ZTNA(ゼロトラストネットワークアクセス)でM&Aを加速させる

M&A(合併・買収)は、ビジネス・リーダー、CIO、ネットワーク・アーキテクトにとって、IT統合を成功させるために最もストレスの多い状況のひとつです。M&Aは注目度の高いイベントであることが多く、ビジネスが投資回収を実現するためには、できるだけ早く実施しなければなりません。しかし、M&Aは、複数の事業体間でセキュリティを標準化し、すべてのユーザーにシームレスな体験を提供し、使用するための最適なインフラストラクチャを決定するための新しい技術を検討するための扉を開くため、あらゆる企業内の近代化の触媒としても機能します。

チームが最新のクラウドベースの技術を導入しようとする中で、ユーザーとビジネスアプリケーションをつなぐ新しい方法を模索し、既存のシステム内で製品がうまく統合されるようにし、M&Aプロセスを加速させるのは、ネットワーク・アーキテクトにかかっていることが多いです。比較的新しいソリューションが氾濫しており、その実装がユーザーの生産性を低下させたり、操作を妨げたりしないようにする必要があることを考えると、適切なアプローチを決定することは容易ではありません。

この近代化を実現するために、多くのネットワーク・アーキテクトがゼロトラスト・ネットワーク・アクセス(ZTNA)サービスを活用してユーザーをアプリに接続するようになりました。ZTNAテクノロジーは、異種ネットワークの統合と、NATによる重複IPアドレスの処理を含む、既存のネットワーク中心のプロセスのより高速で安全な代替手段として機能します-自力で9〜12か月かかるプロセスです。

このアーキテクチャ・ガイドの中では、以下の内容を取り上げます。

  • 現行のアクセス技術とZTNAのアーキテクチャの違い
  • M&A時のZTNA導入のためのリファレンス・アーキテクチャを見てみる
  • 複数のエンティティにまたがるZTNAを採用する際に考慮すべきフェーズ
  • ZTNAとのM&AでIT統合プロセスを加速させるためのプロのヒントと考察

始める前に、「二つのM&Aの旅の物語 」をお読みください。このブログでは、M&A時のIT統合の現在の手法とZTNAベースの導入の概要を簡単に説明しています。

このガイドでは、典型的な企業のシナリオを例に説明します。ドイツのフランクフルトに本社を置くメーカーである母会社SEは、子会社PAを買収することになり、各環境のユーザーをエンパワーし、環境内の主要なアプリケーションに接続するためのシームレスなスケールが必要となります。歴史的に、これはRFC1918アドレス空間の重複を意味し、2つのネットワークの相互接続を複雑にします。さらに、母会社はさらなる買収を予想しており、異なる環境間のユーザーアクセスに対応するための統一されたソリューションを必要としています。

ZTNA導入以前の母会社SEによる現在のM&Aアーキテクチャ

母会社は、新しい要件のためにアクセスを可能にする方法を検討し始めています。各PAは分離されており、リソースを共有していませんが、いずれもMicrosoft Azureと同様にデータセンターのインフラを活用しています。長期的な目標は、これらのレガシーロケーション(DCとAzureの両方)内のアプリケーションを母会社のコーポレートネットワーク(BCN)に移行することです。

現在、母会社のデバイスからPA地域へのアクセス経路(その後、PAユーザーから母会社のアプリケーションへのアクセス経路は逆になります)は、ネットワーク境界で二重NATとDNS制御を行う相互接続型ファイアウォールの従来のM&Aアーキテクチャを経由しています。この複雑なプロセスは、特に内部IPが大きく重複していたり、セキュリティの衛生レベルが異なるネットワークでは、時間とコストがかかります。

母会社SEは、よりシンプルなアーキテクチャ・モデルで、迅速かつ容易に粒度の高いクロスカンパニー・アクセスを提供したいと考えています。母会社は、クラウドベースの環境を構築し、これがM&Aのエコシステムであるかのように振る舞うことで、このモデルをテストします。彼らはPrivate Accessの利用を検討しているとのことです。ソフトウェアで定義された境界線サービス(SDP)で、データセンター、ハイブリッド、マルチクラウド環境で実行されているプライベート・アプリへの安全な接続性を、ネットワーク上にユーザーを置くことなく提供します。

母会社が考える未来のZTNAアーキテクチャ

リモートユーザーの増加と消費するアプリの数の増加は、母会社のネットワークインフラを圧迫しています。ZPA は、このようなプレッシャーから解放され、従業員やパートナーがセキュリティを犠牲にすることなく、可能な限り効率的に業務を遂行できるようにします。また、ZPAによって可視性、敏捷性、簡素化が向上したことで、ITは恩恵を受けることができます。

母会社では、アプリケーションへの安全なアクセスを必要とするのはロード・ウォリアーだけではなく、オフィスを拠点とする従業員もクラウドベースのアプリケーションに直接接続する必要があります。ZPAのようなZTNAサービスは、母会社に次のようなサービスを提供します。

