fbpx

IPsecとSSL VPNのどちらがビジネスニーズに最適かを判断するための基準の調査

この記事では、IPsec VPNとSSL VPNの違いを調べ、各ビジネスニーズに最適なテクノロジを決定するための基準を検討します。これは、企業のリモートアクセスのニーズに応じて、IPsec VPNとSSL VPNをいつ展開するかを決定しようとするIT担当者にとって理想的なリソースです。このホワイトペーパーを読んだ後、IT管理者は、リモートアクセスのニーズに対処するために考慮する必要があるさまざまな要因を理解でき、どのVPNソリューションがさまざまなシナリオに最も効果的に対処できるかを理解できます。

前書き

企業リソースへの安全なリモートアクセスを提供することは、企業やサービスプロバイダーにとって重要な要件に成長しています。多くの場合、成功している企業とそうでない企業に違いが生じます。ユーザーがラップトップ、ハンドヘルドデバイス、またはパブリックキオスクを使用して、リモートオフィスやホテルの部屋、空港で作業している場合でも、タスクを実行して生産性を維持するには、企業リソースに簡単にアクセスできる必要があります。さらに、企業のビジネスパートナーや顧客は、企業のリソースやアプリケーションへのリアルタイムアクセスをますます必要としています。

1990年代の初めには、企業の中央サイトの境界を越えて企業のネットワークの可用性を拡張するための限られた選択肢しかありませんでした。ただし、インターネットが成長するにつれて、代替手段としてVPNの概念が生まれました。これらのソリューションのほとんどは、無料/公共の長距離IPトランスポートサービスと実証済みのIPsecプロトコルを利用して、安全なアクセスのためのより柔軟で費用効果の高いソリューションを提供しました。 IPsec VPNは、固定されたサイト間ネットワーク接続の要件に効果的に対処しました。ただし、モバイルユーザーの場合、コストが高すぎることが多く、ビジネスパートナーや顧客の場合、各エンドポイントデバイスにソフトウェアをインストールして構成する必要があり、完全なネットワークレイヤーアクセスのみを提供し、不必要に企業のリソースすべてを公開していたため、展開が不可能でした。

今日、ユーザーはさまざまな種類のクライアントデバイスから多くのさまざまな企業アプリケーションにアクセスする必要があります。パブリックキオスクなど、これらのデバイスの一部は企業の管理外にあり、「信頼できない」と見なす必要があります。これにより、すべてのユーザー接続を企業のセキュリティポリシーに確実に準拠させることが困難になりますが、これは必須です。この環境でSSL VPNが導入され、リモート/モバイルユーザー、ビジネスパートナー、および顧客は、そのユーザーに必要であると思われる企業リソースのみに簡単かつ安全にアクセスできます。IPsecとSSL VPNを組み合わせることで、企業はオフィスとユーザーに企業ネットワークへの安全でユビキタスなアクセスを提供し、ビジネスの全体的な成功をサポートできます。

ネットワーク層IPsec VPN

IPsec(ネットワークレイヤー)VPNは、サイト間の通信をルーティングする簡単でコスト効率の高い方法を企業に提供し、最も要求の厳しいネットワーク環境のニーズに適合する接続性と復元力を提供します。これらは、専用線または専用線に代わる低コストのトランスポートとして作成されたため、企業はインターネットインフラストラクチャを使用して、地理的に分散した場所にプライベートネットワークをすばやく拡張できます。

技術的には、ネットワーク層VPNは、インターネット(IPプロトコルのみを使用し、通常は暗号化されていないテキストを送信する)を機密性の高いマルチプロトコルトラフィックのトランスポートとして使用するという課題に対処します。ネットワーク層VPN は、暗号化機能とトンネリング機能を組み合わせてこれらの課題に対応します。IPsecなどのピアネゴシエーションプロトコルを使用して、インターネット上を移動するIP「ラッパー」内に転送されるデータをカプセル化します。このカプセル化されたデータは、ネットワーク層のVPNゲートウェイによって受信され、ラップが解除され、復号化されて、受信者にルーティングされます。VPNゲートウェイからのトラフィックは、LAN内の任意のユーザーからのトラフィックのように処理されます。その結果、ネットワークレイヤーVPNは、物理的に接続されている場合と同じように、ネットワークへの完全で継続的なアクセスをユーザーに提供します。これは、地理的に離れたオフィスにいるユーザー間の定期的なコミュニケーションとリソース共有を促進して、企業全体の生産性を向上させるのに理想的です。

