SDP 対 VPN 切り替えを決断する5つの理由

従来のVPNは 20 年以上前に発明されましたが、当時はすべての企業アプリがローカルのデータセンターでホストされており、ほとんどの従業員がオンプレミスで仕事をしていました。クラウド・インフラストラクチャ、仮想化、マイクロサービス・アーキテクチャはどこにも存在しておらず、サイト中心のセキュリティ・モデルは、リモートで作業する数人の管理職を企業のデータセンターに接続するのに十分に機能していました。

今日の世界は変わっています。VPNが保護するために設計されたネットワーク境界線は、本質的に解消されています。典型的な企業では、Amazon AWS のようなパブリック・クラウド上に数十、多くの場合は数百のアプリケーションがホストされています。遠隔地にいる数人の従業員の代わりに、自宅、ホテル、空港、顧客サイトから作業するユーザーの数は膨大なものになります。最近の調査では、専門家の70%が週に1日以上リモートで仕事をしており、53%は週の半分以上リモートで仕事をしているという結果が出ています。

今日の分散した企業ネットワークへのリモートアクセスを可能にするためには、新しいソリューション、つまり「次世代VPN」と呼ばれるものが必要とされています。ガートナーの言葉を借りれば、「アプリケーションの動態、クラウドの採用、合併などにより、企業のアクセス要件はますます複雑化しています。この複雑さを打破するために、技術専門家は、エンタープライズ・アプリケーションへのアクセスを容易にすることに強みを持つ新しい技術であるソフトウェア定義境界線(SDP)を検討すべきです。」

この論文では、組織がすべてのユーザーのリモートアクセスセキュリティを標準化し、より経済的に拡張し、攻撃の潜在的なリスクを低減することを可能にする、従来のVPNに代わる説得力のある選択肢としてSDPを検討します。

SDP(Software-Defined Perimeter)とは何ですか?

SDPは、エンタープライズアプリケーションへのセキュアなアクセスを提供するネットワークセキュリティフレームワークです。

「境界線」という用語は、伝統的にネットワークの境界線や非武装地帯(DMZ)やファイアウォールのような要素に関連付けられているため、しばしば混乱を引き起こします。しかし、SDPは、やや紛らわしい用語であるにもかかわらず、真逆のアプローチをとっています。固定の境界線によって企業ネットワークを外部から分離する従来のアーキテクチャとは異なり、SDPは各ユーザーとアクセスするリソースの間に1対1のネットワーク接続を動的に作成します。すべての不正なネットワークリソースにアクセスできません。

その名の通り、SDPはエンドユーザーデバイス、ゲートウェイ、コントローラ、またはサーバー上のソフトウェアに実装されています。SDP は、スタンドアロン製品 (データセンターでオンプレミスで展開) またはサービス (クラウド上でホストされている) のいずれかとして展開することができます。

本稿では、サービスとして配信されるクラウドSDPに焦点を当てます。

1 セキュリティの強化


SDPは、データアクセスを厳格に制御し、企業ネットワークへの攻撃対象とリスクを軽減します。

ネットワーク中心 vs. ゼロトラスト

ネットワーク中心のセキュリティモデルに依存していることが、おそらくVPNのセキュリティ上の制限事項です。リモートユーザが認証されると、そのユーザは信頼されているとみなされます。その結果、VPN アクセスは過度に寛容なものとなり、リモートワーカーは自分のタスクを完了するために必要以上のネットワークへのアクセスを許可されてしまいます。ネットワークリソースは不必要に見え、過度に脆弱で、攻撃を受けやすい状態になってしまいます。

一方、ソフトウェアで定義された境界線は、各ユーザ・デバイスにカスタム・ポリシーを適用する、アイデンティティ・ベースのゼロ・トラスト・アプローチを採用しています。各接続は信頼されていないものとして扱われるため、継続的に検証されます。ユーザーには固有の固定されたアイデンティティがあり、IT 管理者は、ユーザーとアクセスする必要のあるリソースとの間の 1 対 1 の接続を許可する必要があります。許可されていないネットワークリソースはすべて、単に目に見えないものです。

DDoS攻撃への曝露

従来の VPN ゲートウェイは、偵察手法で発見され、分散型 DoS (DDoS) 攻撃の犠牲になる可能性があります。オンプレミスの SDP ソリューション、あるいはクラウド型 SDP を利用すれば、基本的に偵察攻撃を無効にすることができます。