グローバルで統一された安全でシンプルなアクセス

場所に関係なくアプリケーションにアクセスできることは、ビジネスにとって非常に重要です。アプリケーションは多様な場所に存在するため、すべてのユーザーのセキュリティとアクセス制御をグローバルに適用する必要があります。

セキュリティ、可視性、制御性の向上

内部アプリケーションへのすべてのトラフィックフローは、許可されたユーザーのみがアプリケーションにアクセスできるように制御されています。チームは、ユーザーが何にアクセスしているかを可視化し、これまで知られていなかったアプリケーションを識別し、適切なコントロールを適用することができるようになりました。

コスト回避

リモートユーザーがアクセスできるように設定されていたーしたがって、さらされていたーセキュリティとネットワークインフラは、このプロジェクトの一環として排除することができます。同時に、VPN、ネットワークインフラ、およびソフトウェア管理のコストを最小限に抑えることができます。

クラウドへの対応力

アプリケーションがクラウドに移行し、ユーザーがモビリティに移行する中で、セキュリティを適用するにはエンドポイントかクラウドのどちらかしかありません。ZTNAを活用することで、母会社はインフラに負担をかけずにクラウドアプリケーションを導入できるようになります。

アプリケーション・アクセスをネットワークから切り離す

ネットワークの接続性ではなく、アイデンティティと体制を利用してアクセスを提供するアプリケーションアクセスのモデルへの移行。

母会社の目的とするZTNAの最終形態

図に示すように、データセンターやクラウド環境のプライベート・アプリケーションへの最適化されたパスを、グローバルなクラウドフットプリントにわたって提供します。母会社のユーザーはグローバルクラウドプラットフォームに接続し、すべてのプライベートアプリケーションのトラフィックのワンパスとなります。すべてのポリシーコントロール、レポート、可視性を単一の統一されたプラットフォームにもたらします。ダイバーシティとフェイルオーバーは、分散したクラウドとApp Connectorグループと冗長性によって提供されます。重要なのは、この移行の間、一貫したエンドユーザー体験とビジネスに必要なポリシーコントロールを提供することです。

母会社のZTNAの子会社へのロールアウトに推奨されるフェーズを探り、すべてのユーザーが自分の環境で実行されているプライベート・アプリにアクセスできるようにする方法を紹介します。最終的には、内部アプリを目的としたすべてのトラフィックは、統合された組織のデータセンターとクラウド環境全体でZPAを介してクラウドにルーティングされます。

ネットワーク上にユーザーを配置し、VPNのようなリモート・アクセス・サービスを介して接続性を提供するのではなく、ZPAを使用することで、母会社はソフトウェアで定義された境界線(ZTNA)つまりSDPソリューションを活用することができます。

ZPAサービスを利用することで、アプリケーションはユーザーにネットワークを拡張することなく、アプリケーションが実行されている場所に関係なく、インサイドアウト接続でユーザーに接続することができます。アプリケーションはインバウンドのPingを聞かないため、インターネットにさらされることはなく、不正なユーザーからは全く見えないため、DDoS攻撃を防ぐことができます。また、ZPA は、母会社または子会社のいずれかで実行されている未知のアプリケーションを検出し、それらのアプリケーションに粒度の高いコントロールを適用することもできます。

加速するM&Aに向けたZTNA導入のための段階的なアプローチ

①ZTNA導入のためのアクセシビリティ優先順位付け

この旅の最初の段階では、ドイツのフランクフルトにある母会社のサイト内に複数のアプリケーション・コネクタを設置する必要があります。母会社は、アクセスパスの母会社側のフェイルオーバーとロードバランシングを行います。この一対のコネクタは、既存の母会社のユーザーの接続性を確立し、次のフェーズのテストのための継続性を提供します。ここのコネクタは、企業のプロキシサーバーを介してZPAクラウドへの接続を確立します。このプロキシは母会社が使用する3つの主要なインターネットゲートウェイの1つであり、コネクターには特定のルールが確立されています。すべてのTLSトンネルは、serverproxy.MotherCompany.net:8080を介してバイパスルール(authとSSL)を通過しています。

認証は、同社の SAML ID プロバイダを引き続き活用すします。ユーザーが認証されると、プライベート・アプリケーションのトラフィックはZTNAサービスを介して送信され、フランクフルトを拠点とするコネクタを介してアプリケーションに接続されます。ポリシー コントロールを母会社の標準に設定すると、より多くのユーザーがレガシー VPN(Juniper、Pulse、Cisco AnyConnect など)プラットフォームから ZPA に移行できます。

