ジュニパーが128テクノロジー買収の完了を発表

クラウドサービス接続–ネットワークセキュリティの重要性

改訂システムロゴ
改訂システム
July 31, 2018

パトリック・ミーランピー
このブログはもともとに投稿されました Revationのブログ.

ネットワーキング会社のCOOおよび共同創設者として、私はよく尋ねられます。 ネットワークセキュリティー クラウドベースのサービスの実践?」 簡単な答えはありません。 多くのクラウドサービス製品は、導入ごとに顧客のセキュリティチームやネットワーキングチームと交渉する必要があるため、実装に数か月かかります。

ただし、ここで説明できるのは、これらのサービスがXNUMXつのタイプのサービスに分類されることです。それは、単純なアウトバウンドブラウザーベースのサービスと、複雑なマルチプロトコルサービスです。

シンプルなサービス

Salesforce.comやOffice365などの単純な送信サービスの場合、最良のオプションはインターネット経由で直接ルーティングすることです。 マイクロソフトはサービスの100%安全性について非常に率直であり、ファイアウォールを介してこのトラフィックを実行してもセキュリティ上の利点はありません。 実際、ファイアウォールと送信プロキシは、Office 365の機能、特にSkype for Businessまたはマルチメディア拡張機能を妨害することがよくあります。 したがって、効率的に運用するために、エッジネットワーキング機器には、どのトラフィックがステートフルファイアウォールを通過し、どのトラフィックが直接インターネットに送信できるかを知るインテリジェンスが必要です。 この種のインテリジェンスは、ハードウェアルーターには存在しません。 したがって、シンプルなSaaSアプリケーションのベストプラクティスは、特定のクラウドサービスを識別してインターネット経由で直接ルーティングできるルーターを使用することです。

残念ながら、このベストプラクティスはほとんどの企業のセキュリティポリシーと矛盾しています。 インターネットにアクセスする内部の従業員に対して、組織はすべてのトラフィックに対して発信プロキシを義務付けています。これはクラウドサービスプロバイダーがサービス提供に不必要であり、おそらく有害であると言っています。 企業の強化されたセキュリティポリシーを変更することは困難であり、数か月または数年で測定すると、かなりの時間がかかる可能性があります。

大規模なお客様のXNUMX番目のオプションは、クラウドサービスへの何らかの「直接接続」を確立することです。トンネルは、エクイニクスやAWSなどの主要なデータセンターを介して「出会い」を確立するためのトンネルです。 これには、WANエンジニアリング、IKEを使用したIPSecトンネル、ルーターの展開、BGP構成、テストなど、多くの手順が含まれます。 最終的には、SaaSプロバイダーのネットワークへの完全な双方向接続が作成されます。この接続は、ACLとリバースパス転送保護で慎重に保護する必要があります。 ほとんどの場合、これには非常に長い時間がかかります。

複雑なサービス

複数のプロトコルを持つサービスの場合、次のような多くの問題があるため、実際に利用できるベストプラクティスはありません。

  • –非HTTPSトラフィック—アウトバウンドプロキシオプションなし
  • –マルチメディアトラフィック要件(QoS)
  • –ネットワーク側で動的に変化する多数のIPアドレス
  • –顧客側の多数のユーザー
  •  

これらのタイプのサービスに対する最新のソリューションは、プライベートリンク/ MPLSタイプの接続でした。これは高価であり、実装に数か月かかる場合があります。 このタイプのソリューションには一貫性のあるアドレススペースが必要です。つまり、サービスプロバイダーは顧客ごとにまったく異なる機器とリソースのセットを確立する必要があり、コストが増加します。 また、プロセスにはXNUMXか月からXNUMXか月かかる可能性があるため、調査、制御(ACL)の適用、および監視を必要とするSaaSネットワークへのネットワークのブリッジングについて懸念があります。

一部のマルチメディアサービスは、インターネットをそのまま使用しようとします。 これは在宅勤務ネットワークまたは非常に小規模なオフィスで効果的ですが、中規模または大規模のブランチオフィスでは、次の理由により、一貫して失敗する傾向があります。

  • –アウトバウンドセキュリティスクラビングのためのデータセンターへのバックホール
  • –混雑したインターネット接続
  • –遅延を追加するセキュリティスクラバー

必要なのは新しい種類のソリューションです。 改訂 世界で最初に使用した会社でした セッションスマート™ クラウドベースのサービスを接続するソフトウェア 改訂LinkLive、顧客構内へ。 改訂開発者は、Session Live™ソフトウェアを既存の製品に組み込んで、LinkLiveオファリングの作成を支援しました。 LinkLiveのSession Smartテクノロジーの使用により、次の問題が解決されます。

  • –顧客のアドレス空間とローカルの変更を分離します
  • –クラウドサーバーのアドレス空間とローカルの変更を分離します
  • –IPアドレスの数をXNUMXつに減らします
  • –プロトコルの数をXNUMXつに減らします
  • –ポートの数をXNUMXつに減らします
  • –すべてのアプリケーションセッションで認証を提供します
  • –必要に応じて暗号化を提供します
  • –サービスプロバイダーにリアルタイムのパフォーマンス測定を提供します
  • –直接接続やMPLSは必要ありません
  • –トンネルに依存しません

このソリューションでは、顧客はすべてのセキュリティ機器を変更せずに引き続き使用し、セキュリティ担当者は、時間の経過とともに変化しない限られた一連の要件に対処するだけで済みます。 Session Smartソフトウェアのインテリジェントな動作により、発信プロキシの使用が停止され、音声品質が大幅に向上します。 Session Smart™ソフトウェアは、セッションごとの認証もサポートします。この認証では、すべての固有のアプリケーションセッションが署名され、チェックされます。これは、今日のネットワークでは行われません。 さらに、Revationは、すべての一意のマルチメディアセッションに個別のポートアドレスを要求することで、ルーティングされたネットワークが、何らかの形のトンネルや集約を使用するよりもはるかに優れた品質を提供することを発見しました。

このタイプの接続を使用して、RevationのLinkLiveは、ソリューションのあらゆる側面について、PCI準拠、FIPS 140-2認定、HIPAA準拠を主張できます。 また、Revationのサポートチームがクラウドの場所と顧客の構内との間で発生しているネットワークの問題を非常にインテリジェントでリアルタイムな方法で理解するのにも役立ちます。

先入観がありますが、上記の理由から、セッションスマートテクノロジーをクラウドサービスに追加することをお勧めします。 導入期間が桁違いに短縮され、サービスが顧客の敷地内でどのように機能しているかについての洞察が得られます。 複雑さを排除し、コストを大幅に削減します。 別の言い方をすると、Revationが行ったことを実行します。

Patrick MeLampyは、128 TechnologyのCOOおよび共同創設者です。
改訂システム 128テクノロジーの顧客です。

Revationが128テクノロジーにどのように依存しているかをご覧ください。

クラウドサービスの接続性–ネットワークセキュリティの重要性–128テクノロジー