ブログ

パブリック クラウド アプリケーション (SaaS) にプライベートにアクセスする

F5 サムネイル
F5
2019年11月4日公開

組織が、運用の安定性、コストの透明性、動的なスケール、俊敏性を確保しながら、ソフトウェアを活用するためのより動的で柔軟な方法を模索する中、SaaS (Software as a Service) の提供は、あらゆる業界でますます普及しつつあります。

ただし、サードパーティが提供するアプリケーションに到達する前に、ユーザーがアクセスできるようにするために、ネットワーク接続、ストレージ、コンピューティング (インフラ レイヤー内)、仮想化、オペレーティング システム、ミドルウェア、ランタイムなど、サービス レイヤー内でアプリケーションを実行するために必要なすべてのコンポーネントを用意する必要があります。 そうして初めて、RBAC 構成、ユーザー管理、エンドユーザーへのアプリケーションの配布の領域に入ります。

SAAS1 1.0

また、上記のレイヤーの多くは機能内の基盤となるテクノロジーの統合と重複が見られますが、組織には通常、独自のプロセスを持つさまざまなチームがあり、それぞれのレイヤーを所有していることにも留意することが重要です。 多くの場合、各レイヤーでは複数のチームが活動しています。

この記事では、Thad Széll 氏 (UBS の著名なエンジニア) と Nuno Ferreira 氏 (Volterra のフィールド CTO) が、組織が既存の環境を危険にさらしたり汚染したりすることなく、リアルタイムで安全かつプライベートな方法で SaaS アプリケーションを導入できるようにするためのアイデアとイノベーションについて説明します。 彼らの焦点はMicrosoft Office 365から始まりました。a

ご存知のとおり、SaaS アプリケーションは一般にパブリック インターネット経由でアクセスされますが、ここで最初の一連の問題が発生します。 最初のインフラストラクチャの問題は、以前はアプリケーションが制御された主に静的なインフラストラクチャ上に存在していたのに対し、現在は極めて動的で特定のエンティティによって制御されていないインターネット経由でアクセスされるようになったという事実から生じています。

一部の SaaS プロバイダーは、組織がプライベートに接続するための専用回線 (Azure は ExpressRoute を提供) または VPN を提供する機能を備えています。 このようなメカニズムを導入するには、組織は少なくとも次のことを行う必要があります。

SaaS プロバイダーとピア (ネットワーク レベル) し、ルーティング関係を維持します。SaaS プロバイダーのパブリック IP アドレスを企業ネットワークに挿入/アドバタイズします。サービスをエクストラネットまたは DMZ として扱い、セグメンテーションとセキュリティのレベルをオーバーレイします。SaaS プロバイダーが顧客に VPN サービスのみを提供する場合は、この VPN を構築および維持するためのデバイスが必要です。 これらのテクノロジーではレイテンシーの問題は解決されないことに注意してください。

フォワード プロキシ/NAT デバイスを使用すると、セキュリティ上の懸念の一部を解決できますが、ルーティングの問題や、サードパーティのパブリック IP アドレスを企業ネットワークに挿入する必要性は解決されません。

さらに、SaaS プロバイダーは非常に動的であることが多く、広告されたアドレス、DNS 名、公開されたエンドポイントは定期的に変更されるため、ピアリング/インジェクション/広告とセキュリティ制御を維持するための運用メカニズムを導入する必要があります。

したがって、ルーティングを必要とせずにフォワード プロキシ/NAT を可能にするソリューションは、より洗練され、必要です。

Office 365 を例に挙げてみましょう。 Microsoft は Azure でクラウド フットプリントを拡大しており、Microsoft アプリケーション サービスは日々拡大しています。 このプラットフォームにより、大企業は ExpressRoute と呼ばれる Azure へのプライベート、専用、高速物理リンクを持つことができます。

したがって、Microsoft は、企業の従業員がこの専用のプライベート ExpressRoute 回線を介して Office 365 にアクセスできるようにすることで、上記の問題 (プライバシーと遅延に関する問題) に対処できます。

Office 365 用の ExpressRoute は、インターネットに接続された多くの Office 365 サービスへの代替ルーティング パスを提供します。 Office 365 向け ExpressRoute のアーキテクチャは、インターネット経由で既にアクセス可能な Office 365 サービスのパブリック IP プレフィックスをプロビジョニングされた ExpressRoute 回線にアドバタイズし、その後それらの IP プレフィックスをネットワークに再配布するというものです。 ExpressRoute を使用すると、Office 365 サービスに対してインターネットと ExpressRoute という複数の異なるルーティング パスを効果的に有効にできます。 ネットワーク上のルーティングのこの状態は、内部ネットワーク トポロジの設計とセキュリティ保護の方法に大きな変化をもたらす可能性があります。

