2020年10月、企業ネットワーキングとセキュリティの未来に向けた当社のビジョンである、Cloudflare Oneを導入しました。それ以来、このプラットフォームを強化することに焦点を絞ってきました。本日は、その中でも基盤として最も重要な役割を担う、Magic WANとMagic Firewallの2つを発表します。Magic WANは、企業ネットワーク全体に安全で高性能な接続とルーティングを提供し、コストを抑え、運用の複雑さを軽減します。Magic FirewallはMagic WANに滞りなく統合されるため、ネットワーク内の任意のエンティティからのトラフィックに対し、エッジでネットワークファイアウォールポリシーを適用できます。
従来のネットワークアーキテクチャでは、今日の問題を解決できない
企業ネットワークは、従来、わずかなモデルの中から1つを採用してきました。これらのモデルは、オフィスとデータセンター間の安全な情報フローを確保するもので、インターネットへのアクセスはオフィスの境界で厳重に封鎖され、管理されてきました。アプリケーションがクラウドに移行し、従業員がオフィス外に出ると、これらの設計は機能しなくなり、VPNボックスなどの応急措置的なソリューションでは、エンタープライズネットワークアーキテクチャの主要な問題を解決しきれなくなりました。
接続面では、フルメッシュMPLS(マルチプロトコルラベルスイッチング)ネットワークは、導入にコストと時間がかかり、保守は難しく、スケールは極めて困難で、多くの場合、可視性に大きなギャップがあります。他のアーキテクチャでは、トラフィックの送信元に送り返す前に、中央ロケーションまでトラフィックをバックホールする必要があります。これにより、許容できない遅延のペナルティが発生し、実際に使うかではなく最大容量を得るためだけに高価なハブハードウェアを購入することを余儀なくされました。また、お話したほとんどのお客様は、両者の欠点を前に、苦労を強いられていました。管理が不可能なアーキテクチャの組み合わせが、数年または数十年にわたって引き継がれてきたのです。セキュリティアーキテクトもまた、これらのモデルに悪戦苦闘していました。異なるベンダーのセキュリティハードウェアボックスのスタックをつなぎ合わせ、ネットワークの成長に合わせてコスト、パフォーマンス、セキュリティをやりくりしなくてはなりません。
ネットワーク境界をエッジに移動し、サービスとしてセキュリティを確保
Magic WANを使用することで、トラフィックの送信元(つまり、データセンター、オフィス、デバイス、クラウドプロパティなど)からCloudflareのネットワークに安全に接続し、ルーティングポリシーを構成して、1つのSaaSソリューション内で必要な場所にビットを届けられるようになります。MPLSの費用やリードタイムも、トラフィックの「トロンボーン現象」によるパフォーマンス上のペナルティも、レガシーソリューションの問題を管理する悪夢もなくなります。代わりに、Cloudflareの世界的なエニーキャストネットワークを拡張環境として使用し、パフォーマンスと可視性を得ることができます。
トラフィックがCloudflareに接続されたとき、ネットワーク内のどのエンティティが相互に通信できるか、またはインターネットと通信できるかを、貴社ではどのように制御していますか?Magic Firewallの出番はここからです。Magic Firewallを使用すると、ネットワーク全体で、すべてサービスとしてのエッジでポリシーを一元管理できます。Magic Firewallを使用することにより、ネットワーク内に存在する、またはネットワークに出入りできるデータをきめ細かく制御できます。さらに良いことに、1つのダッシュボードで、ネットワーク内のトラフィックがどのように流れているかを正確に把握できます。
Magic WANは、Cloudflare Oneに含まれる多彩な機能の基盤となります。これらはすべて、基礎からすべてソフトウェア上で構築されているため、円滑にスケール、統合されます。Magic FirewallはMagic WANに同梱され、すぐに利用可能で、お客様はSWGリモートブラウザを分離することで、IDS、スマートルーティングなど、追加のゼロトラストセキュリティ機能やパフォーマンス機能を簡単に有効化できます。
