • info ospf routes
      OSPFネイバーおよびルータに関する情報が表示されます。

注:組み込みNGXゲートウェイは、OSPFを構成するためのいくつかの追加コマンドをサポートしています。詳細については、組み込みNGX CLIリファレンスガイドを参照してください。

組み込みNGX ゲートウェイとVPN-1 Pro NGXゲートウェイ間のルートベースVPNの構成

概観

ルートベースVPNの構成に使用される方法は、組み込みNGX ゲートウェイがSmartCenter によって管理されているか、外部で管理されているかによって異なります。

外部管理ゲートウェイとVPN-1 Pro NGXゲートウェイ間のルートベースVPNの構成

ルートベースVPNを構成するには:

  1. 以下を実行して、ルートベースのVPNのためにSmartCenter を準備します。
    1. Embedded NGXゲートウェイのゲートウェイオブジェクトを作成します。詳細については、SmartCenterのドキュメントを参照してください。
      注:「一般プロパティー」タブで、「外部管理ゲートウェイ」チェック・ボックスを選択する必要があります。
    2. ゲートウェイのVPN設定を構成します。11ページの「組み込みNGXゲートウェイのVPN設定の構成」を参照してください。
    3. メッシュまたはスターコミュニティを作成します。詳細については、SmartCenterのドキュメントを参照してください。
    4. 作成したコミュニティにゲートウェイオブジェクトを追加します。詳細については、SmartCenterのドキュメントを参照してください。
    5. OSPF動的ルーティングスキームを使用するには、VPN-1 Pro NGXゲートウェイでOSPFを構成します。11ページの「VPN-1 Pro NGXゲートウェイでのOSPFの構成」を参照してください。
  2. 次の手順を実行して、ルートベースVPN用の組み込みNGXゲートウェイを準備します。
    1. SmartCenter をVPNサイトとして追加します。前述の「VPNサイトの追加」を参照してください。
    2. 次のいずれかを実行します。
      • 静的ルーティング方式を使用するには、VPN-1 Pro NGXゲートウェイの背後にあるネットワークに静的ルートを追加します。前述の「静的ルートの追加」を参照してください。
      • OSPF動的ルーティングスキームを使用するには、OSPFを設定します。前述の「ゲートウェイでのOSPFの構成」を参照してください。

SmartCenter 管理ゲートウェイとVPN-1 Pro NGXゲートウェイ間のルートベースVPNの構成

注:この手順は、ファームウェアバージョン6.0.53以降の組み込みNGXゲートウェイに関連しています。

ルートベースVPNを構成するには:

  1. 1以下を実行して、ルートベースのVPNのためにSmartCenter を準備します。
    1. Embedded NGXゲートウェイのゲートウェイオブジェクトを作成します。詳細については、SmartCenterのドキュメントを参照してください。
    2. ゲートウェイのVPN設定を構成します。11ページの「組み込みNGXゲートウェイのVPN設定の構成」を参照してください。
    3. メッシュまたはスターコミュニティを作成します。詳細については、SmartCenterのドキュメントを参照してください。
    4. 作成したコミュニティにゲートウェイオブジェクトを追加します。詳細については、SmartCenterのドキュメントを参照してください。
    5. OSPF動的ルーティングスキームを使用するには、VPN-1 Pro NGXゲートウェイでOSPFを構成します。後述の「VPN-1 Pro NGXゲートウェイでのOSPFの構成」を参照してください。
  2. Embedded NGXゲートウェイをSmartCenterに接続します。詳細については、ユーザーガイドの「サービスセンターへの接続」を参照してください。
  3. 次の手順を実行して、SmartCenterの組み込みNGXゲートウェイオブジェクトにルートベースのVPNを構成します。
    1. VPNサイトとしてVPN-1 Pro NGXゲートウェイを追加し、関連するOSPFまたは静的ルート設定を含むCLIスクリプトを作成します。スクリプトには、エンタープライズVPNサイトを無効にする次のコマンドも含める必要があります。
      set vpn enterprise-site disabled true注:このコマンドはEmbedded NGXバージョン6.5から使用できます。バージョン6.0を使用している場合は、Enterprise VPNサイトをローカルで無効にする必要があります。詳細については、ユーザーガイドの「VPNサイトの有効化/無効化」を参照してください。たとえば、次のスクリプトは、OSPF 動的ルーティングスキームを使用してルートベースVPNを構成します。最初のコマンドはSmartCenter をVPNサイトとして追加し、2番目のコマンドはOSPFモードを設定し、3番目のコマンドは組み込みNGXゲートウェイの背後の内部ネットワークを設定し、4番目のコマンドは組み込みNGXローカルVTIを設定し、最後のコマンドはエンタープライズVPN サイトを無効にします。