アクセス機能

IDベースのセキュリティに加えて、SDPソリューションの中には、拡張機能、つまりフォレスター社が「次世代アクセス(NGA)機能」と呼んでいる機能を提供するものがあります。

  • アクセスとユーザーの行動の相関関係。例えば、アイデンティティベースのネットワーク技術を用いたパケットレベルでのユーザおよび/またはデバイスの継続的な認証および検証。
  • 多要素認証 – アクセスの脅威を減らすために
  • シングルサインオン(SSO) – ID管理の一元化

 

VPN の過度に寛容なアクセスとは異なり、SDP は、識別ベースの制限付きアクセスを強制します。ここでは、従業員 A はデータセンターにある 1 つのアプリケーションとクラウドにある 1 つのアプリケーションにアクセスできますが、従業員 B は HQ にある 1 つのアプリケーションにしかアクセスできないことがわかります。

2 複数のアプリケーションとクラウドへの同時アクセス


VPNはハイブリッドクラウドや分散型クラウドコンピューティングのために設計されたものではありません。リモートで仕事をしている営業マンが、データセンターにある製造システム、AWS上にホストされているサプライチェーンアプリ、Azure上にホストされているCRMシステムへのアクセスを必要とすることは珍しくありません。

このようなマルチアプリ、マルチクラウドアクセスを促進することは、多くのユーザーにとってVPNではそれほど簡単なことではありません。リモート・ユーザーのトラフィックを本社経由でバックホールして、関連するパブリック・クラウドに送り返すだけでは意味がありません。複数のパブリック・クラウドへのセキュアなアクセスを直接設定するという選択肢は、管理しきれません。

エンドユーザーの視点から見ると、VPNを使用して複数のアプリでリモート作業をすると、異なるリソースに接続したり切断したりという煩わしい作業が発生します。場合によっては、ユーザーは複数の VPN クライアントを切り替えなければならないこともあります。

対照的に、SDP アーキテクチャは本質的にマルチアプリ、マルチクラウド接続をサポートしており、クライアントは多くのアプリケーションとサービスエンドポイント間で暗号化されたトンネルを同時に確立して維持することができます。

新システムでは、どのデータセンターにあっても、それぞれのユーザーが必要とする特定のアプリケーションにしかアクセスできません。当社の各データセンターで VPN を管理するのに比べて、これは当社の IT チームとユーザーの両方にとって、はるかにシンプルで便利です。

 

3 簡易な管理


VPN 管理は、クラウドに移行する企業アプリケーションの数が増えれば増えるほど、複雑さを増していきます。クラウドの導入では、単一のクラウド・インスタンスだけで済むことはほとんどありません。多くのSaaSベンダーでは、IT部門は複数のクラウド・プロバイダーの数十、数百のインスタンスへのアクセスを提供しなければならず、すべてのインスタンスにVPNを導入、設定、保守する必要があります。

管理者がAWSとAzure上の200台のVPCに専用のVPN接続でアクセスできるようにする必要があるSaaS企業を考えてみましょう。各AWS VPCに仮想プライベートゲートウェイを設定するだけでなく、各オフィスの各ゲートウェイデバイスに対応する設定ファイルをインストールして管理する必要があります。これはすぐに管理の悪夢になってしまいます。

データセンターでは、状況はそれほど変わりません。VPNは、インターネットトラフィックを処理する外部ファイアウォールと、アクセス制御リストを管理する内部ファイアウォールの間に配置されることが多いです。一貫したセキュリティポリシーを維持するためには、これらのポリシーをデータセンター間で同期させる必要があります。

SDPは、多くのデータセンターやクラウドの導入において、劇的にシンプルな管理と管理のパラダイムを提供します。クラウドの管理コンソールを使用すると、管理者は、各ネットワークリソースをSDPプラットフォームに一旦オンボードしてから、すべてのポリシーをクラウドで一元管理することができるため、異なる場所にまたがって設定や同期を行う必要がなくなります。ロジックとセキュリティ定義はすべてSDPクラウドプラットフォームで行われるため、データセンターやVPCでのセットアップやメンテナンス、アップグレードはほとんど必要ありません。