クラウド環境の普及が大きく進んだことに加え、テレワークへの移行により、インターネット、SaaS、IaaSトラフィックが増加し、MPLSなどの従来のネットワークアーキテクチャに負担がかかるようになっています。グローバル規模で統合されたエンタープライズネットワークセキュリティ機能、リモートユーザーに安全な直接接続を提供するWANアーキテクチャは、運用アジリティの向上と総所有コストの削減を目指す組織にとって鍵となります。
—IDC社のWWテレコム、仮想化、CDN部門のリサーチバイスプレジデント、Ghassan Abdo氏
具体的にはどのように機能するのでしょう?デモ用の顧客であるAcme Corpで、Magic WANおよびMagic Firewallを使用して、エンタープライズネットワークとセキュリティの問題を解決する方法をいくつか見てみましょう。
支社オフィスとデータセンター間のMPLSを置き換える
現在、Acme Corpは世界各地にオフィスを構えており、各オフィスは地域のデータセンターとMPLSで相互に接続されています。企業アプリケーションとセキュリティを維持するためのハードウェアボックスのスタックをホストする各データセンターには、他のデータセンターへの専用回線接続が少なくとも1本配備されています。また、Acmeは一部のアプリケーションをクラウドに移行しており、データセンターからクラウドプロバイダーへの直接接続を確立し、セキュリティと信頼性を向上させる計画です。
Acmeの成長に伴って、ネットワークチームで常に付きまとう課題の1つが、MPLS接続の管理と維持です。コストがかかり、導入には長い準備期間が必要なため、新しい拠点(特に国外)への進出や、買収によって追加されたサポートオフィスのサポートなどの面で、Acme社の展開スピードに影響が及んでいます。クラウドプロバイダーやSaaSアプリに接続するAcmeのオフィスの従業員は、遅延に不満を感じています。これはトラフィックが宛先に送信される前、ハードウェアボックスのスタックを通じて強制されるセキュリティポリシーのため、Acmeデータセンター上でトラフィックが戻ることが原因です。また、IPテレフォニーやビデオ会議などのオフィス間のトラフィックには、セキュリティポリシーが適用されず、Acmeのセキュリティ体制にギャップが生じています。
コンピューティングとストレージのためにクラウドへの移行に取り組んでいるのと同じように、Acmeはこれらのプライベートリンクから移行し、代わりにインターネットを安全に活用して接続できるようにしたいと考えています。同社では、インターネットを介し、フルメッシュ化されたサイト間IPsec VPNトンネルの確立を検討しましたが、その複雑さと異種ルータの配置から、ネットワークチームにとって大きな負担となりました。Magic WANは、ネットワーク管理を簡素化し、パフォーマンス上のメリットを即座に実現するとともに、AcmeがMPLSから段階的に移行できるようにします。
Magic WANを使用したこのデプロイ例では、Acmeは各オフィスとVPCをエニーキャストGREトンネルを使用してCloudflareに接続します。このアーキテクチャでは、Acme社はCloudflareのグローバルネットワーク(世界中で100か国以上、200都市以上)への接続を自動的に受信するために、ハブとスポークアーキテクチャのように、サイト/インターネット接続ごとに単一のトンネルを設定するのみです。ただし、ハブはあらゆる場所にあります。Acme社はまた、Cloudflareネットワーク相互接続でデータセンターから専用のプライベート接続を確立することにしました。これにより、Cloudflareの高度に相互接続されたネットワークを通じ、より安全で信頼できるトラフィックを実現し、他のネットワーク/クラウドプロバイダーとも接続できるようになりました。
これらのトンネルが確立されると、Acmeはプライベートネットワーク(RFC 1918スペース)内のトラフィックに対して許可されたルートを構成でき、Cloudflareは必要なトラフィックを必要な方向へ向かわせ、さらに回復力とトラフィックの最適化をもたらします。わずか数時間で完了する簡単なセットアッププロセスとともに、Acme CorpはMPLSから離れたところで移行を開始できます。また、QoSやArgo for Networksなどの新しいCloudflare One機能が導入されるに従い、Acmeのネットワークパフォーマンスと信頼性は引き続き向上していきます。
