パフォーマンスを低下させないゼロトラスト・ネットワーク・アクセス
こんな経験はありませんか。重要な会議の朝、発表する数値の最終確認をしようとします。ノートパソコンを開き、ビジネスアプリケーションをクリック。そしてキッチンへ向かい、朝一番のコーヒーを入れます。キッチンから戻ると、アプリケーションはまだ読み込み中です。どうしたことでしょう。
しばらく待ってから、再起動してもう一度試してみます。アプリケーションは、今度は起動しますが動作が遅く、仮想プライベートネットワーク(VPN)認証は応答しません。イライラしながら IT ヘルプデスクに電話をかけます。問題が解決するまで数時間かかるため、ストレスレベルが高くなり、朝の作業が突然非生産的になります。
アプリケーションには、迅速に起動し、瞬時に応答することが期待されています。読み込みに時間がかかったり、インターフェースが応答しなかったりすると、ユーザーがフラストレーションを感じるだけでなく、ワークフローの混乱や生産性の低下にまで波及する可能性があります。特に、トラブルシューティングやアプリケーションの応答に時間が浪費されれば、その影響は深刻です。
パフォーマンスの問題に対処する
このように非効率な状況に陥ると、多くの場合ユーザーは問題を IT サポートにエスカレーションするため、リソースに対する負荷がさらに増大します。パフォーマンスについて同様の問題に直面するユーザーが増えるほど、IT チームは圧迫されて疲弊し、解決に時間がかかるようになります。つまり、アプリケーションパフォーマンスの低下は、個人の生産性と組織全体の効率の両方に影響するのです。
このプロセスは、 ゼロトラスト・ネットワーク・アクセス(ZTNA)のようなセキュリティサービスから成るゼロトラスト・サイバーセキュリティ・モデルを採用している企業では、さらに複雑になります。ユーザーは、追加のネットワーク・セキュリティ・レイヤーの導入について理解していても、読み込み時間と応答性に対する期待は変えないものです。そのため、ZTNA と連携したアプリケーションのパフォーマンスは特に重要になります。
パフォーマンスを犠牲にすることなく組織が安全に ZTNA を展開する方法を把握するためには、そもそも、なぜ VPN が ZTNA に置き換えられたのかを理解する必要があります。
VPN の、より安全な代替手段として登場した ZTNA
リモートで働く従業員にとって、VPN は従来、プライベート・ビジネス・アプリケーションにアクセスするための標準的な方法でした。しかし、こうした VPN は同時に、企業ネットワークへの侵入を狙う攻撃者に悪用される可能性のあるセキュリティの脆弱性を引き起こす場合があります。
このリスクに対処するために、ZTNA は、アプリケーションへのリモートアクセス管理をより安全に実現する代替手段として登場しました。COVID-19 のパンデミック時に大きな支持を集めたこのアプローチは、ハイブリッドワークやテレワークが現代の働き方として定着する中で、引き続き重要な意味を持っています。
しかし、企業は徐々に、従業員がテレワークであろうとオンサイトであろうと関係なく、一貫したゼロトラスト・アクセス制御が必要であると認識するようになりました。
ZTNA は、テレワーカーだけでなくすべての従業員に対応
例えば、従業員がオフィスで働いていて、必要なアプリケーションが同じ場所のデータセンターにホストされているとします。ユーザーは企業ネットワーク上にいるため、認証されるとアプリケーションに直接アクセスして、最適なパフォーマンスでアプリケーションを使用できます。しかし、これでは ZTNA のきめ細かなアプリケーション・アクセス・ポリシーが設定されず、ゼロトラスト原則の適用外となってしまいます。
