最高情報責任者(CIO)の世界は変化しました。今日の企業ネットワークは、わずか5年前、10年前と比べても全く異なるものになっています。こうした変化が、可視性とセキュリティにギャップが生じ、高コストと運用負担が発生し、ネットワークを脆弱にしています。
私たちは、CIOが明るい未来を手にすることができると楽観的に考えています。インターネットは、研究プロジェクトから企業が依存する不可欠なインフラへと進化しました。私たちは、より良いインターネットこそが、CIOが今日直面している最も困難な問題を解決する道であると信じています。Cloudflareは、より高速で、より安全で、より信頼性が高く、よりプライベートで、よりプログラマブルなインターネットの構築を支援し、それにより私たちのネットワーク上で企業が次世代ネットワークを構築できるようにしています。
今週は、Zero TrustのNetwork-as-a-Service(NaaS)であるCloudflare Oneが、CIOの企業ネットワーク変革にどのように貢献しているかをご紹介します。また、Cloudflareのプラットフォームの範囲を拡大し、CIOの既存および新たなニーズに対応する新機能も紹介します。しかし、この週に入る前に、私たちは未来の企業ネットワークに対するビジョンについて少し時間をかけて説明したいと思います。この説明によって、この分野でのチャンスに気付いたベンダーやアナリストが使用している言葉や略語が明確になり(そもそもZero Trust Network-as-a-Serviceとは何を意味しているのでしょうか)、当社の革新的なアプローチがどのようにして今日の真のCIOのためにこのビジョンを実現しているのか、その背景が明らかになることを期待しています。
第1世代:城と堀
企業のネットワークは長年、このような状況でした。
企業は、主要なオフィスの中や近くに物理的に配置されるデータセンターを建設したり、その中のスペースを借りたりしていました。データセンター内のサーバーで、電子メールサーバー、ERPシステム、CRMなどのビジネスアプリケーションをホストしていたのです。オフィスにいる従業員は、ローカルエリアネットワーク(LAN)または支社からのプライベートワイドエリアネットワーク(WAN)リンクを介して、それらのアプリケーションに接続していました。各データセンターには、ファイアウォールなど多数のセキュリティハードウェアが設置されており、出入りするすべてのトラフィックのセキュリティを確保していました。企業ネットワークに接続されたユーザーは、他の接続されたデバイスやホストされたアプリケーションへラテラル(横方向)に移動することができますが、基本的なネットワーク認証や従業員バッジシステムなどの物理的なセキュリティ管理により、信頼できないユーザーのアクセスを防ぐことができます。
ネットワークアーキテクチャスコアカード:第1世代
特徴
スコア
説明
セキュリティ
⭐⭐
すべてのトラフィックは、境界線上のセキュリティハードウェアを通過します。ネットワークへのアクセスは物理的に制限されています。横方向への移動は、ネットワーク上で一度だけ可能。
パフォーマンス
⭐⭐⭐
ユーザーやアプリケーションの大部分は、同じ建物や地域ネットワーク内に留まります。
信頼性
⭐⭐
専用のデータセンター、プライベートリンク、セキュリティハードウェアは、単一障害点となります。冗長性のあるリンクやハードウェアを購入するには、コスト面でのトレードオフがあります。
コスト
⭐⭐
プライベート接続とハードウェアは高額な資本支出であり、小規模企業や新規企業にとっては高い参入障壁となります。とはいえ、必要なリンク/ボックスの数は限られています(冗長性/信頼性とのトレードオフ)。初期導入後の運用コストは低~中程度です。
可視性
⭐⭐⭐
すべてのトラフィックは中央の拠点を経由するため、100%のフローについてNetFlow/パケットキャプチャーなどにアクセスすることが可能です。
俊敏性
⭐
ネットワークの大幅変更には長いリードタイムが必要です。
精度
⭐
制御は主にネットワーク層(例:IP ACL)で行われます。「人事部のみに従業員支払いデータへのアクセスを許可する」場合は:範囲XのIPに範囲YのIPへのアクセスを許可(IP割り当てを追跡するために付随スプレッドシートが必要)
アプリケーションとユーザーが城を離れた
では、何が変わったのでしょうか?一言で言えば「インターネット」です。誰も予想しなかったようなスピードで、インターネットは人々のコミュニケーションや仕事に欠かせないものとなりました。インターネットが、企業のコンピューティングリソースについての考え方を激変させたのです。どんなコンピューターでも他のコンピューターと通信できるのであれば、なぜ企業は従業員のデスクトップと同じ建物内にサーバーを置く必要があるのか?そもそも、なぜ自社でサーバーを購入して保守する必要があるのか?これらの疑問からクラウドが誕生し、企業は他のサーバー上のスペースを借りて、運用上のオーバーヘッドを最小限に抑えながらアプリケーションをホストすることができるようになりました。さらに、容量計画やサーバーの信頼性、その他の運用上の問題を完全に排除し、物事をよりシンプルにするために、Software-as-a-Service(SaaS: サービスとしてのソフトウェア)という全く新しい産業が生まれました。