ただし、場合によっては、このレベルのアクセスは不必要または不可能です。たとえば、電子メールをチェックしたり、イントラネットから特定のドキュメントを取得したりするだけのモバイルユーザーは、ネットワーク上のすべてのリソースへの専用パイプラインを必要としません。さらに、このレベルのアクセスは、ユーザーの送信元のエンドポイントが安全でないか、簡単に侵害される場合に、セキュリティリスクをもたらす可能性があります。そのようなインスタンスでIPsec VPNを使用することは、LAN自体への扉を開くことを意味します。企業のセキュリティポリシーを満たすエンドポイントにのみ選択的なアクセス制御を提供し、セッションごとにこの制御を提供できるVPNは、エンドポイントとネットワークの組み合わせとして、リモート/モバイルユーザーのニーズを満たすために必要です。属性が変更されます。たとえば、インターネットカフェにあるような信頼できないネットワークや管理対象外のデバイスからアクセスするリモートユーザーは、適切なアプリケーションとリソースに制限し、企業LAN全体へのアクセスを許可しないようにする必要があります。同様に、ビジネスパートナーは、管理対象外のデバイスから特定のリソースへのアクセスを許可される場合がありますが、LAN全体の接続を許可されるべきではありません。

IPsec VPNで考慮すべきもう1つの要素は、展開と保守に必要な管理リソースのレベルです。リモートオフィスなど、集約ポイントにいないすべてのリモートユーザーまたはモバイルユーザーは、リモートPCにクライアントソフトウェアを事前にインストールして構成しておく必要があります。数百または数千のモバイルユーザーにリモートアクセスを提供しようとする組織にとって、これらすべてのクライアントの展開、更新、構成、および管理は、非常に時間とコストがかかります。リモートのパートナーや顧客を検討すると、困難はさらに増大します。IPsecクライアントは、企業が信頼できる「常時接続」接続を必要とし、数個のネットワークVPNデバイスを管理するだけでよい地域、支店、およびリモートオフィスにとって必要かつ適切な投資ですが、そのようなクライアントはニーズを満たすための非現実的な方法です。モバイル/リモートワーカー、ビジネスパートナー、および顧客の。たとえば、VPNクライアントソフトウェアの必要性により、ソフトウェアがインストールされている企業のラップトップなどのデバイスへのユーザーのアクセスが制限されます。モバイルユーザーにとってより便利なインターネットキオスクやPDAなどの追加のアクセス方法や、ビジネスパートナーや顧客が自分のネットワーク内から使用する可能性のあるデバイスには対応していません。

SSL VPNが登場したのはこの環境であり、モバイルユーザー、ビジネスパートナー、または顧客に、IPsec VPNがサイト間接続に提供する信頼性の高い強力な通信インフラストラクチャを補完する使いやすいソリューションを提供します。

アプリケーション層SSL VPN

「SSL VPN」という用語は、さまざまなテクノロジーで構成される急成長している製品カテゴリを指すために使用されます。このカテゴリに含まれる製品とテクノロジーを広く定義するには、VPN自体から始めることができます。VPNは、プライベートネットワークを送信するためにパブリックネットワーク(通常はインターネット)を使用することを指します。2001年までは、IT部門のほとんどがVPNに記述子を追加していませんでした。当時利用可能なほとんどすべてのVPNが、ある種のネットワーク層トランスポートを使用していたためです。VPNスペースの初期の標準はIPsecでしたが、一部のベンダーは、レイヤー2トンネリングプロトコル(L2TP)やポイントツーポイントトンネリングプロトコル(PPTP)などの他の方法を使用していました。

SSL VPNは、異なる方法を使用して、パブリックデータを介してプライベートデータを転送します。SSL VPNは、エンドユーザーが設定したクライアントを会社のラップトップに置くのではなく、HTTPSを使用します。これは、追加のソフトウェアを必要とせず、すべての標準Webブラウザーでセキュアなトランスポートメカニズムとして利用できます。SSL VPNを使用すると、モバイルユーザーと内部リソース間の接続は、ネットワーク層でのIPsec VPNのオープンな「トンネル」とは対照的に、アプリケーション層でのWeb接続を介して行われます。次の理由により、SSLの使用はモバイルユーザーにとって理想的です。