この状況はゼロトラストに反しています。アクセス制御は、従業員がいる場所に左右されるものであってはなりません。企業がオンプレミスユーザーに対して ZTNA ポリシーを有効にする場合、ユーザーはクラウドの Point of Presence(PoP)経由で接続することになります。PoP は、そのトラフィックをオンプレミスアプリケーションに戻します。アクセスのセキュリティは強化されるものの、一旦出てから U ターンして戻る「ヘアピン」トラフィックは、アプリケーション利用時のパフォーマンスを低下させがちです。
オンサイト従業員のパフォーマンスに影響を及ぼすことなくアプリケーションアクセスのセキュリティを確保
図 1 は、オンプレミスアプリケーションとオフィス内ユーザーに対応する Akamai Enterprise Application Access の、 既存のアーキテクチャとトラフィックルーティングを示しています。
パフォーマンスに関する課題
図の左側のアーキテクチャでは、オフィス内のユーザーは地域の Enterprise Application Access Point of Presence(PoP)に接続し、ここで ZTNA ポリシーが適用されます。その後、トラフィックはアプリケーションへと U ターンするため、パフォーマンスに悪影響が生じる可能性があります。
図の右側では、オフィス内のユーザーに対して Enterprise Application Access が無効になっています。このアーキテクチャではヘアピントラフィックがなくなり、アプリケーションに直接アクセスできるようになりますが、ZTNA セキュリティポリシーは適用されません。これは、アイデンティティとセキュリティポスチャに基づく最小権限のアクセスという観点から言うと、 ゼロトラスト の基本原則に逆行しています。
打開策として Enterprise Application Access のローカル PoP を使用
Enterprise Application Access をローカル・Point of Presence(LPoP)モードで使用すると、従業員とプライベートアプリケーションが同じ場所にあるときに発生するパフォーマンスとセキュリティの課題を解決できます(図 2)。
LPoP の導入により、企業は既存の Enterprise Application Access コネクターの機能を迅速にアクティベートできます。追加のソフトウェアコンポーネントを展開して管理する必要はありません。
LPoP でオンプレミスアプリケーションをアクセスポリシーに関連付けることにより、Enterprise Application Access クラウドの PoP へのヘアピントラフィックが解消されます。エンドユーザーは、ほぼワイヤースピードでオンプレミスアプリケーションにアクセスできます。そして最も重要なのは、LPoP モードで動作する Enterprise Application Access コネクターによって、同一のゼロトラスト・アクセス・ポリシーが維持され、適用される点です。
Universal ZTNA
現在、ユーザーはどこで働いていても、同一のきめ細かなアプリケーションアクセス権限に基づきアプリケーションへの高速アクセスを実現できます。実際、ベータプログラムの顧客は、LPoP の使用により Enterprise Application Access クラウド PoP に比べてファイルダウンロードの速度が最大 300% 改善されたと報告しており、パフォーマンスが著しく向上しています。
頭字語の使用という業界の慣習に従い、この新機能も Universal ZTNA (UZTNA)と呼ばれるようになりました。
あらゆる場所でアプリケーションのパフォーマンスを確保
LPoP を使用する地域ではパフォーマンスに影響を与えずにセキュリティを確保できますが、従業員やアプリケーションが世界中に分散している場合はどうなるでしょうか?
