VPNからゼロトラストへの移行を考える

この記事は、緊急事態宣言 アドベントカレンダー 16日目の記事です。

■困ったのは、VPNではできなくなったこと

これまでリモートワークと常駐で、複数の企業を支援していることもあり、常駐で支援していた大企業で在宅ワークが始まっても、コミュニケーションやプロセスは大きな問題はなく進めることができました。幸い、支援先で一斉に在宅ワークを始める前にVPNサーバをスケールアウトしていただいたので、よく言われている通信の遅さは感じずに済んでいます。が、顕著に現れたつらみは、ネットワークの変化でできなくなったことが多発したことでした。

・大規模なWANで、典型的な境界モデル
　　多数の拠点とデータセンター
　　多層の境界で区切られている
・作業用のPCは2種類
　　コミュニケーション用のインターネットに接続できるもの
　　開発用のair gap環境に接続できるもの

在宅ワークでは、インターネット接続できるPCを持ち帰り、VPN接続を切り替えてそれぞれの作業を進めるルールになりました。もともと「多数の拠点とデータセンターが、多層の境界で区切られている」構成をつくるために、通信のルールはかなり複雑に作り込まれ、秘伝のタレ化している状況です。

複雑な構成にVPN接続でのネットワークが追加されているため、境界内のネットワークでは通っていた通信が、VPNでは通らないものが多数出てきました。コミュニケーション用だったPCを開発用途に使うため、ツールや設定も新たに構築が必要です。OSも違うのでけっこうな数になります。できなくなったことを、できるようにする時間は価値を生みません。

ここでは、通信の遅さや複雑化したネットワーク構成を乗り越えて生産性を向上するために、境界モデル×VPNの構成からゼロトラストなアプローチを進めていく方法を考えてみます。

■なぜゼロトラストが必要なのか？

セキュリティ観点の分かりやすい説明があるのでこれらを参照してください。

●シンプルに考えよう Zero Trust Network

●Zero Trust Network アーキテクチャ

●Zero Trust上から見るか？下から見るか？

●ゼロトラスト超入門

解説「ゼロトラスト」シフト：脱“境界セキュリティ”が進む2つの動き

■ゼロトラストに必要な要素

What is the Zero Trust Model for Cybersecurity, Really? | LogRhythm

ゼロトラストなアプローチでは、あらゆるセッションを検証します。
「誰が」「どんな状態のどの端末」で「いつ」「どこのネットワーク」から「どのアプリケーション」にアクセスするセッションなのかの情報から、動的にリスクを計算して、通信の可否を判断します。

これらすべてを自前で構築することは現実的ではないので、クラウドサービスを利用します。VPNからの移行で考えると、VPN経由でアクセスしているアプリケーションをクラウドサービスからアクセスできるように公開。名前解決でクラウドサービス上のAccess Proxyを必ず経由するように設定し、Access Proxyから、対象アプリケーションにリクエストを転送させます。Access Proxyでは大量のトラフィックをさばくことになるので、この通信をクラウドサービスにオフロードできるのもメリットです。

httpでアクセスするアプリケーション以外でVPNの用途を考えると、ドキュメントを管理するために共有フォルダへのアクセス、メンテナンス作業のためにサーバへのssh接続、リモートデスクトップ接続などがありますが、それぞれをhttpでアクセスするアプリケーションに置き換えるか経由させるようにすれば、同じアクセス制御のしくみに載せることができそうです。

・共有フォルダ
　　→ GoogleDrive / OneDrive や Nextcloud
・ssh接続
　　→ Apache Guacamole や code-server terminal
・RDP接続
　　→ Apache Guacamole や RD Gateway

■GCPを利用する場合

「誰が」をCloud Identity、「どんな状態のどの端末で」をEndpoint Verification、「Access Proxy」をCloud Identity-Aware Proxy、「動的なリスク計算」と「通信可否の判断」をAccess Context Manager、「クラウドサービスと社内の接続」をCloud Interconnect として組み合わせます。

ゼロトラストなアプローチに必要な要素は、BeyondCorp Remote Access や Context Aware Access というコンセプトでまとめられています。

Context Aware Access  |  Context-Aware Access  |  Google Cloud

Keep your teams working safely with BeyondCorp Remote Access | Google Cloud Blog

■Azureを利用する場合

「誰が」をAzure AD、「どんな状態のどの端末で」をMicrosoft Intune、「Access Proxy」と「動的なリスク計算」、「通信可否の判断」をAzure AD 条件付きアクセス、「クラウドサービスと社内の接続」をAzure AD Application Proxy として組み合わせます。

ゼロトラストなアプローチに必要な要素は、ほとんどがAzure ADの機能としてまとまめられています。

Azure Active Directory とは

Microsoft Intune とは

Azure Active Directory の条件付きアクセスとは

オンプレミスのアプリへのリモート アクセス - Azure AD アプリケーション プロキシ

■段階的な移行

技術的に移行が可能だとしても、多数の資産を抱えている企業が、一気に乗り換えることはできません。効果やコスト、期間などから、どこを落とし所にするか、どんな段階を踏んで進めるかを考える必要があります。

GoogleでもBeyondCorpを適用したときは、通信をキャプチャして、安全性を確認しながら、段階的に移行したそうです。データマネジメントでのデータアーキテクチャなどを参考に、対象の組織 / アプリケーション / データ を絞って、小さく早く移行の段階を進めていきたいですね。