②追加のM&Aユーザーに対応しZTNAを推進

母会社がZTNAを利用する際の第二段階は、子会社のデバイスを利用する一連のテスト・ユーザーのアクセスを可能にすることです。これらのデバイスは、母会社のエコシステム内で動作するアプリケーションに接続します。このテストが完了すると、このテストは、ZTNAサービスを介して、母会社のエコシステム内で、新規に取得したユーザーと既存の社内アプリケーションとの間の接続が成功し、安全であることを実証することになります。

③M&Aの本格的な実行し、ZTNA実現を完成させる

この段階では、特定のユーザーのみが特定のアプリケーションに接続できるように、母会社のユーザーと子会社のデバイスを持つ母会社のユーザーの内部アプリケーションへのきめ細かなアクセスを定義することを検討する必要があります。これらのきめ細かなアクセス定義は、母会社の将来のIT運用を強力にする完全なゼロトラスト・セキュリティ・モデルを構築するための第一歩となります。

アプリケーションへのきめ細かなアクセス、可視化、および制御を実現することは、ZPA のような ZTNA サービスの基本です。さらに、そのセットアップはシンプルで、3つの主要な領域に分けることができます。

アプリケーションの定義と粒度の高いポリシーの定義

アクセスの基準は、母会社のディレクトリサービスを介して割り当てられたユーザー属性に基づいています。これらのメンバーシップ、属性、および割り当てを一致させることは、アクセス・ポリシーを使用して、誰が母会社のアプリケーションへのアクセスを許可されているかを正確に制御するために使用できることを意味します。

このような制御の例としては、以下のようなものが考えられます。

  • アプリケーションセグメントへの特定の従業員のアクセスを定義します。
  • 第三者が特定のアプリケーションにアクセスできるようにすることで、誰がアクセスしているか、何にアクセスしているかの両方を制御することができます。

アプリの検出

検出プロセスの一部として特定されたアプリケーションをレビューすることで、母会社は特定のアプリケーションを「除外」し、それらのアプリケーションへのアクセスをブロックまたは有効にするためのポリシーを割り当てることができます。Zscalerでは、検出されたアプリをカテゴリに分類して、母会社が優先度に応じたアクションを実行できるようにすることを推奨しています(クリティカル、ミディアム、ロープライオリティなど)。

診断を分析して洞察を得る

ZTNAサービス内での診断内容により、母会社では、ネットワークインフラ内の課題を分析・検討・把握する力を身につけることができます。エラーとポリシーブロッキングに焦点を当てることで、母会社のチームは、誤って設定されたアプリケーション、ネットワーク、さらにはアプリケーション・アクセスの待ち時間までも特定できるようになります。

 

誰が何にアクセスできるかを定義できるZTNA環境の集中制御に加えて、母会社は、母会社のネットワーク内のファイアウォールまたはACL制御を活用して、ネットワーク・レベルでのアクセスを分離して定義することができます(正確な設計については、母会社のセキュリティ・チームとネットワーク・チームが対応する必要があります)。ZTNAサービスにより、母会社は、アプリケーションへの唯一のインバウンド・パスとなるコネクタを可能にすることで、ハイパーセキュアな分離を構築することができます。

④ZTNAによるクラウド・インクルージョンの恩恵

母会社と子会社のメインアプリのロケーション内で本番されるようになると、ZTNAサービスによってパブリッククラウドのロケーションに直接、安全にアクセスできるようになります。Azureを例にすると、アクセスは、母会社のアーキテクチャに応じて、必要なMicrosoft Azureリージョンまたはリソースグループ内でApp Connectorを展開することで達成されます。ZPAの場合、デフォルトの機能を活用することで、アプリケーションアクセスは、ユーザーがアプリケーションに到達するための最も直接的なパスを動的に見つけ出し、利用可能なコネクタを介してAzureアクセストラフィックを誘導します。

母会社は今後もAzureを活用していくため、ネットワークチームは、関連するAzureリージョン内にZPA App Connectorをより多く導入するだけで済みます。その後、柔軟でシームレスな粒度の高いアプリケーションアクセスを実現するというクラウドの目標を、現在および将来に向けて実現することができます。

最終的なZTNAの考え方

ZTNAを採用することで、母会社SEは、クライアントのマシンが本番サービスと同じネットワーク上にないモデルに移行することが可能になります。ユーザーのアイデンティティとデバイスのコンテキストが、ネットワーク上の居住性ではなく、アプリケーションへのアクセスを許可するためのコントロールになります。このような制御は、ユーザー・ネットワークからサービス・ネットワークをセグメント化しようとするあらゆる取り組みと一致しています。

このアーキテクチャ資料に記載されているガイダンスが皆様のお役に立てたことを願っています。ZTNAは、チームがセキュリティを提供する方法を根本的に変え、M&A期間中のIT統合を9ヶ月~12ヶ月から数週間に加速させることを可能にしました。新しいM&A取引の際には、ぜひZTNAをご検討ください。

コメント

タイトルとURLをコピーしました