Zerotrust時代、SDPは本当に必要?SSL-VPNじゃダメ?

企業では昨年2019年末までDXを鑑み、クラウドシフトやZerotrustは沢山の企業・団体が準備を始めていました。 しかし、2020年初頭からの突然のパンデミック。 緊急事態宣言を受けて、企業が直面したのは企業の生命線であるBCP体制の整備。 フルクラウド化できていない企業はZerotrustを棚上げにして、リモートアクセス・テレワークの急速な整備を模索しました。 企業としては当然の事、将来を見越した投資をしたい。しかし、膨大なCapex、エンジニアや購買先の人々が沢山介在することになるPOC、そしてシステム入れ替え、エンドユーザへの利用教育を行う必要など、今の社会情勢ではむずかしくで困難な状況。 結果的に既存SSL VPNシステムの増強や、UTM&FWでのリモートアクセス、ユーザ追加、端末の整備で1次的な対策を行った企業も多くいます。 しかしZerotrust時代が到来するのは明らかですが、ちょつと待ってください、Arrayは緩やかななマイグレーションを提案します。 既存SSL-VPNの〇と×(マルとバツ) Zerotrust製品をお考えの方は、SSLVPNに対して以下のような事を考えてませんか? 〇マルな部分としては ・多くのお企業は既に利用していて、ユーザ追加で全社導入が可能。個別ユーザ&運用教育もいらない。 ・コスト的にも製品的にも良い意味で”枯れている”ので、OPEXや安定性の面でも有利 ×バツな部分としては ・SSL VPNはL3攻撃に晒されているのでネットワーク全体が危険 ・VPNクライアント運用、情シスは大変な作業。 ・クラウド化が進み、NWが集中してない為アクセスが分散するからSSLVPN装置がコスト高。 今の時代、これらの課題を解決するため、Zerotrust(SDP、CASB等々)を検討されるかと思います。 既存SSL VPNゲートウエイでも出来る、ライトZerotrust 既存SSL VPNを行いゲートウエイ製品でも、じつはある程度のZerotrust化にすることが出来ます。 境界にSSLVPNゲートウエイを配置、アウトサイドのネットワークからの外部アクセス終端とインサイドネットワークアクセスの社内ネットワーク終端を行い、SSLVPN装置で制御させることで社内の様々なアプリケーションのアクセスをコントロールさせることでライトにZerotrustが可能です。 もちろんアクセス端末へのクライアントを使わない方式や、Googleとの2要素認証などすることによりパブリック&プライベートクラウド、オンプレネットワークで利用ができます。 最終的にはZerotrust製品だが、今はこの難局には投資を無駄しない選択を 我々は、最終的にはZerotrust製品が必要、しかしこの難局には投資を無駄しない選択が必要と考えます。 NEWNORMALを取り入れ綿密な計画の再考と、既存システムの断捨離を断行。経済産業省のDXレポートでも言っている不要なシステムの廃棄と刷新前の徹底的な軽量化を行う。 いまは導入ダメージが無いものを、出来うることをして2次~3次感染に備え急ぎ対策を行う。 その後緩やかにZerottrustにマイグレーションすることが肝要です。 このように、SSL VPNゲートウェイ(AGvxAG)はいま最も再認識いただきたい製品です。 貸出機をご用意しますので、是非一度ご検討ください。%MCEPASTEBIN% The network functions platform company「Array NETWORKS」MAIL TO: marketing-j@arraynetworks.net担当: 対馬浩明TEL: 044-589-8316

なぜVPNにはVPN専用機が必要か?

リモートアクセス、UTMやFireWall等々でいいのでは? 緊急事態のテレワーク、これまで想定されていなかった事態が起こっています。 ・繋がらない ・遅い ・想定外の緊急増員 ”繋がらない”や”遅い”は、アクセス回線やWIFIなどの通信経路のシステム的問題や端末そのものの問題やか感覚的なファクターもあります。また、単なるシステム問題ではく、アクセスする側のネット回線問題やアプリケーションに起因する場合の可能性もあります。 これとは別に利用しているシステムに起因する場合もあります。このリモートアクセスの中心的役割をするのがVPNを司るアクセスソリューションです。 VPNを司る製品 このVPNを司るすべてアクセスソリューションが、成り立ちから同コンセプトで設計されているわけではありません。メインの機能があり、要は生まれも育ちも違いがあります。 従業員の一部のみをサポートする多くの組織は、SMBアプライアンスやVPN機能をもつFireWallを使用しているケースが大多数と考えます。 これらのアプローチは、一部分のユーザのをサポートするのに十分かもしれませんが、会社全体でリモートアクセスをサポートするとなる処理能力が不足します。 SMBアプライアンス: オープンソースソフトウェアとジェネリックハードウェアを介して提供されます。 小規模なユースケースに適していますが、 中規模または大規模の企業組織で従業員全体をサポートするには不十分です。 VPN機能を持つFireWall : FireWallの統合機能としてSSL VPNを提供します。 主にFireWall機能プラットフォーム上のリソースをめぐり、リソースの取り合いをします。 最悪ケースでは、リモートアクセスが遅くなるか、応答しなくなります。 VPN専用機: VPN専用機はアクセスをするために生まれてきた機器、OSから設計されています。 膨大なユーザキャパシティに耐えることができ、豊富なクライアントサポートや様々なアクセスメソッドを可能にします。 ハードウエアアプラインスであれば、本体内にECC対応SSLアクセラレーションチップを搭載して居るため、オフロード用機器が必要なく高速に処理することが可能です。 リモートアクセスのユーザ像 VPN専用機は様々なユーザに対応できるベースを持っています。 企業はスケーラビリティに加えて、会社組織はさまざまなタイプの従業員をサポートする必要性も考慮する必要があります。 既にリモートアクセスを利用しているユーザ(管理対象デバイスとVPN接続が既に発行されている場合)は、BCPイベント中にリモートで作業することは、日常業務であり、問題はありません。 しかし、普段は出社し9時から17時で勤務するオフィスワーカーの場合、リモート勤務は新しく経験、管理対象デバイスすらありません。 全社的なリモートアクセスをサポートするには、どうするか? Arrayは、リモートアクセスペルソナの全範囲をサポートするアクセス方法をサポートしています。 ・リモートアクセスVPN 管理されたPCを持つ従業員が自宅から会社のネットワークに安全に接続できるようにします。 ・リモートデスクトップアクセス オフィスでのみPCを使用する従業員の場合は、個人用デバイスから安全にアクセスできるように、デスクトップをブラウザ内に表示します。 ・セキュアWebアクセス 場所やデバイスは問わず、選択したアプリケーションを安全なWebポータルで公開し、従業員グループが使用できるようにします。 このように、リモートアクセス専用機はリモートアクセスをするために様々な機能と考慮した製品です。 是非一度ご検討ください。 The network functions platform company「Array NETWORKS」 MAIL TO: marketing-j@arraynetworks.net 担当: 対馬浩明 TEL: 044-589-8316