リモートで勤務する従業員によるプライベートネットワークへの安全なアクセスを実現
コロナウイルス感染症の世界的流行により、Acme Corpの従業員は昨年、突然リモート作業に移行することになりました。その際、AcmeのIT部門は、社内のリソースへのアクセスを維持するため、大慌てで短期的な対処策を探しました。従来のVPNは停止されませんでした。アプライアンスは設計上の限界を超え酷使されたため、自宅から勤務するAcmeの従業員は、接続性、信頼性、パフォーマンスの問題に苦しみました。
ご安心ください。より良いソリューションがあります!Acme CorpではCloudflare for TeamsとMagic WANを組み合わせて使用することで、従業員がどこにいても、自身のデバイスから、プライベートネットワークの背後にあるリソースに安全な方法でアクセスできます。Acmeの従業員は、自分のデバイスにWARPクライアントをインストールしてCloudflareネットワークにトラフィックを送信します。Cloudflareネットワークでは、トラフィックは認証され、データセンター、あるいは、GREトンネル(前例を参照)、Argo Tunnel、Cloudflare Network Interconnect、またはIPSec(近日公開)経由でCloudflareに接続されているVPCのプライベートリソースにルーティングされます。このアーキテクチャは、Acmeが従来のVPNで経験したパフォーマンスと容量の問題を解決します。単一のチョークポイントデバイスを介してすべてのトラフィックを送信するのではなく、エッジでポリシーが適用される最も近いCloudflareロケーションにルーティングされ、その後、最適化されたパスを通って宛先へ送信されます。
Acme Corpの従業員デバイス、データセンター、およびオフィスからのトラフィックも、Magic Firewallによってポリシーが適用され、すべての「入口」において、強力できめ細かいポリシー制御を強制できます。従業員が携帯電話とノートパソコンから接続する場合でも、Acmeのオフィスで作業している場合でも、同じポリシーを同じ場所に適用できます。これにより構成がシンプルになり、AcmeのITチームとセキュリティチームはCloudflareダッシュボードにログインしてポリシーを1か所で確認および制御できるようにり、可視性が向上します。これは、さまざまなVPN、ファイアウォール、クラウドサービス全体に広がる従業員アクセスを管理する場合と比べて、大きな違いを生み出します。
このソリューションにより、AcmeはVPN、ファイアウォール、セキュリティで保護されたWebゲートウェイアプライアンスから離れられるため、パフォーマンスが向上し、従業員が作業している場所からのトラフィック全体にわたるポリシー管理が容易になります。
ネットワーク機能とセキュリティ機能をエッジに移行する
従来、Acmeは、物理的なオフィスやデータセンターにあるハードウェアアプライアンスのスタックを信頼して、ネットワークセキュリティを強化し、ネットワーク上で何が起こっているのかを可視化していました。インバウンドトラフィックまたはアウトバウンドトラフィックを検査する専用のファイアウォール、侵入検知システム、およびSIEMです。組織がクラウドに移行し、リモートワークの未来を再考する中、Acmeのセキュリティチームでは、従来の「城と堀」型のアーキテクチャで実現できていたものを超えて、セキュリティを向上させる持続可能なソリューションを模索しています。
ここまで、Acmeがオフィス、データセンター、クラウドプロパティ、デバイスからのトラフィックをCloudflareのネットワークに送信するようにMagic WANを構成する方法について説明してきました。このトラフィックがCloudflareを通過すると、オンプレミスのセキュリティハードウェアを補強または交換するためのアクセス制御とフィルタリング機能を簡単に追加でき、これらはすべて、一元的に提供および管理されます。