多数のオフィスを展開するグローバル企業では、さまざまなアプリケーションが世界各地でホストされ、ホスト先のインフラもオンプレミス、 Infrastructure-as-a-Service(IaaS)、 Security-as-a-Service(SaaS)、パブリッククラウドなど多岐にわたります。例えば、ブラジルにいる従業員が、米国やドイツでホストされている特定のアプリケーションにアクセスする必要がある場合、ZTNA ソリューションを使用して最適なアプリケーションパフォーマンスを確保することは非常に困難です。しかしながら、生産性とユーザー満足度を維持するためにはその実現はきわめて重要です。
パフォーマンスに関する課題
上記の例では、特に困難な課題として、ネットワーク全体のユーザーとアプリケーションの両方に近い、グローバルな ZTNA インフラの確保が挙げられます。地球規模の Akamai Connected Cloud であれば、この課題を解決したい多くの企業の助けになります。
図 3 は、Enterprise Application Access の現在のアーキテクチャの概要を示しています。今日、Enterprise Application Access クラウド PoP のゾーンは 40 を超える地域で展開されています。しかし、アプリケーションはゾーンの近くに配置されるものの、エンドユーザーはゾーンからかなり離れた場所にいる、というケースがよく見受けられます。
このような場合、アプリケーションのパフォーマンスは不安定になりがちです。特に、ファーストマイルのインターネット接続が貧弱であったり、アプリケーションに Microsoft SMB のようなやり取りの多いプロトコルが使用されていたりすればなおさらです。
エッジトランスポートを用いた Enterprise Application Access が、卓越したアプリケーションパフォーマンスを提供
ソリューションを開発するにあたり、私たちは基本に立ち返り、Akamai Connected Cloud の規模と、Akamai のコアビジネスの 1 つであるコンテンツ配信の双方を活用する新たなアプローチを考案しました。
図 4 は、クライアントベース(TCP/UDP)アプリケーション向けの、 エッジトランスポートを用いた Enterprise Application Access アーキテクチャを示しています。
この構成では、アーキテクチャにいくつかの重要な違いがあります。特に大きな違いは、Enterprise Application Access クラウドの PoP をアーキテクチャから完全に排除した点です。その代わり、現在はアプリケーショントラフィックの出入り口として Akamai エッジ・PoP を使用しています。
規模に関しては、現在エッジ PoP は 4,200 以上あるため、ユーザーデバイスとアプリケーションの所在地に関わらず、その近くで Enterprise Application Access インフラを提供できます。
ポリシーに関しては、顧客の Enterprise Application Access ポリシーをエッジ PoP まで一貫して展開する Enterprise Application Access ポリシーエンジンを導入しました。これにより、ポリシーは エッジ とユーザーの近くで適用されます。
さらに、ミドルマイルのトランスポートでも新しいアーキテクチャ、ZT Core を採用しています。このアーキテクチャでは、世界最大かつ最も分散した CDNを実行してきた Akamai の 25 年以上にわたる専門知識を結集しており、 当社のプラットフォーム上でアプリケーショントラフィックを最適化して最も効率的にルーティングすることを目指しています。
エッジトランスポートは Web ベースのアプリにも展開可能であるため、従業員やアプリケーションの所在地に関わらず、また、たとえファーストマイルのインターネットリンクに問題があったとしても、従業員は快適にアプリケーションを使用できます。
シームレスで信頼性の高いエンドユーザー体験
これまで、エッジトランスポートを早期に導入した顧客は驚異的なパフォーマンス向上を実現しています。その一部をご紹介します。
ファイル転送の高速化:Microsoft Server Message Block(MS-SMB)ファイルのアップロードとダウンロードが最大 40% 高速化され、日々の業務が大幅にスムーズになりました。
瞬時に応答するアプリケーション:重要なビジネスアプリケーションにおいて、負荷の高いワークフローでも大幅にレイテンシーが短縮され、応答性が向上しています。
予測不能なネットワークでの回復力:ネットワーク接続が最適ではない場合でも、ユーザーは一貫した高パフォーマンスのアプリケーションアクセスを享受しています。
こうしたメリットにより、よりシームレスで信頼性の高いエンドユーザー体験が全面的に実現しています。チームはタスクを迅速に完了し、中断は最小限に抑えられ、生産性は全体的に向上しています。
エッジトランスポートは、単なる ZTNA への技術的なアップグレードではありません。ユーザーが最も重要なアプリケーションを利用する方法を、明確に改善するものです。
場所に関係なく、ゼロトラスト・セキュリティと優れたパフォーマンスを実現
ユーザーの所在地やアプリケーションのホスト場所に関係なくゼロトラスト・セキュリティ・ポリシーを適用し、同時に快適なエンドユーザー体験も維持したいと考えるグローバル企業にとって、今回ご紹介した Enterprise Application Access の新機能は大いに役立ちます。こうした非常に重要なサポートによって、もう、強力なセキュリティと快適なユーザー体験のどちらかを選ぶ必要はなくなります。
詳細を見る
Enterprise Application Access、またはこれらの新機能について詳しくお知りになりたい場合は、 当社の専門家にお問い合わせください。