佐藤です。いつまでVPNの運用をすれば良いかお悩みです。
閉域網へアクセスするためのVPN
閉域網へのアクセスをしたいとなれば、VPNルータを用意すると思います。 理由はいくつかありますが、閉域網への通信経路を暗号化して安全に通信するため、 また、特定のユーザー、クライアントを認証してから、外部からのアクセスする手段を提供するためが主な理由と思います。
VPNの運用はつらい
しかし、VPNの運用は大変です。 接続するユーザーの最大数に合わせて、物理的な機器とライセンスを用意する必要があります。 また、通常のVPNルータでは基本的にL3レベルまでのネットワーク制御を行うため、クライアントからの通信がすべて閉域網に流れ、ネットワークの増強も合わせて必要になります。 信頼されているユーザーであるかは、証明書を配布することによって担保され、証明書期限に合わせて更新する作業も必要になります。 つまり、運用は大変です。
VPNだから安全?
VPNを導入したからと言って、外部からのアクセスが安全にできると断言することは難しいです。 閉域網内に機密情報があるのではなく、SaaS上、例えばBoxに機密情報があるのであれば、VPNを必要とせず仕事ができるようになります。 その場合、閉域網内で担保しているセキュリティ、例えばプロキシを経由せず仕事もすることができます。 セキュリティポリシーを一貫して担保したい情シスはSaaS側にIP制限をしようと考えますが、それではVPNの運用負荷は楽にはなりません。 今後SaaSのみを利用して業務がすべて行われればVPNは不要になりますが、そう簡単ではありません。
すぐにはSaaSへの移行はできない
閉域網内にシステムを一度でも構築した環境では、閉域網が提供する最大の機能「ネットワーク内が安全」でという前提から逃れることが困難です。 SaaSを推進しようにも、オンプレミスのシステムと同時に展開していくと閉域網の物理的な制約と常に戦い続けます。 この過渡期をVPNという選択肢で戦うのではなく、Software-Defined Perimeter(SDP)のフレームワークに基づいた製品を導入することを選択肢に入れることで、柔軟なネットワーク設計ができるようになります。
Software-Defined Perimeter(SDP)って?
SDPは「境界線(Perimeter)をソフトウェア上、IaaSで構築することができ、コントラストで集中的に制御し、アクセス制御に関わる設定を柔軟に動的に変更して安全にデータを転送する」技術のことです。 IaaS上で構築できるため、キャパシティの増減が行い易くなります。 また、システムがAWSにあっても、オンプレミスであっても、アクセス先となるゲートウェイを複数配置できるためハイブリッドクラウド環境にも適しています。
– 引用:https://procureadvisor.com/the-definitive-guide-to-software-defined-perimeter/
AppGateSDPとは?
SDPを取り入れている製品として、Cyxtera(シクステラ)社が提供している「AppGateSDP」という製品があります。 このSDPの考えで、最大のメリットは、コントローラーで複数のゲートウェイを構築することができ、コントローラーでユーザーのアクセスを認証する場合には、IdPと連携することができます。 これによってSaaSへのアクセスの認証基盤と閉域網へのアクセスを1つのID、セキュリティポリシーで統一することができます。AppGateSDPはそれを実現できる製品です。
– Cyxtera 製品サイト : https://www.cyxtera.com/cybersecurity/software-defined-perimeter
– 引用: https://www.techmatrix.co.jp/product/appgate/
さらに柔軟なアクセス
認証認可のメリットだけではないです。 VPNではL3レベルでのネットワーク制御となりますが、AppGateSDPでは、ドメイン単位、例えばbox.comの通信のみはゲートウェイを通過するようにできます。 その他のSaaSへの通信は端末からそのままインターネットへ抜けることができます。 つまりは、L7レベルの通信制御をコントローラーで中央集約して管理するすることができます。 この機能を利用すれば、閉域網への通信トラフィックを最小限に抑えることもできます。
– 引用:https://www.techmatrix.co.jp/product/appgate/
おわりに
VPNの保守切れ対応に合わせて、SDPの考えを取り入れた製品を検討するなどが現実的ではないかと考えます。 SDPを取り入れている製品を徐々に組み合わせていくことによって、さらにネットワークは柔軟にすることができると思います。