導入背景
株式会社あれそれこれは、リモートワークの拡大に伴い、VPNの同時接続数が急増し、遅延や切断が頻発する問題を抱えていました。IT部門がVPN対応を手がけることで疲弊しており、セキュリティ面でも بعضのアプリケーションにフルアクセスを許可する必要性から、セキュリティ的問題が生じていました。
要件定義
セキュリティポリシー要件として、特定のアプリケーションにアクセスするユーザーを制限する必要がありました。また、ユーザー体験要件として、VPN接続の速度と信頼性を向上させる必要がありました。運用要件として、IT部門の負担を軽減し、ログの管理を容易にする必要がありました。
ソリューション選定
Zero Trustアプローチを選択し、Cloudflareの beberapaサービスを採用しました。これは、Zero Trustアプローチの特徴であるセキュリティの信頼性を高めるための多層的なアプローチが必要と思われたためです。Cloudflareの Access、Gateway、Tunnel、WARP Clientを採用しました。これは、セキュリティの信頼性を高めるために、複数のサービスを組み合わせる必要性からでした。
アーキテクチャ設計
Before/Afterの構成比較は以下のようになっています。
| Before | After | |
|---|---|---|
| VPN | すべてのアプリケーションにフルアクセス | アプリケーション単位のアクセス制御 |
| Access | なし | トンネルとアクセスを組み合わせて使う |
| Gateway | なし | ゲートウェイを使用してトラフィックを管理 |
| Tunnel | なし | タンネルを使用してアプリケーションと通信 |
前提条件
IdP連携はAzure AD(Entra ID)を使用しました。これは、ユーザーødentifierを管理するために必要なためです。ネットワーク環境は、トンネルとゲートウェイを使用するために必要な構成を準備しました。
導入手順
導入手順は以下のようになっています。
- PoCを実施しました。(2週間くらい)
- IdPを連携しました。(Azure AD)
- 開発チームから試して徐々に全社展開
- 最後にVPNを止めました。
ポリシー設定
ポリシー例は以下のようになっています。
- Jiraは開発チームのみにアクセスを許可します。
- Wikiは全員にアクセスを許可します。
- 管理画面はIT管理者のみにMFAを必須にします。
動作検証
動作検証は以下のようになっています。
- VPN問い合わせが激減しました。(月100件→数件)
- レイテンシが半分以下になりました。
導入時の注意点
導入時の注意点は以下のようになっています。
- 既存システムとの共存を考慮しました。
- ユーザーへの影響を考慮しました。
- 移行時のリスク管理を考慮しました。
導入効果
導入効果は以下のようになっています。
- VPN問い合わせが激減しました。
- レイテンシが半分以下になりました。
運用体制と今後の展開
運用体制は以下のようになっています。
- ログは週1で見ています。
- 新しいアプリ追加時はTunnel+ポリシーセットで管理しています。
今後の展開は以下のようになっています。
- セキュリティの信頼性を高めるために、Zero Trustアプローチを継続的に実施する予定です。
- Cloudflareのサービスをさらに活用する予定です。