同様に、新しいリモート従業員のオンボードは、VPNに比べてはるかに簡単です。管理者は、新しいユーザーの役割に基づいてセキュリティポリシーを割り当て、ユーザーのブラウザからアプリケーションにアクセスするためのリンクを送信したり、SDPクライアントをインストールしたりすることができます。

私たちは急速に成長していますが、このソリューションは堅牢で柔軟性があり、私たちと一緒に成長していくのに十分なものです。

4 エンドユーザー体験の向上


企業VPNを利用したことがある人にとっては、遅くて信頼できないパフォーマンスが一般的です。仕事で複数のデータセンターやクラウドインスタンスに複数のアプリケーションを使用している場合、リモートアプリケーションへの接続と切断を繰り返し行わなければならないため、パフォーマンスはさらに悪化します。

SDPを使用すると、ユーザー体験が劇的に向上します。まず、SDP クライアントは多数のアプリケーションへの同時接続を維持し、トラフィックを透過的に適切な宛先にルーティングします。そのため、ユーザーは場所に関係なく、複数のアプリケーションで同時に作業することができます。

クラウドベースのSDPソリューションでは、SDPゲートウェイ、つまりPoP(Point-of-Presence)のグローバルなプレゼンスを提供することで、レイテンシーを低減し、データのルーティングを最適化することができます。遠隔地のデータセンターやクラウドに接続する代わりに、ユーザーは最寄りのPoPに自動的に接続されるため、地理的な場所に関係なくパフォーマンスとサービス品質が向上します。

5 低コストでより優れたスケーラビリティ


企業VPNの導入と維持にかかる総所有コスト(TCO)は、拡張に伴って急速に上昇します。ファイアウォール VPN アプライアンス(仮想または物理)は高額になる可能性があり、データセンター、クラウドインスタンス、リモートユーザーの数が増加すると、企業は拡張性と成長をサポートするために追加の容量を購入しなければなりません。さらに、VPN デバイスの継続的な更新とメンテナンスが必要となり、IT 管理者の時間を浪費します。

それにもかかわらず、VPNの最大の隠れた代償は、エンドユーザーの技術サポートのためのIT/ヘルプデスクの時間であり、VPNクライアントソフトウェアのセットアップや設定、継続的なトラブルシューティングをカバーしています。

一方、SaaS型SDPソリューションは、サーバーやソフトウェアを追加することなく、需要が増加したときに瞬時に拡張することができます。グローバルなPoPのバックボーンを活用して、クラウドに展開されたSDPソリューションは、先行投資や継続的なメンテナンスを必要とせずに、数百万人の同時使用ユーザーにまでスケールアップすることができます。ITサポートなしで独立してインストールできる、よりシンプルなSDPクライアントを提供し、場合によっては、管理されていないBYODを持つ請負業者のような一時的なリモートワーカーのためのクライアントレスオプションも提供します。

まとめ: 従来のVPNとSDPの比較

SPDVPN
データへのアクセス信頼性ゼロ信頼性の高いネットワーク設計
アクセス権限継続的な評価者による粒度の高いユーザー/リソースへのアクセスネットワークアクセス権限
攻撃に対する脆弱性企業のトポロジーを非表示にするインターネットへのゲートウェイの公開
他のセキュリティサービスとの統合統合済みのセキュリティサービス既存/新サービスとの統合が複雑
エンドユーザー体験卓越した中途半端な
サービスの提供サービスとしてのソフトウェア(SaaS)アプライアンス、サイト間の複雑なメッシュ化、高可用性

 

次のステップへ – VPNからSDPへ

VPNからソフトウェアで定義された境界線ソリューションへの移行には、ITインフラストラクチャの全面的なオーバーホールは必要ありません。実際には、オーバーホールは全く必要ありません。

Meta Networksでは、ネットワークインフラやアプリケーションを変更することなく、GoogleのBeyondCorpのアプローチをソフトウェアで定義された境界線に採用することができます。リモート/モバイルの従業員、パートナー、請負業者、顧客に、特定のWebアプリケーションやレガシーアプリケーションへの便利できめ細かなアクセスを提供することができ、従来のVPNを使用しなくても、より強固なセキュリティを実現できます。

コメント

タイトルとURLをコピーしました