すべてをクラウドやSaaSにする、インターネットを活用した黄金の未来は、とても素晴らしく聞こえます。しかし、CIOはすぐに問題に直面しました。大規模移行のために、「城と堀」のアーキテクチャで構築された企業ネットワークを数か月から数年にわたって停止させることはできません。そのため、ほとんどの企業はハイブリッドな状態にあり、片足はデータセンターやハードウェア、MPLSの世界にしっかりと踏みとどまっています。また、アプリケーションへのトラフィックはいずれにせよ安全確保が必要ですので、たとえ企業が所有するデータセンター内のサーバーに向かうことがなくなったとしても、多くの企業がトラフィックをデータセンターに送り(専用線でバックホール)、ファイアウォールボックスやその他のハードウェアを通過させてから、自由になるようにしています。
より多くのアプリケーションがインターネットに移行するにつれて、支社から出て、セキュリティのためにMPLS回線でデータセンターを経由してバックホールされるトラフィックの量は増加し続けました。そして、Office 365を導入した翌月の帯域幅使用料金の高さに多くのCIOが仰天しました。従来のネットワークアーキテクチャでは、インターネットへのトラフィックの増加は、高価なプライベートリンクを経由するトラフィックの増加を意味していたからです。
複雑なハイブリッドアーキテクチャと予想外のコスト増をもたらしたこの最初の劇変をなんとか乗り越えても、それだけでは終わりませんでした。CIOには、並行して対処すべき変化がもう一つあったのです。インターネットの登場は、アプリケーションだけでなく、ユーザーにとっても大きな変化をもたらしました。サーバーを物理的に本社に設置する必要がなくなったように、従業員もオフィスのLAN上にいなくてもツールにアクセスできるようになっています。VPNを利用すれば、オフィス以外の場所で働く人でも、会社のネットワーク(物理的なものであれ、クラウドであれ)でホストされるアプリケーションにアクセスできます。
これらのVPNは、リモートユーザーに企業ネットワークへのアクセスを提供しますが、動作が遅く、使いづらく、限られた人数しかサポートできないため、パフォーマンスが低下して使い物にならないことがあります。また、セキュリティの観点から見ても、一度VPNに接続したユーザーは、横方向に移動して企業ネットワーク上の他のリソースを発見し、アクセスすることができるため、非常に危険です。公園、公共交通機関、バーなど、どこにでも持ち込めるVPNアクセス付きのラップトップをCIOやCISOが管理することは、従来の城と堀のようなオフィス環境で認証済みの従業員が使用するコンピュータを管理するより遥かに困難です。
2020年、新型コロナウィルス感染症が、VPNのコスト、パフォーマンス、セキュリティに関するこれらの新たな懸念を、ミッションクリティカルでビジネスに影響を与える課題に変えました。そして、一部の従業員がオフィスに戻るようになっても、この懸念は続くでしょう。
第2世代:ポイントソリューションの寄せ集め
このような大きな変化がもたらした課題に対応するため、多くのベンダーが登場していますが、その多くは1つまたは少数のユースケースに焦点を当てています。ハードウェア機器の仮想化バージョンをさまざまなクラウドプラットフォームで提供するプロバイダーがあれば、アプリケーションアクセスやWebフィルタリングといった特定の問題に対応するクラウドネイティブなアプローチをとるベンダーもあります。しかし、ポイントソリューションをパッチワークのように組み合わせた結果、CIOはさらに頭を悩ませることになりました。また、販売されている製品のほとんどは、アイデンティティ、エンドポイント、アプリケーションセキュリティの強化のみに焦点を当てており、ネットワークセキュリティには真の意味で対応していませんでした。
可視性のギャップ
中央に集中させた機器をすべてのトラフィックが経由する城と堀のモデルに比べ、現代のネットワークは非常に断片的な可視性しかありません。ITチームがトラフィックの状況を把握するためには、複数のツールからの情報を組み合わせる必要があります。複数ソースからのデータを統合するアプリケーションであるSIEMやSOARなどのツールを利用しても、全体像を把握することができないことがよくあります。そのため、問題のトラブルシューティングは困難を極めます。ITサポートチケットの列は、未解決のミステリーでいっぱいです。見えないものをどうやって管理できるというのでしょうか?
