- 限定コンテンツへのアクセス
- 他ユーザーとのつながり
- あなたの体験を共有
- サポート情報の発見
市場ではゼロトラストやSASEのニーズが高まってきています。クラウドサービスというのは「よく分からない」というご意見もよく聞きますし、特にネットワークエンジニアからすると、SASEはブラックボックスのように見えて、設計や運用に対する不安などがまだまだあるように思います。また、SASEというのは業界的な用語ですが、実装方法についてはベンダーに大きく依存しますので、理解がより難しくなっていると思います。
そこで、私自身がもともとネットワークエンジニアですので、ネットワークエンジニアから見たSASE/Prisma Accessについて解説したいと思います。この記事を読んでいただければ、ネットワークエンジニア的な視点では、実はPrisma Accessの仕組みはそれほど難しくなく、設計や動作がよく理解できると思います。
■Prisma Accessは、大きなオーバーレイ型のルーターネットワーク
まず、ネットワーク構成の視点からすると、Prisma Accessの実態は仮想版PAN-OSのノードを複数組み合わせて構成されたオーバーレイ型のルーターネットワークです。
アンダーレイネットワークとしてインターネットが使われますので、従来のインターネットVPNのクラウド版とも言えると思います。
Prisma Accessは複数のノードの組み合わせで構成されますが、このノードというのがPAN-OSの仮想版であり、L3モードで動作させています。PAN-OSはインターネット境界面で利用する次世代ファイアウォールPAシリーズで動作するオペレーティングシステムですが、非常に多機能でありゼロトラストで必要な機能を実施し、実績が豊富で安定したオペレーティングシステムです。つまり、トポロジとしてはオーバーレイ型のルータネットワークであり、構成するノードがPAN-OSが稼働しており、通信のアプリケーション識別やアクセス制御、各種脅威防御はPAN-OSの機能をそのまま使っています。なので、アンチウィルス、アンチスパイウェア、脆弱性防御/IPS、URLフィルタリング、DNSセキュリティ、WildFireサンドボックスなどの機能がクラウド上で利用できるわけです。
また、モバイルユーザがPrisma Accessと接続するときのVPNは、従来のGlobalProtectをしており、データセンターや拠点との接続にはIPsecトンネル技術がそのまま利用されています。なので、クラウドサービスとしての安定性があり、かつ脅威防御はPAシリーズで培った技術や情報がそのまま使えるのです。
■Prisma Accessを構成するノードについて
Prisma Accessを構成する基本的なノードの種類としては、以下の3種類があります。これらのノードが複数個を組み合わせて大きなPrisma Accessのサービスが提供されています。
- MU-SPN(Mobile User Security Processing Node)
モバイルユーザ接続が利用する端末からのVPN接続を受け付け、通信のアクセス制御や脅威防御を行うノードです。
利用者数や必要な処理能力に応じて、必要なMU-SPNが起動されます。利用者はVPN接続時にGlobalProtectエージェントが最適なMU-SPNを自動的に選択し、VPN接続してくれますので、利用者がノードを意識する必要はないです。複数のリージョンを利用している場合、利用者が接続するリージョンを指定できるようにすることも可能です。 - RN-SPN(Remote Node Security Processing Node)
本庁や出先などクライアント端末がある拠点とリモートネットワーク接続するためのIPsec接続し、通信のアクセス制御や脅威防御を行うノードです。
1つのノードで約1Gbpsのスループットが出る性能があり、1つのノードで複数の拠点とIPsec接続可能です。
利用するリージョンに購入した帯域ライセンスを割り当てると、割り当てた帯域に応じて必要なRN-PSNが起動されます。起動されたRN-SPNを利用して拠点とIPsecトンネルの接続を行います。 - SC-CAN(Service Connection Corporate Access Node)
クライアント端末からアクセスされるサーバーがある拠点/データセンターやIaaS/PaaSなどのクラウドとサービスコネクション接続のIPsec接続を行うためのノードです。SC-CANを通過する通信は、基本的にMU-SPNもしくはRN-SPNを通過してきますので、SC-CANでは通信のアクセス制御や脅威防御機能は行いません。
SC-CANはIPsec終端以外に、リージョン内の他のノードとのハブ的なノードであり、また複数のリージョンにまたがった構成の場合の中継、さらにUser-IDの再配信のハブ的な動作などPrisma Access全体を構成するうえで非常に重要なノードです。これらの機能をSC-CANはになっているので、SC接続を行わない場合でもSC-CANをオンボーディングする必要があるケースもあります。SC-CANも1つのノードで約1Gbpsのスループットが出る性能で、もしDC接続時、広帯域が必要な場合には、IPsecトンネルを複数接続して負荷分散設計を行います。
