クラウドへのネットワーキング — あるアーキテクトの視点

[アーティクル]
07/16/2023

この記事では、Microsoft のセキュリティ & コンプライアンスアーキテクトである Ed Fisher で、最も一般的な落とし穴を回避して、クラウド接続用にネットワークを最適化する方法について説明します。

筆者について

Ed Fisher の写真のスクリーンショット。

私は現在、セキュリティ & コンプライアンスに焦点を当て、小売および消費財チームのプリンシパルテクニカルスペシャリストです。私は過去10年間、Office 365に移行するお客様と協力してきました。私は、政府機関や企業に数百万人のユーザーが分散し、その間に他の多くの顧客と一緒に、数万人のユーザー、世界中のさまざまな地域の複数の場所、より高度なセキュリティの必要性、および多数のコンプライアンス要件を持つ小さな店と協力してきました。私は何百もの企業と何百万人ものユーザーが安全かつ安全にクラウドに移行するのを助けてきた。

セキュリティ、インフラストラクチャ、ネットワークエンジニアリングを含む過去 25 年間の経歴と、Microsoft に参加する前に以前の雇用主の 2 人をOffice 365に移行した経験を持つ私は、テーブルのあなたの側に十分な時間を置き、そのようなことを思い出しています。同じ顧客は 2 人いませんが、ほとんどは同様のニーズを持ち、SaaS や PaaS プラットフォームなどの標準化されたサービスを使用する場合、最適なアプローチは同じである傾向があります。

ネットワークではなく、使い方が間違っているのです。

それが何度起ころうとも、 クリエイティブな セキュリティチームやネットワークチームが Microsoft クラウドサービスに接続する必要があると思う方法を試みる方法を驚かせることは決してありません。セキュリティポリシー、コンプライアンス標準、またはより適切な使用方法は常に存在します。何を達成しようとしているのか 、より優 れた方法、より簡単で、コスト効率が高く、パフォーマンスの高い方法について会話を行う必要はありません。

このようなことが私にエスカレートしたとき、私は通常、挑戦し、方法と理由を説明し、彼らが必要な場所にそれらを得ることを楽しんでいる。しかし、私が完全に率直であるならば、私は時々彼らがやっていることをやらせたいと思い、彼らが最終的にそれがうまくいかないと認めたら、私があなたに言ったと言うために戻って来たいと思う必要があります。私は時々それをしたいと思うかもしれませんが、私は しません。私がやっていることは、この記事に含めるすべてのことを説明しようとしています。ロールに関係なく、organizationが Microsoft クラウドサービスを使用したい場合は、次に示す知識が役立つ可能性があります。

ガイドの原則

ここでは、何を行っているかに関するいくつかの基本ルールから始めましょう。実際のセキュリティを維持しながら、最小限の複雑さと最大のパフォーマンスを確保するために、クラウドサービスに安全に接続する方法について説明します。お客様や顧客が、お気に入りのプロキシサーバーをすべてのユーザーに使用できない場合でも、それに反するものはありません。

できるからといって、ジュラシックパーク映画のイアン・マルコム博士を言い換える必要があるわけではありません。はい、はい、しかし、セキュリティチームは、必要に応じて考えるのをやめられなかったかどうかに非常に夢中でした。
セキュリティは複雑さを意味するものではありません。お金を増やしたり、より多くのデバイスをルーティングしたり、ボタンをクリックしたりするだけで、セキュリティは強化されません。
Office 365はインターネット経由でアクセスされます:しかし、それはインターネットOffice 365と同じではありません。これは、Microsoft によって管理され、お客様によって管理される SaaS サービスです。インターネット上でアクセスする Web サイトとは異なり、実際にはカーテンの後ろを覗いて、ポリシーとコンプライアンス基準を満たすために必要なコントロールを適用できます。目標を達成できる一方で、別の方法で行う必要がある場合があります。
チョークポイントは悪く、ローカライズされたブレークアウトは良いです:誰もが常にすべてのユーザーのためにすべてのインターネットトラフィックを中央のポイントにバックホールしたいと考えています。通常、監視してポリシーを適用できますが、多くの場合、それはすべての場所でインターネットアクセスをプロビジョニングするよりも安価であるか、またはそれがどのように行うかのどちらかであるためです。しかし、これらのチョークポイントはまさにそれです....トラフィックが詰まるポイント。ユーザーがInstagramを閲覧したり、猫のビデオをストリーミングしたりすることを妨げるのは何の問題もありませんが、ミッションクリティカルなビジネスアプリケーションのトラフィックを同じように扱ってはいけません。
DNS が幸せではない場合、何も満足しない: 最適な設計のネットワークは、世界の他の領域のサーバーへの要求を繰り返すか、ISP の DNS サーバーまたは DNS 解決情報をキャッシュする他のパブリック DNS サーバーを使用することによって、貧しい DNS によって解決される可能性があります。
それが以前の方法だからといって、テクノロジが絶えず変化し、Office 365例外ではないというわけではありません。オンプレミスサービス用に開発およびデプロイされたセキュリティ対策を適用したり、Web サーフィンを制御したりすることは、同じレベルのセキュリティ保証を提供する予定ではなく、パフォーマンスに大きな悪影響を与える可能性があります。
Office 365は、インターネット経由でアクセスできるように構築されました。これは簡単に言えばです。ユーザーとエッジの間で何をしたいに関係なく、トラフィックはネットワークを離れ、ネットワークにアクセスする前にインターネットを経由します。 Azure ExpressRoute を使用してネットワークからの遅延の影響を受けやすいトラフィックを直接 Microsoft にルーティングする場合でも、インターネット接続が絶対に必要です。受け入れます。考えすぎないでください。

