見出し画像

VPNからゼロトラストへの移行する

本記事ではVPNからゼロトラストへの移行について背景や使うべきソリューションを含めて、詳しく解説しています。

尚、ゼロトラストの原理・原則についてはこちらをご覧ください。

VPNでは出来ない事が悩みのタネ

これまでリモートワークと常駐で、複数の企業を支援していることもあり、常駐で支援していた大企業で在宅ワークが始まっても、コミュニケーションやプロセスは大きな問題はなく進めることができました。幸い、支援先で一斉に在宅ワークを始める前にVPNサーバをスケールアウトしていただいたので、よく言われている通信の遅さは感じずに済んでいます。が、顕著に現れたつらみは、ネットワークの変化でできなくなったことが多発したことでした。

・大規模なWANで、典型的な境界モデル
  多数の拠点とデータセンター
  多層の境界で区切られている
・作業用のPCは2種類
  コミュニケーション用のインターネットに接続できるもの
  開発用のair gap環境に接続できるもの

在宅ワークでは、インターネット接続できるPCを持ち帰り、VPN接続を切り替えてそれぞれの作業を進めるルールになりました。もともと「多数の拠点とデータセンターが、多層の境界で区切られている」構成をつくるために、通信のルールはかなり複雑に作り込まれ、秘伝のタレ化している状況です。

複雑な構成にVPN接続でのネットワークが追加されているため、境界内のネットワークでは通っていた通信が、VPNでは通らないものが多数出てきました。コミュニケーション用だったPCを開発用途に使うため、ツールや設定も新たに構築が必要です。OSも違うのでけっこうな数になります。できなくなったことを、できるようにする時間は価値を生みません。

ここでは、通信の遅さや複雑化したネットワーク構成を乗り越えて生産性を向上するために、境界モデルにVPNをもちいた構成からゼロトラストネットワークへの移行方法を考えてみます。

なぜゼロトラストが必要なのか?

ゼロトラストなアプローチでは、あらゆるセッションを検証します。
「誰が」「どんな状態のどの端末」で「いつ」「どこのネットワーク」から「どのアプリケーション」にアクセスするセッションなのかの情報から、動的にリスクを計算して、通信の可否を判断します。

これらすべてを自前で構築することは現実的ではないので、クラウドサービスを利用します。VPNからの移行で考えると、VPN経由でアクセスしているアプリケーションをクラウドサービスからアクセスできるように公開。名前解決でクラウドサービス上のAccess Proxyを必ず経由するように設定し、Access Proxyから、対象アプリケーションにリクエストを転送させます。Access Proxyでは大量のトラフィックをさばくことになるので、この通信をクラウドサービスにオフロードできるのもメリットです。

httpでアクセスするアプリケーション以外でVPNの用途を考えると、ドキュメントを管理するために共有フォルダへのアクセス、メンテナンス作業のためにサーバへのssh接続、リモートデスクトップ接続などがありますが、それぞれをhttpでアクセスするアプリケーションに置き換えるか経由させるようにすれば、同じアクセス制御のしくみに載せることができそうです。

・共有フォルダ
  → GoogleDrive / OneDrive や Nextcloud
・ssh接続
  → Apache Guacamole や code-server terminal
・RDP接続
  → Apache Guacamole や RD Gateway

GCPを利用する場合

「誰が」をCloud Identity、「どんな状態のどの端末で」をEndpoint Verification、「Access Proxy」をCloud Identity-Aware Proxy、「動的なリスク計算」と「通信可否の判断」をAccess Context Manager、「クラウドサービスと社内の接続」をCloud Interconnect として組み合わせます。

ゼロトラストなアプローチに必要な要素は、BeyondCorp Remote Access や Context Aware Access というコンセプトでまとめられています。

Azureを利用する場合

「誰が」をAzure AD、「どんな状態のどの端末で」をMicrosoft Intune、「Access Proxy」と「動的なリスク計算」、「通信可否の判断」をAzure AD 条件付きアクセス、「クラウドサービスと社内の接続」をAzure AD Application Proxy として組み合わせます。

ゼロトラストなアプローチに必要な要素は、ほとんどがAzure ADの機能としてまとまめられています。

ゼロトラストへの段階的な移行

技術的に移行が可能だとしても、多数の資産を抱えている企業が、一気に乗り換えることはできません。効果やコスト、期間などから、どこを落とし所にするか、どんな段階を踏んで進めるかを考える必要があります。

GoogleでもBeyondCorpを適用したときは、通信をキャプチャして、安全性を確認しながら、段階的に移行したそうです。データマネジメントでのデータアーキテクチャなどを参考に、対象の組織 / アプリケーション / データ を絞って、小さく早く移行の段階を進めていきたいですね。

ゼロトラスト自体により関心がある方は、ゼロトラストの原理・原則について記載したホワイトペーパーがあるので、そちらをご覧ください。


この記事が気に入ったらサポートをしてみませんか?