  • SSL VPNでは、企業リソースへのアクセスに使用されているデバイスにクライアントソフトウェアをプリインストールして維持する必要はありません。
  • SSL VPNは、ユーザーまたは管理者がエンドポイントマシンで設定する必要はありません。
  • SSL VPNは標準のWebブラウザから利用できるため、ユーザーは会社のラップトップを必要としません。

SSLは、技術的なバックグラウンドを持たないユーザーでも、ほとんどのユーザーが使い慣れています。これは、すでに任意のインターネット上にインストールされている有効な標準的なWebブラウザを使用するデバイス、および設定は必要ありません。SSLは、オペレーティングシステムとは関係なく、アプリケーション層で動作するため、オペレーティングシステムを変更しても、SSL 実装を更新する必要はありません。また、SSL VPNはアプリケーションレイヤーで動作するため、ユーザーID、アプリケーションの送信元のネットワーク、デバイスのセキュリティポスチャに基づいて、アプリケーションに非常にきめ細かいアクセス制御を提供できるため、SSL VPNは、モバイルワーカーや安全でないエンドポイントからのユーザーに最適です。

SSL VPNは、そのアプリケーションレイヤープロキシベースのテクノロジーにより、詳細な監査機能も提供し、企業やサービスプロバイダーがHIPAA、Sarbanes-Oxley、Payment Card Industry Data Security Standard(PCI)などの規制措置に準拠するのを支援します。IPsec VPNは承認機能と認証機能を提供できますが、たとえば、ユーザーが表示またはアクセスするものをきめ細かく制御することはできません。ネットワーク層で動作するIPsec VPNとは対照的に、SSL VPNはアプリケーション層で機能するため、これらの規制で必要とされるきめ細かいレベルのロギングおよび監査レポートを提供できます。

SSL VPNテクノロジーは、動的にダウンロードされるエージェントを介したさまざまなタイプのアクセスを含むように進化しました。Webベースのアプリケーションへの安全なアクセスを提供することに加えて、これらの進歩により、SSL VPNはクライアント/サーバーアプリケーションをサポートし、従来のネットワークと同様のエクスペリエンスを提供する完全なネットワーク層トンネルを提供できるようになります。

IPsec VPNアクセス。動的配信は、個々のクライアントソフトウェアのインストールと構成のコストや手間をかけずに、エージェントベースのアクセス方法の使用を容易にします。さらに、SSL VPNは、IPsec VPNに関連するネットワークアドレス変換(NAT)およびファイアウォールトラバーサルの問題を解決し、可能な限り幅広いアクセスを提供します。

SSL VPNのもう1つの進歩は、追加のエンドポイントセキュリティのプロビジョニングです。一定レベルのエンドポイントセキュリティを想定できるIPsec VPNとは異なり、SSL VPNは任意のエンドポイントからきめ細かいアクセスを提供するように設計されています。IT管​​理者が管理されていない信頼されていないマシンから企業リソースへのアクセスを提供するように求められる環境では、各エンドポイントが最低限の企業セキュリティポリシーに準拠していることを確認する手段が必須です。これは、動的なエンドポイントセキュリティチェックを介して実行できます。これは、セッションが開始される前と、セッション全体で定期的に実行されます。

IPsecかSSL VPNか?

多くのユーザーは、展開するテクノロジと展開する場所を決定するのに苦労しています。IPsecとSSL VPNは既存のネットワークセキュリティポリシーのどこに適合しますか。また、どのテクノロジがどの技術に最も効果的に対処できますか?IPsecとSSL VPNを展開して管理するには、実際には何が必要ですか?

