インターネットが世界の隅々にまで行き渡った感のある今日、ネットワークユーザーは“いつでも、どこからでも”問題なく社内ネットワークにアクセスできることを期待するようになってきた。
リモートアクセスVPNを快適に利用できる状態に維持するのは、とても簡単なことだ。VPNサーバ上でのインターネット帯域の利用率とCPUの利用率を監視すればいいのだ。どちらか一方でも、常にキャパシティーの50~70%に達しているようであれば、アップグレードが必要だということだ。しかし帯域幅を増強したり、強力なVPNサーバを購入したりするだけがリモートアクセス環境を改善する方法ではない。既存のVPNサーバに新たな手法を適用し、リモートユーザーがより効率的・生産的かつ快適に社内ネットワークにアクセスできるようにするためのアイデアを以下に紹介する。あなたの会社の現在のリモートアクセス環境とこれらの手法を比較し、改善の余地がないか検討していただきたい。
●IPsecからSSLへ
IPv4のアドレス空間が満杯に近づくのに伴い、NAT(Network Address Translation)が広く普及した。IPsecは10年以上の歴史を持つ技術だが、多くのNAT機器はこのセキュリティ・暗号化プロトコルとの相性があまり良くない。その上、ネットワークサービスプロバイダー各社はマルウェアの拡散を防ぐために、ますます多くのプロトコルをブロックするようになってきた(IPsecもその中に含まれる場合が多い)。VPNベンダー各社は、こうした接続性と相互運用性をめぐる問題を解決するために数々の対策を打ち出しているが、その中で最も有効だと思われるのが、TCPポート443(HTTP over SSLポート)を通じてリモートアクセストラフィックをトンネリングするという手法だ。リモートアクセスVPN製品の動作は、ポート443経由のコネクション以外の機能に依存すべきではない。まだSSL VPNツールに移行していない企業は、既に時流から取り残されているのであり、できるかぎり快適かつ高速なエクスペリエンスをユーザーに提供するという目的を果たしていないといえる。
●ネットワークトンネルからアプリケーショントンネルへ
IPsecあるいはSSLによってネットワーク機能を拡張した従来のVPNは、一般的なネットワークアクセスに対しては非常に有効だが、わたしのみるところでは、大抵のユーザーはごく少数のアプリケーションに大半の時間を費やしている。電子メールとイントラネットのWebページだ。これらのアプリケーションは“自己トンネリング”型だ。すなわち、従来のVPNサーバを介在させなくても、暗号化と認証が行われるということである。今日の電子メールサーバはすべて暗号化機能を備えているため、ユーザーが利用するアプリケーションが電子メールだけの場合には、わざわざVPNトンネルを構築する必要はないかもしれない。標準ベースの電子メールサーバを使用しているのであれば、SMTPやIMAPなどのプロトコルに対して暗号化と認証が行われるので(これは今日のすべてのメールサーバが備えている機能だ)、VPNを使わずにアクセスを直接提供できる。ただしその場合には、パスワード推測攻撃の可能性を排除する侵入回避機能がメールサーバで有効になっており、ファイアウォールがDoS(サービス不能)攻撃に対して必要な防御能力を備えていることを確認する必要がある。Microsoft Exchange Serverを利用している企業の場合は、RPC over HTTPSをサポートするバージョンにアップグレードすること。この機能は、Microsoft Office Outlookユーザーが直接、迅速かつ安全に接続することを可能にする。
リモートユーザーが必要とするWebサービスをファイアウォールの内側で運用しているのであれば、トンネル確立に伴うオーバーヘッドの除去、複数のサービスを利用するユーザーの認証、ブラウザのSSLレイヤーを利用したトラフィックの暗号化などを行うためにアプリケーションレベルのSSL VPNを検討するといいだろう。この種の製品を提供している主要ベンダーとしては、米Juniper Networks、米SonicWALL、米F5 Networksなどがある。この方式のもう1つの利点は、これらのSSL VPN製品のほとんどが、既存の標準ベースのメールサーバやExchangeメールサーバに暗号化・認証レイヤーを付加できるということだ。これにより、頻繁にパッチを適用する煩わしさが軽減される。