■Prisma Access内部および利用者との間はBGPによるダイナミックルーティング
Prisma Access内部では、上記した3種類のノードが設定したリージョンで複数起動されるわけですが、この複数のノード間の接続もIPsecトンネルが利用されており、起動時に自動的に接続されます。MU-SPNやRN-SPNは基本的に必ずSC-CANと接続されます。また、複数のRN-SPNがある場合、RN-SPNはフルメッシュ接続されます。また、複数のリージョンを利用する場合、リージョン間でもノード同士でIPsecトンネル接続が行われます。そして、そのノード間ではBGPによるダイナミックルーティングで最適経路でIPパケットが転送されます。ダイナミックルーティングですので、万が一のノードダウンやリージョンダウンが発生しても、残っている経路でネットワークとしてはサービスが継続できます。つまりPrisma Accessはインターネット上での高度な分散アーキテクチャであり、IPネットワークならではの耐障害性にも非常に優れています。
尚、実際にモバイルユーザ接続している端末やリモートネットワーク接続している拠点の端末からtracerouteを行うと、Prisma Access内のホップしているノードが確認できます。各ノードのIPアドレスは、Prisma Accessの初期設定時に設定したインフラストラクチャIPサブネットから自動的に各ノードに割り当てられます。なので、tracerouteした場合には、各ノードに割り当てられたIPアドレスとなります。さらにクラウド管理コンソールであるStrata Cloud Manager(SCM)のGUIにて、各ノードのルーティングテーブルの参照も可能になっています。
■国内の2つのリージョンでルーティングのよる冗長ネットワーク設計
全世界的には130以上のリージョンがありますが、国内では2カ所あります。リージョン内でも仮想的に冗長化されていますが、万が一のリージョン障害を想定した場合、2カ所のリージョンを利用することで、リージョン障害時でもネットワークが停止しないように設計することが可能です。これは完全にネットワークエンジニアの得意領域になりますが、Prisma Accessを1つのBGPのASN(Autonomous System Number)を持つIPネットワークだと考えてください。そして拠点やデータセンターとの間でBGPのExternalピアを張ることで動的なルーティング制御が行えます。各拠点やDCから2つのリージョンに対してE-BGPピアを張ることで、リージョンダウン時のルーティングによる迂回設計を行わせることが可能です。
■注意点/制約
拠点やデータセンターとのIPsecトンネル接続し、BGPルーティングを行う場合、Prisma AccessのBGPの実装では、BGPポリシー制御を行う設定はできません。
しかし、BGPとしてのルーティング制御は行われますので、BGPによるポリシーベースのルーティング制御を行う場合、利用者のBGPルータ側でのポリシー制御や属性にて設計をお願いします。
尚、Prisma AccessのBGPにてDefault Routeの広報や、逆にDefault Routeを受け付けることが設定で可能です。なので、あまり行うことが少ないですが、例えばデータセンターのサービスコネクション接続のBGPでDefault Routeを広報し、Prisma AccessでDefault Routeを受け付ける設定を行うと、モバイルユーザやリモートネットワーク接続からのすべてのインターネット通信をデータセンターに転送する設計も可能です。
いかがでしたでしょうか?
クラウドサービスというと、どうしてもブラックボックス化されたイメージがあり、どういう動きをするか分からないし、障害時には現場ではトラブルシューティングも困難というイメージがあると思いますが、Prisma AccessはPAN-OSを利用したインターネット上のオーバーレイ型の仮想ネットワークです。BGPによるダイナミックルーティングを利用していますので、様々な構成やトポロジーと冗長設計が柔軟に行えることがご理解いただけたのではないかと思います。
また、SASEの本格導入となれば、SASEが利用者の本質的なバックボーンネットワークとなります。バックボーンネットワークが不安定になれば、その悪影響は多大なものになりますので、SASEには非常に高い信頼性と安定性が求められると思います。また、ゼロトラストの観点では、全IP通信を監視およびアクセス制御対象にすべきであると思います。他社SSE/SASEではIAPやプロキシベースでWeb通信に特化したソリューションであったり、SDPのように動的にパスを張ることでより強固なセキュリティを担保するという技術やアプローチもありますが、それらはネットワークのバックボーンというよりは部分的なソリューションという位置づけになると思います。
パロアルトネットワークス社が提供するPrisma Accessはお客様のセキュアなバックボーンネットワークを提供し、ゼロトラストでロケーションフリーなサービスを提供できるサービスです。