この混乱は、IPsecとSSLに関するほとんどの議論がプロトコルの技術的な詳細に主に焦点を当てており、これらの方法間の最も重要な決定要因となるもの、つまり使用シナリオに焦点を当てていないという事実によって緩和されません。実際には、IPsecとSSLは相互に排他的なテクノロジーではありません。それらは、同じ企業に展開できます(多くの場合)。どちらを選択するかを決定する要因は、各プロトコルが実行できることではなく、各デプロイメントが達成するように設計されていることにあります。各タイプの導入のコストと利点、および各テクノロジーが対処するように設計された問題を考慮すると、導入の選択がより明確になります。

高性能で冗長なサイト間接続を実現する必要がある管理者は、IPsec VPN製品を適切に利用できます。これらのテクノロジーは、世界中の従業員に常時接続を安全に提供し、最適な生産性を達成するために必要な企業リソースへのアクセスを提供するという課題に対応するために作成されました。長年にわたり、IPsec VPNは、異なるオフィスにいる同僚間の継続的な通信に不可欠な、回復力のある信頼性の高い接続を提供してきました。IPsec VPNは、地理的に分散した場所にいるユーザーに、本社でのログインに似たエクスペリエンスを提供し、LAN上にある場合に手元にあるすべてのネットワークリソースに簡単にアクセスできるようにします。さらに、サイト間のユースケースでは、展開と保守に必要な管理リソースはかなり限られています。サイトの数は限られています。通常はファイアウォールとしても機能するデバイスが管理されます。そしてセッションは修正されました。

対照的に、モバイルの従業員、請負業者、オフショアの従業員、ビジネスパートナー、顧客が特定の企業リソースにアクセスすることを許可する必要がある管理者は、SSL VPNでより適切に処理されます。SSL VPNは、どこからでも管理者が指定した企業リソースへの安全なアクセスを必要とするさまざまな対象者のニーズに対応するように設計されています。これにより、管理者は、ユーザーの状況の変化に応じてアクセス方法とアクセスできるリソースの両方を変更できます。SSL VPNは、エンドポイントのセキュリティコンプライアンスをチェックし、それに応じてリソースをプロビジョニングするか、エンドユーザーに修正する手段を提供するように構成することもできます。このきめ細かいアクセスとエンドポイント防御機能の組み合わせにより、保護されていないエンドポイント、信頼できないネットワーク、または不正ユーザーから企業リソースへのアクセスがもたらすリスクが軽減されます。その結果、SSL VPNは、エンドポイントデバイスにプリインストールされたクライアントソフトウェアを必要とせずに、Web対応デバイスを使用してどこからでも企業リソースにアクセスできるという便利さをユーザーに提供します。

総所有コスト

導入するVPNテクノロジーを決定する際には、総所有コストが重要な考慮事項です。繰り返しますが、この決定を行うには、テクノロジーではなくデプロイメントを調べることが不可欠です。リモートオフィスやブランチオフィスで見られるようなサイト間接続が必要な場合、IPsec VPNが論理的で最も費用効果の高い選択肢です。このような状況のユーザーは、個々のクライアントを管理する必要なく、必要な「LAN上の」エクスペリエンスを利用できます。リモート/モバイルユーザー、ビジネスパートナー、または顧客の接続が必要で、アクセスに使用されるデバイスとネットワークが変化する場合は、SSL VPNが最も費用対効果の高い選択肢です。管理者は、認証店で、既存の投資を活用し、粒状ロールベースまたはリソースを作成することができます。ベースのポリシーを、そして、展開することなく、わずか数時間で大規模な、多様なユーザー集団へのアクセスを提供するのconfigureを、または継続的に個々のソフトウェアクライアントを管理します。

安全保障

IPsecとSSLの比較は、しばしば「どちらのプロトコルがより安全ですか?」という議論につながります。実際には、この質問は、リモートアクセスとサイト間VPNでのSSLとIPsecの選択とはほとんど関係がありません。これらのプロトコルは、同様の目標を達成します。これらは、安全な鍵交換と、転送中の強力なデータ保護を提供します。2つのプロトコルの大きな違いにもかかわらず、IPsecとSSLは、高レベルのトランスポートセキュリティの点で実際には非常に似ています。どちらのテクノロジーもネットワークトラフィックを効果的に保護し、それぞれに関連するトレードオフがあるため、さまざまなアプリケーションに適しています。プロトコルの実装は大きく異なりますが、2つのシステムは、強力な暗号化と認証、および概念的に同様の方法で指定されたプロトコルセッションキーなど、多くの類似点を共有しています。各プロトコルは、主要な暗号化、データ整合性、および認証テクノロジー(3-DES、128ビットRC4、AES、MD5、SHA-1)をサポートしています。