●バックアップから継続的データ保護へ
かつて「バックアップウィンドウ」という言葉がよく使われた。これはバックアップ作業のために確保された時間を指す用語で、その間はシステムが利用できなかったり、パフォーマンスが大幅に低下したりすることがあった。従業員全員が午前8時から午後5時までしか社内にいないのであれば、システムが高速に稼働していようがしまいが誰も気にしないバックアップウィンドウを確保できるだろう。
しかし、あらゆる時間帯の地域からリモートスタッフが四六時中、社内ネットワークに接続する今日、バックアップウィンドウがすっかり縮小し、皆無といえる状況になってしまった。毎夜のパフォーマンス低下(最悪の場合はダウンタイムウィンドウ)は、もはや許されるものではないのだ。
データ保護に対する要求は変わっていないが、「毎晩、ドライブにテープを挿入する」という従来の手法は、もはやあまり効果的とはいえない。バックアップウィンドウの問題に加え、規模の大小を問わず多くの企業ではデータ量が膨大になってきたため、テープベース(およびディスクベース)のバックアップは、もはや費用対効果と実用性に優れた方式ではないと考えるようになってきた。この方式はもう不可能だという企業さえある。
しかし幸いにも、SAN、アプリケーション、バックアップソフトウェアなどを手掛けるベンダーから多数の優れた製品が登場しており、伝統的なテープベースあるいはディスクベースのバックアップに代わるさまざまな選択肢を提供している。バックアップをネットワークのはかない一瞬のスナップショットとして考えるのをやめ、継続的なデータ保護(CDP)という観点から考え直し、作成時点でデータを保護するとともに、バックアップ作業がリモートアクセスVPNの利用を妨げる障害とならないようにすべきだ。
本稿筆者のジョエル・スナイダー氏は、セキュリティとメッセージングを専門とするITコンサルタント会社Opus Oneのシニアパートナー。
業界の話題、問題、掘り出し物、ちょっとしたニュース配信中。
リモートアクセスVPNを快適に利用できる状態に維持するのは、とても簡単なことだ。VPNサーバ上でのインターネット帯域の利用率とCPUの利用率を監視すればいいのだ。どちらか一方でも、常にキャパシティーの50~70%に達しているようであれば、アップグレードが必要だということだ。しかし帯域幅を増強したり、強力なVPNサーバを購入したりするだけがリモートアクセス環境を改善する方法ではない。既存のVPNサーバに新たな手法を適用し、リモートユーザーがより効率的・生産的かつ快適に社内ネットワークにアクセスできるようにするためのアイデアを以下に紹介する。あなたの会社の現在のリモートアクセス環境とこれらの手法を比較し、改善の余地がないか検討していただきたい。
●IPsecからSSLへ
IPv4のアドレス空間が満杯に近づくのに伴い、NAT(Network Address Translation)が広く普及した。IPsecは10年以上の歴史を持つ技術だが、多くのNAT機器はこのセキュリティ・暗号化プロトコルとの相性があまり良くない。その上、ネットワークサービスプロバイダー各社はマルウェアの拡散を防ぐために、ますます多くのプロトコルをブロックするようになってきた(IPsecもその中に含まれる場合が多い)。VPNベンダー各社は、こうした接続性と相互運用性をめぐる問題を解決するために数々の対策を打ち出しているが、その中で最も有効だと思われるのが、TCPポート443(HTTP over SSLポート)を通じてリモートアクセストラフィックをトンネリングするという手法だ。リモートアクセスVPN製品の動作は、ポート443経由のコネクション以外の機能に依存すべきではない。まだSSL VPNツールに移行していない企業は、既に時流から取り残されているのであり、できるかぎり快適かつ高速なエクスペリエンスをユーザーに提供するという目的を果たしていないといえる。
●ネットワークトンネルからアプリケーショントンネルへ
