記事
-
エンタープライズ ネットワーク
ネットワークのアクセス コントロール方法への新しいアプローチ
ネットワークにおけるアクセス コントロールといえば、スイッチやルータ、ファイアウォールによる方法が一般的です。実際、IT 管理者を目指してネットワークの勉強を始めたとき、かなり早い段階でスイッチにおけるアクセス コントロール リスト(ACL)を学び、実際に利用したのではないでしょうか。 これまでの ACL は、IP アドレスや VLAN を判断基準として定義されるのが一般的でした。例えば、営業部の方が座っている席に割り当てている 192.168.10.0/24 からは、技術部のサーバである 172.16.1.1 と 172.16.1.9 と 172.31.100.100 にはアクセスできない、といった定義です。 ところが昨今では、DHCP の利用が当たり前です。社員が異なる拠点に出張する際には、自分のノート PC やタブレットを持参して社内ネットワークにアクセスしています。その結果、「営業部の方 = 192.168.10.0/24」という IP アドレスの割り当てだけでは、きちんとアクセスを制御することができなくなっています。また、スイッチやルータの台数が増えてくると、ネットワークのトポロジ変更などにダイナミックに対応することが難しいといった問題もあります。もちろん、ACL の行数も増えてしまいます。 これらの問題を解決するために、ダウンローダブル ACL
続きを読む -
セキュリティ
大規模環境におけるファイアウォールのデザイン
データセンターなどの大規模環境にファイアウォールを設置する場合、単体のファイアウォールでは処理能力が足りないことがあります。また、当然のことながら、冗長化によるハイアベイラビリティを確保しなければなりません。こんなとき、ファイアウォールのデザインはどうあるべきでしょうか? ロードバランサを使ってファイアウォール ロードバランスを行うのでしょうか? あるいはシャーシ型の大きなファイアウォールを予め導入するのでしょうか? 実は、もっとシンプルで費用対効果の高い方法があります。 100Gbps を超えるような処理能力の大規模なファイアウォールが必要な場合には、冒頭に述べたようにロードバランサに頼ったり、あるいは、最初からブレードが増やせるようなシャーシ型のファイアウォールを使うことが一般的でした。もちろん、これらのソリューションは素晴らしいのですが、費用対効果やラックスペースの確保という視点から考えると、必ずしも完璧なソリューションというわけではありません。 例えば、導入当初は 10Gbps 程度のトラフィックに対するファイアウォール サービスを提供できればいい、という状態で、かつ、今後のトラフィック量の伸び方が明確に予測できない、といった場合に、最初からシャーシ型の大型ファイアウォールを導入するのは、費用やラックスペースという観点から考えると、非効率です。このような場合、最初はスモール スタートができるようなファイアウォールを選択することが必要です。また、やがてトラフィックが増えて、最初に導入したファイアウォールでは処理能力が足りなくなってきた際に、新たにロードバランサを導入してファイアウォール ロードバランスに移行するとなると、ネットワーク デザインが複雑になり、導入作業に手間がかかってしまいます。 これらのソリューションを使わずに、必要になったときにファイアウォールを追加するような方法があれば便利ですし、費用対効果も高く、不必要なラックスペースの占有もありません。シスコの ASA 5500 シリーズのハイエンドモデルである ASA 5585-X シリーズ
続きを読む -
エンタープライズ ネットワーク
シスコの技術を活用した次世代型ファイアウォールと従来型ファイアウォールの融合
ずっと以前から、どのようなネットワークであれ、インターネットやエクストラネットとの境界にファイアウォールが必要なことは認知されており、使われてきました。ファイアウォール=防火壁として、外部からの不正侵入を排除し、内部から外部へのアクセスを制御してきました。また、外部から内部への安全なアクセス手段としてリモート アクセス VPN 機能を併用することもできました。ファイアウォールとして、IP アドレスやポート番号、さらにはアプリケーション レベルでのセキュリティをチェックしてポリシーを適用し、アクセスを制御してきました。 しかしながら、昨今ではこれらのファイアウォールだけでは対応できない通信が増えてきております。 以前は、TCP のポート番号 80 番と 443 番といえば HTTP と HTTPS によるホームページ閲覧で使われるものであり、ファイアウォールはこれらの制御を、アクセスリストにて行なっておりました。現在はこれらのポート番号は単なるアプリケーションを利用するための手段であり、ポート番号だけでは、Twitter や Facebook などの SNS を利用しているのか、WebMail を利用しているのか、動画サイトを見ているのか、本当に単純にホームページの閲覧をしているのかがまったく判断できません。 また、内部から外部へのアクセスを制御する場合において、DHCP の利用が当然になっていることからも、誰からのアクセスを制御するかを判断する際において、ソース IP アドレスを使うことは事実上難しくなっております。 さらには、BYOD (Bring Your
続きを読む