ネットワークアクセス

IPsec VPNは、企業内LANまたはVLAN内のVLANの仮想拡張を可能にするように設計されています。このようなアクセスは、従業員が効果的に機能するために自由なアクセスを必要とするリモートオフィスにとって不可欠です。ただし、セキュリティの制限は、さまざまなデバイスやネットワークからリソースにアクセスする必要があるモバイルユーザー、ビジネスパートナー、または顧客に効果的に拡張することはできません。SSL VPNを使用すると、費用対効果の高い方法でアクセスリスクを軽減できます。

SSL VPNは、企業の管理機能のないデバイスを含め、このような多種多様なデバイスを介したアクセスを可能にすることで以前から批判されていました。ただし、この懸念は軽減され、エンドポイントの防御メカニズムが作成され、デバイスのセキュリティポスチャをチェックし、セッションが開始される前とセッション全体の両方で修復を提供できるようになりました。

動的なセッションごとのアクセス制御と組み合わせたエンドポイントセキュリティは、ユビキタスで安全なソリューションを提供します。

アプリケーションアクセス

IPsec VPNは、すべてのIPベースのアプリケーションをサポートできます。IPsecVPN製品にとって、すべてのIPパケットは同じです。これにより、リソースやアプリケーションを企業LANだけに限定することは受け入れられない、サイト間展開の論理的な選択になります。

SSL VPNアプリケーションサービスはさまざまです。各ベンダーまたは製品には、独自のクライアントインターフェイスと、ゲートウェイを介してアプリケーションストリームを中継し、プライベートネットワーク内の宛先サーバーと統合する独自の方法があるためです。トランスポートとしてSSLを使用すると、SSL VPNはWeb対応アプリケーションへのアクセスを提供する場合にのみ適していると考える人もいます。実際には、ほとんどのSSL VPNベンダーがこの問題をずっと前に解決しており、クライアントサーバーアプリケーションへのアクセスや完全なネットワーク層アクセスを可能にする動的にプロビジョニングされたダウンロードを使用しています。実際、一部のベンダーのSSL VPN は、ネットワーク環境でサポートされる最高レベルの接続が確実に使用されるように、接続の最適な方法(IPsecまたはSSLトランスポート)を検出するデュアルモードネットワークレイヤーアクセス機能を提供しています。デュアルモードネットワークレイヤーアプローチは、VoIPなどのレイテンシやジッターの影響を受けやすいアプリケーションへのアクセスに理想的ですが、IPsec VPN管理のオーバーヘッドがなく、SSL VPNが知られているユニバーサルアクセスと信頼性を提供します。

繰り返しになりますが、展開の望ましい結果が、すべてのユーザーが管理対象デバイスと信頼されたネットワークから完全なネットワークアクセスを得ることができる場合、IPsec VPNが理想的です。ただし、展開の望ましい結果が、ビジネスパートナーや顧客などの制御できないエンドポイントからのモバイル従業員やユーザーが特定の企業リソースにアクセスを制御できるようにする場合は、SSL VPNが理想的です。

アクセス管理

別の考慮事項は、アクセス制御です。IPsec標準はパケットフィルターベースのセレクターをサポートしていますが、実際には、ほとんどの組織は、IPアドレスの変更や新しいアプリケーションごとにセレクターを作成または変更するのではなく、サブネット全体へのアクセスをホストに許可しています。信頼されたユーザーグループにプライベートサーバーとサブネットへのアクセスを許可する必要がある場合は、IPsec VPNが最適です。一方、展開にユーザー単位、グループ単位、またはリソース単位のアクセス制御が必要な場合は、SSL VPNが最適な選択です。SSLVPNはアプリケーション層で動作し、そのような制御を簡単に設定できるためです。高度なアクセス管理機能により、動的認証とロールマッピング、および非常に柔軟で表現力豊かなリソースベースの承認が可能になり、非常にコスト効率の高い方法で企業のセキュリティポリシーを遵守できます。

可動性

モビリティは、今日のノンストップビジネス環境の一部です。モバイルデバイスの急増に伴い、Voice-to-VoiceまたはWebを超えるリモートアクセスの需要も高まっています。リモートユーザー、パートナー、および顧客は、インターネットアクセスのためにPCに縛られることはありません。電話とPDAはワイヤレスでWebにアクセスできるため、事実上どこからでも接続を維持することがさらに便利になります。