多くの場合、不適切な選択が行われる場所

セキュリティの名の下に悪い決定が下される場所はたくさんありますが、これらは私が顧客と最も頻繁に遭遇する場所です。多くの顧客の会話には、これらのすべてが一度に含まれます。

エッジのリソースが不足している

グリーンフィールド環境をデプロイしているお客様はごくわずかであり、ユーザーの動作とインターネットエグレスの種類に関する長年の経験があります。お客様がプロキシサーバーを持っているか、直接アクセスを許可し、単に NAT 送信トラフィックを許可しているかに関係なく、何年もの間それを実行してきました。従来の内部アプリケーションをクラウドに移行する際に、エッジ経由でポンプを開始する量だけは考慮しません。

帯域幅は常に問題になりますが、NAT デバイスには負荷の増加を処理するのに十分な馬力がない場合があり、リソースを解放するために接続を途中で終了し始める可能性があります。 Office 365に接続するクライアントソフトウェアのほとんどは永続的な接続を想定しており、Office 365を完全に利用しているユーザーは 32 つ以上の同時接続を持つ場合があります。 NAT デバイスが途中で削除する場合、それらのアプリは、存在しなくなった接続を使用しようとして応答しなくなる可能性があります。彼らがあきらめて新しい接続を確立しようとすると、ネットワークギアにさらに負荷がかけられます。

ローカライズされたブレークアウト

このリストの他のすべては、ネットワークから離れてできるだけ早く当社に接続するという 1 つのことにかかっています。ユーザーのトラフィックを中央のエグレスポイントにバックホールする (特に、そのエグレスポイントがユーザーが存在するリージョン以外のリージョンにある場合) には、不要な待機時間が発生し、クライアントエクスペリエンスとダウンロード速度の両方に影響します。 Microsoft は、ほぼすべての主要 ISP で確立されたすべてのサービスとピアリングのフロントエンドを備えた世界中のプレゼンスポイントを持っています。そのため、ユーザーのトラフィックを ローカルに ルーティングすることで、待ち時間を最小限に抑えてネットワークにすばやく入ることができます。

DNS 解決トラフィックは、インターネットエグレスパスに従う必要があります

もちろん、クライアントがエンドポイントを見つけるには、DNS を使用する必要があります。 Microsoft の DNS サーバーは、DNS 要求のソースを評価して、要求のソースに最も近い応答 (インターネット用語) を確実に返します。名前解決要求がユーザーのトラフィックと同じパスに送信されるように DNS が構成されていることを確認します。ただし、ローカルエグレスを指定する必要はなく、別のリージョンのエンドポイントに送信します。つまり、リモートデータセンターの DNS サーバーに転送するのではなく、ローカル DNS サーバーを "ルートに移動" します。また、パブリック DNS サービスとプライベート DNS サービスのwatch。これは、世界の 1 つの部分からの結果をキャッシュし、世界の他の地域からの要求にサービスを提供する可能性があります。