まあ、それほどプライベートではないかもしれない。

以下の図はこのシナリオを表しています。

SAAS2 2015/03/13 15:00 更新

このアプローチは、ネットワーク チームとセキュリティ チームに 3 つの異なる課題をもたらします。

ネットワーク ルーティングと NAT エンタープライズ ネットワーク インフラストラクチャ チームは、ユーザーが優先パス (ExpressRoute 経由) をたどることができるように、パブリックにルーティング可能な IP スペースを企業ネットワークに挿入する必要があります。 さらに、企業ネットワークが Microsoft に公開されるのを防ぐために、ネットワーク チームはこの Microsoft ネットワークに対して NAT を実装する必要もあります。 これにより、Microsoft との BGP ピアリング (および NAT) を維持する運用上の複雑さが増すだけでなく、コア ネットワークにルートが挿入された専用回線とインターネットの両方を介してルーティングを利用できるネットワークの複雑さに対応するための慎重な計画も必要になります。 Office 365 のセキュリティ変更管理アドレスは随時変更されるため、これらの変更を企業の内部セキュリティとプロキシ インフラストラクチャに反映する必要があります。 これを行わないと、ExpressRoute 回線が有効になっているときに、Office 365 サービスへの接続が断続的または完全に失われる可能性があります。 Microsoft は、企業のセキュリティとガバナンスのポリシーを適用するために、エンタープライズ セキュリティおよびルーティング アプライアンスで構成し、継続的に更新する必要があるドメイン、IP アドレス、TCP/UDP ポートの一覧を示す包括的で定期的に更新されるドキュメント (および REST API) を提供しています。運用とセキュリティの可視性 NAT デバイスでは、アプリケーションへの可視性はほとんどありません。 では、何も十分ではないと思われたこのシナリオにどのようにアプローチしたのでしょうか?

当社は、複雑なネットワーク インフラストラクチャとセキュリティ ポリシーを管理する必要性を排除しながら、従業員に Office 365 および関連アプリケーション サービスにアクセスするための ExpressRoute 接続の利点を提供する優れたソリューションを開発しました。

Volterra の統合ネットワークおよびセキュリティ スタックには、このニーズに対応するためにプログラム可能なプロキシおよび負荷分散機能を備えたアプリケーション ルーターが含まれています。 これらの機能とは別に、Volterra は企業がゼロ トラスト セキュリティに進化するためのシンプルな方法を提供します。

大まかに言うと、エンタープライズには、Microsoft が Office 365 ルート/サービスを提供する ExpressRoute ルーターとピアリングする Volterra Application Gateway クラスターが存在します。 Volterra Application Gateway は、このルーターを介して Office 365 エンドポイントの自動検出を実行し、企業がそこから Office 365 サービスにアクセスできるようにします。 この革新により、オペレーターは、動的な構成をインフラストラクチャ上のルールに変換するための別のプロセスを管理する必要がなくなります。 Volterra ゲートウェイ自動検出イノベーションにより、クライアントはリクエストの宛先を継続的に変更することができ、ゲートウェイは受信したすべてのリクエストに対して自動検出と TLS 整合性をトリガーします。

ソリューションの 2 番目の部分は、企業ネットワーク内で Microsoft パブリック ルートをアドバタイズせずに、これらのサービスを企業ユーザーに公開することです。 これは 2 つの方法で実現できます。

最初の方法は、ExpressRoute 回線を介して Azure の Volterra Application Gateway クラスターから直接実行することです。 エンタープライズ ネットワークに注入される唯一の IP アドレスは、Azure の Volterra Application Gateway クラスターの IP アドレスであることに注意してください。 説明のために、ゲートウェイは Azure 内にあるとしていますが、次の 2 つの条件が満たされている限り、どこにでも配置できます。a. ユーザーはゲートウェイにアクセスしてトラフィックを送信できます(またはゲートウェイがそれを傍受します)。b. ゲートウェイは、Office 365 エンドポイントが配置され、検出可能な Express Route 回線に接続されています。 2 番目の方法は、企業敷地内 (およびプライベート DC) 内に 1 つ (または複数) の Volterra Application Gateway クラスターを追加することです。 次に、オンプレミスの Application Gateway クラスターで検出された Office365 エンドポイント サービスを公開するためのポリシーを構成します。 これらのエンドポイントは、Azure クラウドにある Volterra Application Gateway を介して検出されます (最初の部分で説明したとおり)。 さらに、企業の運用チームは、すべてのトラフィックを暗号化しながら、追加のセキュリティおよび認証ポリシーを構成できます。 以下の図はこれらのシナリオを表しています。

SAAS3 について
SAAS4 ...

Volterra Application Gateway クラスターには自動スケーリング機能も実装されており、1 つのゲートウェイが特定のしきい値を超えると、別のゲートウェイがスピンアップしてクラスターに追加されます。

エンタープライズ ネットワーク、セキュリティ、運用チームに大きなメリットをもたらす Volterra ソリューションのその他の機能は次のとおりです。

一元化されたポリシーと SaaS ベースの管理による運用の簡素化 プログラム可能なデータ プレーンによる統合プロキシ、セキュリティ、ルーティング アプリケーションの使用状況とアクセスに関するきめ細やかで豊富な可視性、ログ、メトリック 簡素化と運用の卓越性を実現することで、このソリューションは、UBS と同様の目標を達成しようとしている組織にとって真の答えであると考えています。UBS では、企業ネットワークを「パブリック ネットワークで利用可能にしたり、パブリック ネットワークの一部にしたり」することなく、Office 365 などの SaaS サービスへのプライベート アクセスを確実に使用できるようにします。