SSL VPNは、企業リソースへの安全なアクセスを可能にするブラウザベースのテクノロジーにより、モバイルリモートアクセスに最適なソリューションです。一方、IPsec VPNは、多くのモバイルデバイスにとってリソース集約的すぎる、インストールされた重いクライアントを必要とします。したがって、サポートできるデバイスのタイプは少なくなります。SSL VPNアプリケーションレイヤーテクノロジーは、IPsec VPNネットワークレイヤーテクノロジーよりもリンクフェージングに対してはるかに弾力性があり、これによりSSL VPNは、信号強度が常に信頼できるとは限らないワイヤレスネットワーク経由のアクセスを保護するのに最適です。また、SSL VPNはアプリケーションレベルで動作するため、IPsec VPNのバイナリオンオフアクセスと比較して、携帯電話やPDAから企業リソースへのきめ細かいアクセスを詳細に監査できます。

シンクライアントコンピューティング

シンクライアントコンピューティング(TCC)(別名サーバーベースコンピューティング)は、すべてのデスクトップでのアプリケーションの実行に関連する高コストを削減し、他のプラットフォームから1つのコンピューティングプラットフォーム用に記述されたアプリケーションへのアクセスを可能にし、リモートアクセスを提供するように設計されていますアプリケーションの制御。TCCはますます競争が激しくなり、テクノロジーは進化し続けています。XenAppやMicrosoft Windows Terminal ServicesなどのCitrixのアプリケーションを使用するIT部門がますます増えています。TCCベンダーは多くの場合、自社製品の拡張機能としてSSL VPNを提供しています。SSL VPNは、次の目的でTCCとともに使用するのが理想的です。

  • 企業リソースへのリモートアクセスを提供する
  • シンクライアントトラフィックを認証、許可、および監査する機能を提供する
  • エンドポイントデバイスのセキュリティを確保する
  • ユーザー、エンドポイントデバイス、ネットワーク情報の組み合わせに基づいてアクセスを制御する

事業継続性

今日のグローバルなインターネットコミュニティからのセキュリティの脅威は、企業や組織に絶えず挑戦しています。環境の脅威や壊滅的な出来事も、企業を停止させる可能性があります。事業継続性は、災害や、ハリケーン、ブリザード、テロ攻撃、交通攻撃、伝染病の脅威などの予測できないイベントが発生した場合に、生産性、サービス、パートナーシップを維持できる企業に依存しています。たとえば、インフルエンザのパンデミックでは、企業が従業員、パートナー、顧客間の社会的相互作用を制限して、ウイルスのさらなる拡散を防ぐことが必要になる場合があります。このシナリオは、従業員が自宅から長期間生産的に作業できるようになるため、リモートアクセスの幅広い採用を説得力のある事例にします。

IPsec VPNはサイト間の接続には確かに効果的ですが、壊滅的なイベントが発生したときにリモートアクセスの必要性に対処するには理想的なソリューションではない場合があります。たとえば、多くの従業員は、自宅のPC、パブリックキオスク、PDAなどの管理されていないデバイスから企業のリソースにアクセスする必要があります。SSL VPN のエンドポイントセキュリティ機能は、導入されている最小限の企業セキュリティポリシーセットに準拠している限り、管理されていない、または管理されているあらゆるタイプのエンドポイントデバイスからのきめ細かなアクセスを可能にします。SSL VPN は、従業員がこれらのタイプのイベント中に任意のタイプのデバイスを使用してどこからでも作業できるようにすることで、従業員の生産性を維持します。

結論

IPsecとSSL VPNを組み合わせることで、企業はオフィスとユーザーに企業ネットワークへの安全でユビキタスなアクセスを提供し、ビジネスの全体的な成功をサポートできます。組織のニーズに最適なテクノロジーを決定するときは、この記事で説明されている決定基準と要件を比較検討してください。

また、本記事からは離れますが、本来的にはVPNは境界型セキュリティの延長です。ゼロトラストにVPNから移行する事が求められます。他の記事でもより詳しく取り上げておりますので、是非ご確認ください。

SNSでもご購読できます。

コメントを残す

*