IPsecあるいはSSLによってネットワーク機能を拡張した従来のVPNは、一般的なネットワークアクセスに対しては非常に有効だが、わたしのみるところでは、大抵のユーザーはごく少数のアプリケーションに大半の時間を費やしている。電子メールとイントラネットのWebページだ。これらのアプリケーションは“自己トンネリング”型だ。すなわち、従来のVPNサーバを介在させなくても、暗号化と認証が行われるということである。今日の電子メールサーバはすべて暗号化機能を備えているため、ユーザーが利用するアプリケーションが電子メールだけの場合には、わざわざVPNトンネルを構築する必要はないかもしれない。標準ベースの電子メールサーバを使用しているのであれば、SMTPやIMAPなどのプロトコルに対して暗号化と認証が行われるので(これは今日のすべてのメールサーバが備えている機能だ)、VPNを使わずにアクセスを直接提供できる。ただしその場合には、パスワード推測攻撃の可能性を排除する侵入回避機能がメールサーバで有効になっており、ファイアウォールがDoS(サービス不能)攻撃に対して必要な防御能力を備えていることを確認する必要がある。Microsoft Exchange Serverを利用している企業の場合は、RPC over HTTPSをサポートするバージョンにアップグレードすること。この機能は、Microsoft Office Outlookユーザーが直接、迅速かつ安全に接続することを可能にする。
リモートユーザーが必要とするWebサービスをファイアウォールの内側で運用しているのであれば、トンネル確立に伴うオーバーヘッドの除去、複数のサービスを利用するユーザーの認証、ブラウザのSSLレイヤーを利用したトラフィックの暗号化などを行うためにアプリケーションレベルのSSL VPNを検討するといいだろう。この種の製品を提供している主要ベンダーとしては、米Juniper Networks、米SonicWALL、米F5 Networksなどがある。この方式のもう1つの利点は、これらのSSL VPN製品のほとんどが、既存の標準ベースのメールサーバやExchangeメールサーバに暗号化・認証レイヤーを付加できるということだ。これにより、頻繁にパッチを適用する煩わしさが軽減される。
●バックアップから継続的データ保護へ
かつて「バックアップウィンドウ」という言葉がよく使われた。これはバックアップ作業のために確保された時間を指す用語で、その間はシステムが利用できなかったり、パフォーマンスが大幅に低下したりすることがあった。従業員全員が午前8時から午後5時までしか社内にいないのであれば、システムが高速に稼働していようがしまいが誰も気にしないバックアップウィンドウを確保できるだろう。
しかし、あらゆる時間帯の地域からリモートスタッフが四六時中、社内ネットワークに接続する今日、バックアップウィンドウがすっかり縮小し、皆無といえる状況になってしまった。毎夜のパフォーマンス低下(最悪の場合はダウンタイムウィンドウ)は、もはや許されるものではないのだ。
データ保護に対する要求は変わっていないが、「毎晩、ドライブにテープを挿入する」という従来の手法は、もはやあまり効果的とはいえない。バックアップウィンドウの問題に加え、規模の大小を問わず多くの企業ではデータ量が膨大になってきたため、テープベース(およびディスクベース)のバックアップは、もはや費用対効果と実用性に優れた方式ではないと考えるようになってきた。この方式はもう不可能だという企業さえある。
しかし幸いにも、SAN、アプリケーション、バックアップソフトウェアなどを手掛けるベンダーから多数の優れた製品が登場しており、伝統的なテープベースあるいはディスクベースのバックアップに代わるさまざまな選択肢を提供している。バックアップをネットワークのはかない一瞬のスナップショットとして考えるのをやめ、継続的なデータ保護(CDP)という観点から考え直し、作成時点でデータを保護するとともに、バックアップ作業がリモートアクセスVPNの利用を妨げる障害とならないようにすべきだ。
本稿筆者のジョエル・スナイダー氏は、セキュリティとメッセージングを専門とするITコンサルタント会社Opus Oneのシニアパートナー。
業界の話題、問題、掘り出し物、ちょっとしたニュース配信中。