プロキシする場合とプロキシに接続しない場合は、それが問題です

最初に考慮すべき点の 1 つは、ユーザーの接続をOffice 365にプロキシするかどうかです。それは簡単です。プロキシしません。 Office 365はインターネット経由でアクセスされますが、インターネットではありません。これはコアサービスの拡張機能であり、そのように扱う必要があります。 DLP やマルウェア対策、コンテンツの検査など、プロキシが行いたい場合は、サービスで既に使用でき、TLS で暗号化された接続を解読することなく大規模に使用できます。ただし、制御できないトラフィックを本当にプロキシする場合は、のガイダンス https://aka.ms/pnc とでトラフィック https://aka.ms/ipaddrsのカテゴリに注意してください。 Office 365のトラフィックには 3 つのカテゴリがあります。最適化と許可は本当に直接行き、プロキシをバイパスする必要があります。既定値はプロキシできます。詳細については、これらのドキュメントを参照してください。..読み取り。

プロキシの使用を主張するほとんどのお客様は、実際に何を行っているかを調べてみると、クライアントがプロキシに対して HTTP CONNECT 要求を行うとき、プロキシはコストの高い余分なルーターになっていることに気付きます。 MAPI や RTC などの使用中のプロトコルは、Web プロキシが理解するプロトコルでもありません。そのため、TLS の割れがあっても、セキュリティが強化されることはありません。余分な待ち時間が発生しています。詳細については、Microsoft 365 トラフィックの最適化、許可、既定のカテゴリなどをご覧ください https://aka.ms/pnc 。

最後に、プロキシへの全体的な影響と、その影響に対処するための対応を検討します。プロキシを介して行われる接続が増えるにつれて、TCP Scale Factor が減少し、それほど多くのトラフィックをバッファーする必要がないようにする可能性があります。私は、プロキシが非常に過負荷でスケールファクター0を使用していたお客様を見てきました。 Scale Factor は指数値であり、8 を使用するため、Scale Factor 値の各減少はスループットに大きな悪影響を与えます。

TLS 検査はセキュリティを意味します。しかし、実際には! プロキシを持つ多くのお客様は、それらを使用してすべてのトラフィックを検査したいと考えています。つまり、TLS は "中断して検査" することを意味します。HTTPS 経由でアクセスされた Web サイト (プライバシーに関する問題に関係なく) に対してこれを行う場合、プロキシは数百ミリ秒にわたって 10 または 20 の同時ストリームでこれを行う必要があります。大規模なダウンロードやビデオが関係している場合は、それらの接続の 1 つ以上がはるかに長く続く可能性がありますが、全体として、それらの接続のほとんどは非常に迅速に確立、転送、終了します。中断と検査を行うと、プロキシが 2 倍の作業を行う必要があります。クライアントからプロキシへの接続ごとに、プロキシはエンドポイントに個別の接続を作成する必要もあります。だから、1は2になり、2は4になり、32は64になります。..私はどこに行くのか見ますか? 一般的な Web サーフィンに適したプロキシソリューションのサイズは、おそらく適切ですが、Office 365へのクライアント接続に対して同じことを行おうとすると、コンカレントで有効期間の長い接続の数が、サイズ設定した数よりも桁違いに大きくなる可能性があります。

ストリーミングは重要ではありませんが、

UDP を使用するOffice 365内の唯一のサービスは、Skype (間もなく廃止予定) と Microsoft Teams です。 Teams は、オーディオ、ビデオ、プレゼンテーション共有などのストリーミングトラフィックに UDP を使用します。音声、ビデオ、デッキの提示、デモの実行を行うオンライン会議を行っている場合など、ストリーミングトラフィックはライブです。パケットが破棄された場合、または順序が整っていない場合、ユーザーは実質的に認識できず、ストリームは引き続き処理を続けることができるため、これらは UDP を使用します。

クライアントからサービスへの送信 UDP トラフィックを許可しない場合は、TCP の使用にフォールバックできます。ただし、TCP パケットがドロップされると、再送信タイムアウト (RTO) の有効期限が切れ、欠落しているパケットを再送信できるようになるまで 、すべてが停止 します。パケットが順不同で到着した場合、他のパケットが到着するまですべてが停止し、順番に再組み立てできます。どちらもオーディオ(Max Headroomを覚えていますか?)とビデオ(何かをクリックしましたか?..)の知覚的な不具合につながります。ああ、それはあります)、低パフォーマンスと悪いユーザーエクスペリエンスにつながります。そして、私はプロキシについて上に置いたものを覚えていますか? Teams クライアントにプロキシの使用を強制する場合は、強制的に TCP を使用します。これで、パフォーマンスへの悪影響が 2 回発生します。