      set vpn enterprise-site disabled true
      clear vpn sites
      add vpn sites disabled false name OSPF_vpn gateway 212.150.8.72
      gateway2undefined loginmode automatic configmode routebased authmethod
      sharedsecret typesitetosite keepalive disabled bypassnat enabled
      bypassfw enabled user “”password {S}nS43OjEmNyA= topopass “” net1
      undefined netmask1 undefined net2undefined netmask2 undefined net3
      undefined netmask3 undefined usepfs falsephase1ikealgs automatic
      phase1exptime 1440 phase1dhgroup automatic phase2ikealgsautomatic
      phase2exptime 3600 phase2dhgroup automatic dnsname
      212.150.8.72vtilocalip 1.1.1.1 vtiremoteip 2.2.2.2
      set ospf mode internalset ospf router-id 10
      clear ospf network
      add ospf network address 192.168.20.0 mask 255.255.255.0 area 0.0.0.0
      add ospf network address 1.1.1.1 mask 255.255.255.255 area 0.0.0.0

      次のスクリプトは、静的ルーティングスキームを使用してルートベースVPNを構成します。最初のコマンドはSmartCenter をVPNサイトとして追加し、2番目のコマンドは静的ルートをVPN-1 Pro NGXゲートウェイに追加し、最後のコマンドはエンタープライズVPNサイトを無効にします。

      set vpn enterprise-site disabled true
      clear vpn sites
      add vpn sites disabled false name OSPF_vpn gateway 212.150.8.72 gateway2undefined loginmode automatic configmode routebased authmethod sharedsecret typesitetosite keepalive disabled bypassnat enabled bypassfw enabled user “”password {S}nS43OjEmNyA= topopass “” net1 undefined netmask1 undefined net2undefined netmask2 undefined net3 undefined netmask3 undefined usepfs falsephase1ikealgs automatic phase1exptime 1440 phase1dhgroup automatic phase2ikealgsautomatic phase2exptime 3600 phase2dhgroup automatic dnsname 212.150.8.72vtilocalip 1.1.1.1 vtiremoteip 2.2.2.2
      clear routes
      add route network 192.168.10.0 mask 255.255.255.0 gateway 2.2.2.2

      関連するCLIコマンドについては、 『組み込みNGX CLIリファレンスガイド』を参照してください。

    2. スクリプトをゲートウェイオブジェクトに追加します。13ページの「組み込みNGXゲートウェイへのCLIスクリプトの追加」を参照してください。

組み込みNGXゲートウェイのVPN設定の構成

組み込みNGXゲートウェイVPN設定を構成するには:

  1. SmartDashboard で、目的のゲートウェイオブジェクトをダブルクリックします。[VPN-1 Edge / Embedded Gateway]ダイアログボックスが表示され、[General Properties]タブが表示されます。
  2. [VPNを有効にする]チェックボックスをオンにします。
  3. [サイト間ゲートウェイとして接続]をクリックします。
  4. 必要に応じて、残りのフィールドに入力します。詳細については、SmartCenterのドキュメントを参照してください。
  5. OKをクリックします。