セキュリティのギャップ
このようなパッチワーク的なアーキテクチャは、それによる可視性のギャップと相まって、セキュリティ上の課題をもたらします。従業員がIT部門の明確な許可を得ずに、あるいは企業ネットワークのトラフィックフローやセキュリティポリシーに統合されていない状態で採用し、使用しているサービスを表す「シャドーIT」という概念が登場しました。特定のユーザーやユースケースをフィルタリングポリシー適用の例外にして管理しきれなくなり、インターネットの利用が予想以上に急拡大する中で、当社のお客様は自社ネットワークが「無法地帯」化していくような漠然とした感覚を抱いたそうです。しかも、CIOが恐れるのはフィルタリングのギャップだけではありません。シャドーITの蔓延により、企業データがインターネット上の無数の管理されていない場所に存在する可能性があり、実際に存在しています。
ユーザーエクスペリエンスの劣化
さらに、セキュリティ強化のためにトラフィックを中央に集めてバックホールすると、エンドユーザーには遅延が生じます。そして遅延は、かつての勤務場所であるオフィスから実際の勤務場所が遠くなるにつれて大きくなります。また、インターネットは進歩したとはいえ、基本的には予測不可能で信頼性に欠けるため、ITチームは、自分たちでは制御不能な多くの要因(コーヒーショップのWi-Fiの不安定さに至るまで)を抱えながら、ユーザーのためにアプリケーションの可用性とパフォーマンスを確保するのに苦労しています。
高い(そして増え続ける)コスト
CIOは今でも、可能な限り多くのトラフィックにセキュリティを適用するために、MPLSリンクやハードウェアにコストをかけていますが、ますます複雑化するネットワークを保護するためのポイントソリューションにも追加コストがかかっています。さらに、断片的な可視性の問題やセキュリティのギャップ、パフォーマンスの問題、より質の高いユーザーエクスペリエンスへの期待の高まりなどにより、ITサポートの提供にかかるコストも増大しています。
ネットワークの脆弱性
このような複雑さは、変更が非常に困難であることを意味します。現在のハイブリッドアーキテクチャーのレガシー側では、MPLS回線のプロビジョニングや新しいセキュリティハードウェアのデプロイメントに長いリードタイムが必要ですが、最近ではグローバルなハードウェアサプライチェーンの問題によってさらに長期化しています。また、ネットワークのさまざまな側面を管理するためにポイントソリューションを次々導入すると、あるツールの変更が別のツールに意図せぬ影響を及ぼすことがあります。そうした影響が重なって、IT部門がビジネスの変革のボトルネックとなることが多く、加速する一方の変化に適応するための組織の柔軟性が制限されてしまうのです。
ネットワークアーキテクチャスコアカード:第2世代
特徴
スコア
説明
セキュリティ
⭐
多くのトラフィックフローは、境界のセキュリティハードウェアの外を経由しており、シャドーITが横行しています。また、存在する制御も一貫性がなく、さまざまなツールで実施されています。
パフォーマンス
⭐
ユーザーが遠のくにつれ、トラフィックを中央拠点へバックホールすることによる遅延が発生します。また、VPNや数多くのセキュリティツールは、処理のオーバーヘッドやネットワークのホップ数を増加させます。
信頼性
⭐⭐
第1世代からの冗長性とコストのトレードオフは依然あります。部分的にクラウドを採用することで、ある程度の追加的な耐障害性は得られますが、信頼性の低いインターネットの使用が増えて新たな課題が生じています。
コスト
⭐
第1世代のアーキテクチャのコストは依然としてかかっています(MPLSやセキュリティハードウェアの廃止に成功した企業は今のところほとんどありません)。そこへ追加ツールによる新たなコストが加わり、運用上のオーバーヘッドが増大しています。
可視性
⭐
トラフィックフローと可視性は断片的で、ITは複数のツールを使って部分的な画像をつなぎ合わせます。
俊敏性
⭐⭐
ビジネスのうちクラウドへ移行済みの部分では、簡単にできる変更もあれば、ツールの追加で複雑さが増し、逆に難しくなっているものもあります。
精度
⭐⭐