Magic Firewallを使用することで、支社のオフィスやデータセンターに設置した役に立たない箱に代わり、エッジで動作する、単一のサービスとしてのファイアウォールがお客様に提供されます。Magic Firewallを使用すると、構成を簡単に管理できるだけでなく、コンプライアンスの監査も簡素化されます。
アクセスを制御するために、お客様は、どのトラフィックの行き先を厳密に決定するポリシーを設定できます。たとえば、Acmeは、トラフィックがインターネットからポート80および443を通ってデータセンター内のWebサーバーに入るのを許可し、支社オフィス内の特定のプライベートネットワークへのSSHアクセスは遮断したいとします。
Acmeがネットワークの遮断をさらに進めたい場合は、AccessとGatewayを使用して、ゼロトラストアクセスモデルを適用し、Cloudflareネットワークを流れるすべてのトラフィックで、誰が何をどのように実行できるかを制御できます。今後、CloudflareがIDS/IPSおよびDLPソリューションのような新しいフィルタリングおよび制御機能をリリースするにつれて、Acmeは数回のクリックでセキュリティをさらに強化することができます。
Acmeの長期目標は、すべてのセキュリティ機能とパフォーマンス機能をサービスとして消費するクラウドに移行することです。Magic WANにより、この移行の円滑なパスが可能になり、レガシーハードウェアを廃棄する際にセキュリティ体制を徐々に深めることができます。
デジタルトランスフォーメーションを従来のネットワークアーキテクチャで行うことが困難で、後付けのセキュリティプラクティスが普及しましたが、これらは今日のグローバル企業のニーズを満たせられるものではありません。より多くのインテリジェンスがエッジに移行するにつれて、企業はクラウドが提供する幅広い内蔵型セキュリティサービスを提供する最新のWANテクノロジーを活用する必要があります。堅牢なセキュリティを備えた高速エッジグローバル接続は、今日の企業が本当に求めているものです。
—IDC社のサイバーセキュリティ製品部門のリサーチマネージャー、Christopher Rodriguez氏
自社ネットワークの延長としてのCloudflareネットワーク
当社の多くの製品と同様に、Cloudflare Oneは、自社ネットワークの拡大と安全確保において経験した問題に対するソリューションのコレクションとしてスタートしました。Magic WANとMagic Firewallにより、過去10年間にわたってアーキテクチャに関する慎重な決定を下してきたメリットをお客様にご提供できます。
- グローバルスケールとアイボ―ルネットワーク:オフィス、データセンター、ユーザーがどこにいても、私たちはすぐ近くにいます。当社では、CDN事業により、アイボ―ルネットワークの優れた接続を確立するために尽力してきました。これは、自宅からネットワークへの優れた接続性を必要とするリモートワーカーに大いに役立ちました。また、オンプレミスのアプライアンスで悪意のあるトラフィックが制限された容量をひっ迫させるリスクを冒すのではなく、ソースに近いエッジで脅威を阻止できることを意味します。
- ハードウェアとキャリアに左右されない:接続には現在所有しているハードウェアをすべて使用して、当社の多様な通信事業者の接続によって得られる回復力のメリットを活用できます。
- 一緒に取り組むために、ゼロから構築:簡単に統合するため、製品は一からソフトウェア上で開発されました。私たちは、製品の創出と進化につれ、お互いをより良くするためにどのように統合できるかについて常に考えています。
今すぐ始めましょう
Magic WANは限定ベータ版で提供され、Magic FirewallはすべてのMagic Transitのお客様にMagic WANと同梱の形で、一般公開されます。Magic WANのテストにご関心をお持ちの場合や、CloudflareがレガシーのMPLSアーキテクチャを置き換え、リモートワーカーが安全にアクセスし、セキュリティ体制を強化し、その一方で、総所有コストを削減する方法について詳しくご覧になるには、までお問い合わせください!