O365 (ローカルブレイクアウト) なら Meraki MX

meraki 1 Minute

O365 等のクラウドサービスが増え、拠点側の全トラフィックがデータセンタ (DC) を通過するネットワークアーキテクチャが破たんしつつあります。DC からインターネットへ抜けるための FW もしくは回線がボトルネックとなり、ユーザから O365 が「遅い」「接続が切れる」と言った苦情が相次いでいます。これを解決するために、各ベンダはクラウド通信を拠点側から「抜く」機能をルータもしくはファイアウォールに実装しました。この機能の呼び方は様々ですが、ローカルブレイクアウトやダイレクトインターネットアクセスと呼ばれています。ほとんどのベンダーがこの機能を実装していますが、Meraki MX 以外の製品は言葉通りトラフィックをただ単に「抜く」だけで、拠点側のセキュリティを担保していません。拠点側のブラックボックス化を防ぎ、ローカルブレイクアウト機能、ファイアーウォール機能、VPN 機能をワンボックスで提供しているのは MX のみです。

既存ネットワークアーキテクチャの問題

MX を既存ネットワークに導入すれば問題は発生しないのですが、O365 をそのまま導入するとどのような問題が発生するか説明します。既存ネットワークにそのまま導入すると、下の画像の通り O365 へのアクセスは本社もしくは DC を経由することになります。
proxy_network_diagram

拠点側の端末が O365 へアクセスしたい場合、パケットは拠点と DC を繋ぐ回線を通過し、DC に設置されている各種セキュリティ製品でポリシーに準拠しているか確認され、インターネットへ抜けます。今日では拠点側のセキュリティを DC 側で担保している場合がほとんどなので、全てのトラフィックは DC を通過しなくてはいけません。なので、拠点側のデバイスが直接インターネットへと抜ける事はタブー中のタブーなのです。ですが、DC を中心としたアーキテクチャではインターネットの依存度が高いネットワークの要件を満たすことができず、下の画像の箇所で問題が発生します。

proxy_problems

  1. クラウドアクセスのパフォーマンス不足
  2. 拠点から DC へのネットワーク帯域不足
  3. ローカルブレイクアウトを実現するための管理・セキュリティ機能不足
  4. ネットワークがブラックボックス化

ボトルネックとなっている回線や FW をアップグレードすればいいのかもしれませんが、それはコストの観点から現実的ではありません。グローバル企業になるとそれをサポートする FW の価格は億を超えることもあります。コストを抑えつつ ① から ④ の問題をワンボックスで解決できるのは MX だけです。

Meraki MX を利用した解決策

下の画像のように MX を拠点側と DC 側に設置すれば、① から ④ の問題を解決し、ローカルブレイクアウトが実現可能です。

mx_local_breakout.png

MX 同士で VPN トンネルを確立させ、社内システムのリソースが属しているサブネットを DC 側の MX から拠点側の MX へ通知させます。プロキシを使用している場合は、プロキシが置かれているサブネットも通知し、端末でローカルブレイクアウトさせたいドメインをプロキシの設定で除外させます。拠点側からクラウドサービス以外の通信が直接インターネットへアクセスさせるのを防ぐために MX では L3 ACL を設定すれば完璧です。

mx_site_to_site_vpn.png

mx_l3_cal.png

また、MX には高度なセキュリティ機能が搭載されています。IPS/IDS、アンチマルウェア、URL フィルタリング、サンドボックスを各拠点で提供できます。さらに、DPI (Deep Packet Inspection) により全ての端末のトラフィックを可視化できるので、総合的に拠点側を守りながらローカルブレイクアウトが可能です。Meraki ならこれら全てのことを 1 つの GUI から設定できてしまいます。

mx_dpi.png

1000 拠点の設定を一括変更

Meraki の最大の特徴は、ユーザがいかにシンプルに働けるかしっかりと考えられ製品が作られているところです。他社の機器だと数日かかる設定も Meraki では数分でできてしまいます。例えば、1000 台の MX のファイアウォールの設定を一括で変更可能です。いちいち各機器へ CLI でアクセスし IPS/IDS の機能を有効にしたり、各機器の GUI で L3 ACL を設定する必要はありません。Meraki はテンプレート機能を用意しているので、ファイアウォールの設定を一回入力すれば全ての拠点の MX が一括で変更されます。新しいクラウドサービスを使用し始めローカルブレイクアウトさせたい時も、数分で設定変更を終えられます。

まとめ

拠点側のセキュリティをしっかりと担保し、ローカルブレイクアウトをワンボックスで実現できるのは Meraki MX のみです。

mx_results.png

MX に搭載されている機能を使用することによって、よりセキュアで時代に沿ったネットワークを構築できます。

Published by yujiterada

Published

Leave a comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.