ネットワーク層とアプリケーション層で実行される制御の組み合わせ。「人事部のみに従業員支払いデータへのアクセスを許可する」場合は:グループXのユーザーに範囲YのIPへのアクセスを許可(IP割り当てを追跡するために付随スプレッドシートが必要)
要約すると、最初に述べたことの繰り返しになりますが、現代のCIOは本当に苦労されています。しかし、その先にはより良い未来が待っていると、当社は信じています。
第3世代:新しい企業ネットワークとしてのインターネット
次世代の企業ネットワークはインターネット上に構築されます。このシフトは既に始まっていますが、CIOは、より安全で、より高速で、より信頼性が高く、複雑なグローバルデータ規制に対応しながらユーザーのプライバシーを保護する_より良い_インターネットへのアクセスを可能にするプラットフォームを必要としています。
インターネット規模のZero Trustセキュリティ
CIOは、パブリックなインターネットよりも安全だと感じる高価なプライベート接続を手放すことを躊躇しています。しかし、インターネット上で提供されるZero Trustのアプローチは、旧来の城と堀のモデルと比べても、機器やポイントソフトウェアソリューションを寄せ集めて作った「深層部の防御」と比べても、格段に強いセキュリティを実現します。Zero Trustでは、企業ネットワークにいったん入ったユーザーを信頼してラテラルムーブメント(横方向の移動)許すのではなく、ネットワーク上のエンティティへ出入りしたりエンティティ間を移動するすべてのリクエストの認証と許可にZero Trust(誰も信用しない)を適用し、訪問者が明示的にアクセスを許可されたアプリケーションにのみアクセスできるようにします。トラフィックを中央のデータセンターにバックホールしたり、膨大なセキュリティツールのスタックを通過させたりせず、認証とポリシーの適用をユーザーに近いエッジロケーションから行うことで、パフォーマンスを飛躍的に向上させることができます。
この新しいモデルを実現するために、CIOは以下が可能なプラットフォームを必要としています。
その企業のネットワーク上のすべてのエンティティを接続
ユーザー、アプリケーション、オフィス、データセンター、クラウドプロパティなどを可能な限り柔軟に接続するためには、接続が可能なだけでなく、簡単で信頼性の高いものでなければなりません。これは、モバイルクライアントがOSのバージョンを超えて動作できるようにすることから、標準的なトンネリングプロトコルとの互換性、グローバルな通信事業者とのネットワークピアリングまで、お客様が現在使用しているハードウェアや接続方法をサポートすることを意味します。
包括的なセキュリティポリシーの適用
CIOは、既存のIDプロバイダーやエンドポイントセキュリティプロバイダーと緊密に統合し、自社ネットワーク内の全トラフィックをOSIスタックのすべての層においてZero Trustで保護するソリューションを必要としています。これには、エンドツーエンドの暗号化、マイクロセグメンテーション、ネットワーク上のエンティティ間(「East/West」)およびインターネットとの間(「North/South」)のトラフィックに対する高度で精密なフィルタリングとインスペクション、DDoS攻撃やボット攻撃などの他の脅威からの保護が含まれます。
トラフィックを可視化しインサイトを提供
CIOは基本的に、誰がどのリソースにアクセスしているか、パフォーマンス(遅延、ジッター、パケット損失)はどうかといったトラフィックの全体像を把握する必要があります。しかし、次世代の可視化ツールは、トラフィックフローやユーザーアクセスに関する基本的な疑問に答えるために必要な情報を提供するだけでなく、ユーザーがトレンドを理解できるようサポートし、潜在的な問題をプロアクティブに浮き彫りにし、その潜在的な問題に対処するための使いやすい制御機能を提供するものでなければなりません。想像してみてください。1つのダッシュボードにログインするだけで、ネットワークの攻撃対象領域、ユーザー活動、パフォーマンスやトラフィックの健全性を総合的に把握でき、セキュリティ強化やパフォーマンス最適化のためのカスタマイズされた提案を受け、ワンクリックでその提案内容を実行できることを。