VPN-1 Pro NGXゲートウェイでのOSPFの構成

OSPFを構成するには:

  1. VPN-1 Pro NGXゲートウェイで、次のコマンドを入力して、VPN-1 Pro NGXゲートウェイにVTIを作成します。
    vpn shell
    interface
    add
    numbered
    numbered localIP remoteIP peerName
    Where:
    localIP:VPN-1 Pro NGXゲートウェイのIPアドレス。
    remoteIP:ゲートウェイのIPアドレス。
    peerName:ゲートウェイオブジェクトの名前。
    たとえば、最後のコマンドは次のようになります:numbered 2.2.2.2 1.1.1.1 edge_ospf
  2. 次のコマンドを入力して、OSPFを有効にします。
    router
    enable
    configure terminal
    router ospf routerName
    where:
    routerName:OSPFルーターの名前。
    例:router ospf 100
  3. 次のコマンドを入力して、ローカルネットワークIPアドレス、サブネットマスク、およびOSPFエリアを公開します。
    network address mask area
    Where:
    address:ローカルネットワークのIPアドレス。
    mask:ローカルネットワークのサブネットマスク。
    area:OSPFエリアのIPアドレス。
    例:network 192.168.200.0 0.0.0.255 area 0.0.0.0
  4. 次のコマンドを入力して、VTIを公開します。network address mask area
    where:
    address:ピアVTIのIPアドレス
    mask:必ず0.0.0.0に設定します。
    area:OSPFエリアのIPアドレス。
    例:network 1.1.1.1 0.0.0.0 area 0.0.0.0

組み込みNGXゲートウェイへのCLIスクリプトの追加

組み込みNGXゲートウェイにCLIスクリプトを追加するには:

  1. SmartDashboard で、目的のゲートウェイオブジェクトをダブルクリックします。[VPN-1 Edge / Embedded Gateway]ダイアログボックスが表示され、[General Properties]タブが表示されます。
  2. [詳細]タブをクリックします。Advancedタブが表示されます。
  3. 準備したCLIスクリプトをコピーして、[構成スクリプト]テキストボックスに貼り付けます。
  4. OKをクリックします。

ゼロトラスト採用レポート

ゼロトラストは、コンテキスト制御(ユーザー、デバイス、アプリなど)に基づいてプライベートアプリへの最小特権アクセスを提供する新しいセキュリティモデルとして急速に普及しています。これを可能にするために、多くのチームが、VPNやDMZなどの従来のインフラストラクチャを置き換えることができる最新のクラウドファーストテクノロジーを採用しています。

2019ゼロトラスト導入レポートは、企業がアプリをパブリッククラウドに移行し、ますますモバイルワーカーをサポートする際にビジネスを安全に保ち、リスクを最小限に抑えながら優れたユーザーエクスペリエンスと可視性を提供することで、組織にゼロトラストの価値を明らかにします。

続きを読む

IPSec VPNのベストプラクティス

多くのベンダーが、IPSec トンネルを構築できる物理アプライアンスと仮想アプライアンスを提供しています。これらの製品は標準のIPSec トンネルをサポートしますが、さまざまなベンダー間でいくつかの非互換性があります。このドキュメントでは、インターネット経由でIPSec VPNを使用してオンプレミスネットワークをOracle Cloud Infrastructureに接続し、最も成功する方法のベストプラクティスを提供します。ルーティングプロトコルと概念、IPSec VPNテクノロジーと構成、およびOracle Cloud Infrastructureの概念とコンポーネントに精通していることを前提としています。このドキュメントには、さまざまなIPSec VPNソリューションの展開に役立つ、シンプル、冗長、および複雑な使用例も含まれています。

尚、本記事ではあくまでIPsec VPNの解説にとどめますが、本来境界型セキュリティではなくゼロトラストネットワークの実現を目指すべきです。VPNからゼロトラストへの移行は他の記事をご参照ください。

続きを読む