分割トンネリングは恐ろしいように見えるかもしれません

しかし、そうではありません。 Office 365への接続はすべて TLS 経由です。私たちはしばらくの間、TLS 1.2を提供してきましたが、レガシクライアントがまだそれらを使用しており、それがリスクであるため、古いバージョンはすぐに無効になります。

TLS 接続 (そのうち 32 個) をサービスに移動する前に VPN 経由を強制しても、セキュリティは強化されません。これにより待機時間が増加し、全体的なスループットが低下します。一部の VPN ソリューションでは、UDP を強制的に TCP 経由でトンネリングします。これにより、再びストリーミングトラフィックに非常に悪影響が及びます。また、TLS 検査を行わない限り、アップサイドはなく、すべての欠点があります。顧客の間で非常に一般的なテーマは、ほとんどの従業員がリモートになっているので、オプティマイズカテゴリ Office 365 エンドポイントへのアクセス用にスプリットトンネリングを構成するのではなく、すべてのユーザーが VPN を使用して接続することによる帯域幅とパフォーマンスへの影響が大きいということです。

スプリットトンネリングを実行するのは簡単な修正であり、実行する必要があります。詳細については、「VPN スプリットトンネリングを使用したリモートユーザーのOffice 365接続の最適化」を確認してください。

過去の罪

多くの場合、悪い選択が行われる理由は、(1) サービスのしくみを知らない、(2) クラウドを採用する前に記述された会社のポリシーに従おうとすること、(3) 目標を達成する方法が複数あると簡単に確信できないセキュリティチームの組み合わせです。うまくいけば、上記と以下のリンクは、最初に役立ちます。 2 つ目を超えるために、エグゼクティブスポンサーシップが必要になる場合があります。セキュリティポリシーの方法ではなく、セキュリティポリシーの目標に対処することは、3 番目の方法で役立ちます。条件付きアクセスからコンテンツモデレーション、DLP から情報保護、エンドポイント検証、ゼロデイ脅威まで、Office 365で利用可能なもので、オンプレミスのネットワークギア、強制 VPN トンネル、TLS の中断と検査に依存することなく、合理的なセキュリティポリシーを実現できる可能性があります。

また、organizationがクラウドへの移行を開始する前にサイズを変更して購入したハードウェアをスケールアップして、新しいトラフィックパターンと読み込みを処理することはできません。 1 つのエグレスポイントを介してすべてのトラフィックを本当にルーティングする必要がある場合は、それに応じてネットワーク機器と帯域幅をアップグレードする準備をしてください。オンボードするユーザーが増えるにつれてエクスペリエンスがゆっくりと低下しないため、両方の使用率を注意深く監視します。チップポイントに達するまですべてが問題なく、誰もが苦しんでいます。

ルールの例外

organizationでテナントの制限が必要な場合は、TLS が中断されたプロキシを使用し、プロキシ経由のトラフィックを強制的に検査する必要がありますが、すべてのトラフィックを強制的に通過させる必要はありません。それはすべてでも何もない提案ではありませんので、プロキシによって変更する必要がある内容に注意してください。

分割トンネリングを許可する場合でも、一般的な Web トラフィックにプロキシを使用する場合は、PAC ファイルで直接送信する必要がある内容と、VPN トンネルを通過する対象の興味深いトラフィックを定義する方法が定義されていることを確認します。ここでは、管理が容易なサンプル PAC ファイル https://aka.ms/ipaddrs を提供しています。

まとめ

Fortune 500 のほぼすべての組織を含む何万もの組織が、ミッションクリティカルな機能に毎日Office 365を使用しています。彼らは安全にそうし、インターネット経由でそうします。

プレイ中のセキュリティ目標に関係なく、VPN 接続、プロキシサーバー、TLS の中断と検査、または一元化されたインターネットエグレスを必要としない方法があり、ユーザーのトラフィックをネットワークからできるだけ早く取得し、ネットワークが会社の本社であるかどうかに関係なく、最高のパフォーマンスを提供します。リモートオフィス、または自宅で作業しているそのユーザー。 Microsoft のガイダンスは、Office 365 サービスの構築方法と、セキュリティで保護されたパフォーマンスの高いユーザーエクスペリエンスを確保する方法に基づいています。