世界のどこででも、より質の高いエクスペリエンスを提供
パブリックなインターネットは、遅い、信頼性が低い、複雑な規制が増えているなどの批判が従来からあり、グローバルに展開する企業のCIOとしてインターネット上で立ち回るのがますます難しくなっています。CIOが必要とするプラットフォームは、パフォーマンスを最適化し、信頼性を確保するためにインテリジェントな決定を行うと同時に、コンプライアンスを容易にする柔軟性を提供するものです。
肝心なところで高速性を発揮
スピードテストのような従来のネットワークパフォーマンス測定方法では、実際のユーザーエクスペリエンスのすべてを知ることはできません。次世代のプラットフォームでは、パフォーマンスを総合的に測定し、アプリケーション固有の要因を考慮するとともに、インターネットの健全性に関するリアルタイムデータを利用して、エンドツーエンドでトラフィックを最適化します。
制御不能な要因があっても信頼できる
定期的に予定されたダウンタイムは過去のもので、今やそんな贅沢はできません。今日のCIOは、年中無休24時間体制のネットワークを、可能な限り100%に近い稼働率で、世界中のどこからでもアクセスできるように運用する必要があります。また、サービスの耐障害性だけでなく、大規模な攻撃にもスムーズに対応できる能力や、中間プロバイダーの問題を回避できる柔軟性を備えたプロバイダーが必要です。さらに、プロバイダーの計画的または非計画的なデータセンター停止に対して、ネットワークチームがデータセンターとの接続を手動で改めて設定するなどの対応をとらなくてよいことも要件になります。また、自社ネットワークの近くにベンダーが追加容量を用意するのを待つことなく、いつでも新たな拠点をオンボードできるようにする必要があります。
ローカライズされ、データプライバシー規制に準拠
データ主権に関する法律は急速に進化しています。CIOは、世界各地で新たな保護制度が導入されても柔軟に対応でき、データを(地域ごとに異なるバラバラのソリューションではなく)単一のインターフェイスで管理できるプラットフォームを選ぶ必要があります。
今日から可能なパラダイムシフト
このような変革は急進的で刺激的に聞こえますが、大仕事でもあります。複雑な現代のネットワークにおいて、これほど大規模な変革を実行するのは不可能ではないか、少なくとも無理なほどの長期間を要するのではないか、と不安になることもあるでしょう。しかし、そのようなことはないことは、当社のお客様が証明しています。
1つのフローから始まる意義ある変革
第3世代のプラットフォームは使いやすさを優先します。企業は、まず1つのトラフィックフローでZero Trustへの移行過程を始め、そこから弾みをつけていくことができるはずです。さまざまな角度から着手できますが、最も簡単なのは、1つのアプリケーションについてクライアントレスのZero Trustアクセスを設定することだと思います。組織規模の大小を問わず、誰でもアプリケーションを1つ選んで設定すれば、このアプローチの価値が数分以内に証明されるはずです。
旧世界と新世界の架け橋
ネットワークレベルのアクセス制御(IP ACL、VPNなど)から、アプリケーションやユーザーレベルの制御に移行し、ネットワーク全体にZero Trustを適用するには時間がかかります。CIOは、以下が可能で随時インフラを簡単に移行できるようなプラットフォームを選ぶべきです。
アーキテクチャをIPレベルからアプリケーションレベルへ徐々にアップグレード:GREまたはIPsecトンネルでの接続から始め、自動サービスディスカバリーを使って優先度の高いアプリケーションを特定し、connectionを目指します。
オープンなポリシーから制限の厳しいポリシーへ徐々にアップグレード:最初は従来のアーキテクチャに倣ってセキュリティルールを設定し、分析やログを活用して、誰が何にアクセスしているかを把握した上で、より制限的なポリシーを導入します。
変更をすばやく簡単に実施:最新のSaaSインターフェイスを使って、次世代ネットワークを設計します。
ネットワークアーキテクチャスコアカード:第3世代
特徴
スコア
説明
セキュリティ
⭐⭐⭐
すべてのトラフィックフローに対してきめ細かなセキュリティ制御を行い、攻撃は発生源に近いところでブロックされます。また、ブラウザ分離などの技術により、悪意のあるコードをユーザーデバイスから完全に排除します。
パフォーマンス
⭐⭐⭐
各ユーザーに最も近い場所でセキュリティ制御を実施し、インテリジェントなルーティング決定により、あらゆる種類のトラフィックに対して最適なパフォーマンスを実現します。
信頼性
⭐⭐⭐
このプラットフォームでは、冗長化されたインフラを活用して100%の可用性を確保しています。1台のデバイスがポリシーを保持する責任を負うことはなく、1つのリンクがすべての重要トラフィックを伝送する責任を負うこともありません。
コスト
⭐⭐
機能を集約することで、総所有コストを削減しています。
可視性
⭐⭐⭐
エッジ全体からのデータが集約、処理され、それに基づいて行動するためのインサイトと制御と共に提示されます。
俊敏性
⭐⭐⭐
ネットワークの設定やポリシーの変更は、ダッシュボードのボタンを押すだけで簡単にでき、変更は数秒でグローバルに伝わります。
精度
⭐⭐⭐
制御は、ユーザー層とアプリケーション層で実行されます。「人事部のみに従業員支払いデータへのアクセスを許可する」場合は:信頼されたデバイス上の人事部のユーザーに、従業員支払いデータへのアクセスを許可
Cloudflare Oneは、次世代ネットワーク向けにゼロから構築された初の統合プラットフォームです。
私たちが掲げた野心的なビジョンを実現するためにCIOが必要とするのは、世界第一級のグローバルネットワークで運用されるネットワークサービスとZero Trustを組み合わせられるプラットフォームです。Cloudflare Oneは、CIOがこのビジョンを完全に実現できる初のプラットフォームだと当社は考えています。
当社は、Zero TrustとNaaS(サービスとしてのネットワーク)を組み合わせたプラットフォームCloudflare Oneを、当社のグローバルネットワーク上で、コモディティハードウェア上のソフトウェアに組み入れました。まずは自社のITチームやセキュリティチームのニーズに応えるために開始し、他の企業のネットワーク変革を支援する可能性があることを認識したため、徐々にお客様へ機能を拡張してきました。Cloudflareでは、すべてのサービスを250都市以上に配備されたすべてのサーバー(総容量100Tbps以上)上で実行しており、かつてない規模とパフォーマンスを提供しています。当社のセキュリティサービス自体も高速化しており、DNSフィルタリングは世界最速のパブリックDNSリゾルバーで実行され、IDチェックは最速のサーバーレスプラットフォームであるCloudflare Workersで実行されています。
当社は、毎秒2,800万件以上のリクエストと1万件以上の相互接続から得られるインサイトを活用し、すべてのお客様のために、セキュリティとパフォーマンスについてよりスマートな決定を行っています。また、ネットワーク接続とセキュリティサービスを単一のプラットフォームで提供し、シングルパスインスペクションとシングルペインマネジメントによって可視性のギャップを埋め、ポイントソリューションの寄せ集めでは実現できない飛躍的な価値を提供しています。当社は、グローバルに分散した超高速でインテリジェントなネットワークへのアクセスをCIOに提供し、それぞれ企業ネットワークの延長としてご利用いただきます。
今週はCloudflare Oneを再度取り上げ、Cloudflareで次世代ネットワークを構築している実際のお客様の事例を交えて説明します。現在利用可能な機能と、それらが第2世代がもたらした問題をどのように解決しているかを詳しくご説明します。また、レガシーハードウェアのコストと複雑性を排除し、ネットワーク全体のセキュリティを多角的に強化し、既に高速なCloudflareネットワークを経由するすべてのトラフィックをさらに高速化することによってCIOの生活を楽にする新しい製品分野をいくつかご紹介します。
企業ネットワークの未来に関する私たちの夢をどのように実現しているのか、この記事を読んでいるCIOの方々(そして皆さん!)にもぜひ知っていただきたいと思います。