ローカル インターネット ブレイクアウトとは

ローカル インターネット ブレイクアウトが重要な理由

企業はこれまで、トラフィックをルーティングするためにハブ＆スポーク アーキテクチャーを導入し、マルチプロトコル ラベル スイッチング(MPLS)を介して中央集中型データ センターに転送してきました。しかし、このアーキテクチャーにおいては、トラフィックはインターネットに出力される前にVPNなどのセキュリティ アプライアンスのスタックを経由します。また、Microsoft 365やSalesforceなどのSaaSならびにクラウド アプリケーションがインターネット経由で直接アクセスできるように構築されているため、現在ではトラフィックのパターンは変化しています。

広域ネットワーク(WAN)の帯域幅の大部分が、インターネット宛てのトラフィックによって消費されるようになった現在、インターネット宛てのトラフィックを企業のデータ センターにバックホールする意味はもはやなくなっています。コストがかさむ上にアプリケーションのレイテンシーが増加し、その結果ユーザー エクスペリエンスの低下にもつながるからです。組織がこうした事実に直面するにつれて、支店との接続を簡素化してより簡単にインターネットとの直接接続を確立するため、ローカル ブレイクアウトとSD-WANに対する注目が高まっています。

ローカル インターネット ブレイクアウトの仕組み

ローカル インターネット ブレイクアウトにより、組織は低コストの接続を活用してインターネット トラフィックをローカルISPにルーティングできるため、企業ネットワークの負荷を軽減して高速なユーザー エクスペリエンスを提供し、まだ企業のデータ センター内にあるアプリケーション用にMPLSを確保することができます。

ソフトウェア定義型広域ネットワーク(SD-WAN)をオーバーレイとして用いることで、ソフトウェア定義ポリシーを使用し、支店をインターネットやクラウド アプリケーション、データ センターに接続するトラフィックをルーティングするための最適なパスが選択されます。クラウド内のすべての支店のポリシーを1つのインターフェイスで定義することで、新しいアプリケーションやサービスを簡単に実装した上で、多くの場所にわたってポリシーを管理することができます。

ローカル インターネット ブレイクアウトの課題

SD-WANとローカル インターネット ブレイクアウトは、新しいセキュリティ課題に直面しています。個々のブレイクアウトは、これまで集中型セキュリティ ゲートウェイで提供されていた保護と同様に、ファイアウォール、サンドボックス、高度な脅威対策、情報漏洩防止、IPSなどで保護する必要があります。

しかし、ローカル インターネット ブレイクアウトに従来のセキュリティを適用しようとすると、すべての場所で企業セキュリティ スタックを複製しなければなりません。すべての支店にセキュリティ アプライアンス スタックを導入する必要があり、コスト面で非現実的です。これらのアプライアンスの購入、導入、管理に伴う複雑さも軽視できません。

しかも、次世代ファイアウォール(NGFW)やその他のセキュリティ アプライアンスは、クラウド アプリケーションをサポートするようには設計されていません。クラウド アプリから生まれる大量の長期接続をサポートするような拡張はできないため、簡単に過剰負荷の状態に陥ります。そのため、クラウド アプリ本来の存在意義である生産性が阻害されてしまいます。SSLで暗号化されたトラフィックをネイティブに処理することもできません。

これは、暗号化されたトラフィックが過去数年間で指数関数的に増加してきている中で、ますます重要になっています。従来型のアプライアンスがSSLインスペクションを実行するためには、チップ レベルではなく、ソフトウェアでSSLインスペクションを実行するプロキシ機能を追加する必要があります。これはパフォーマンスに大きな影響を与えることになり、結果的にユーザー エクスペリエンスを低下させてしまいます。

ローカル インターネット ブレイクアウトのメリット

ローカル インターネット ブレイクアウトとSD-WANを採用する企業は、ローカル インターネット ブレイクアウト全体に企業のセキュリティ機能を提供する必要があります。しかし残念ながら、これまでのNGFWやアプライアンスベースのセキュリティ スタックはクラウド アプリケーションをサポートできるようには構築されておらず、仮想化されたセキュリティ スタックにも従来のアプライアンスと同様の制約や課題が多く残されています。したがって、アプリケーションのクラウド移行に合わせてセキュリティもクラウドへ移行していくのが合理的だと言えます。

アプライアンスベースのソリューションに比べて、クラウドベースのセキュリティでローカル インターネット ブレイクアウトとSD-WANを保護することには、次のようなメリットがあります。

• 高速で安全なユーザー エクスペリエンス：拠点のトラフィックをインターネットに直接ルーティングし、クラウドベースのサービスを介してセキュリティを提供することで、クラウド アプリのメリットを最大限に生かしながら、高速かつ安全なエクスペリエンスを提供できます。
• コストの削減：組織がクラウドベースのセキュリティ ソリューションを使用することで、MPLSコストが削減され、ローカル インターネット ブレイクアウトが利用可能になり、支店ごとにコストのかさむセキュリティ アプライアンスやNGFWのスタックを購入、導入、管理することなく、インターネット宛てのトラフィックをすべて検査することができます。
• 拠点のIT運用の簡素化：セキュリティをクラウドサービスとして提供することで、一元管理が可能になるため、重要なアプリの優先順位付けや新しいサービスのアクティブ化、ポリシーの定義と適用を、わずか数クリックで実行できます。
• 場所を問わないユーザーの保護：クラウドベースのセキュリティでローカル インターネット ブレイクアウトを保護することで、カフェや本社、支店など、接続元の場所に関わらず、すべてのユーザーに一切の妥協のない同一レベルの保護を提供できます。

このようにローカル インターネット ブレイクアウトのメリットは明らかですが、これを完全に実現するためには、妥協なく本当の意味でクラウド用に構築されたセキュリティ サービス プロバイダーを活用する必要があります。つまり、場所を問わない働き方をするユーザーの接続の保護において、長年の実績を持つベンダーです。スピーディーなクラウド接続を確立するために適切なSD-WANオーバーレイも求められます。こうした条件を満たすのがZscalerです。

Zscalerによるローカル インターネット ブレイクアウトとSD-WANの保護

Zscalerは、アウトバウンド インターネット トラフィックを保護し、高速のユーザー エクスペリエンスを実現します。バックホールの必要はなく、場所ごとに同じセキュリティ アプライアンスのスタックを置く必要もありません。セキュリティ スタック全体をクラウド サービスとして提供するため、妥協のないセキュリティを実現できます。

また、ポリシーが物理的な特定の場所に関連付けられることはなく、あらゆる場所から接続するユーザーを追跡し、同一の保護を提供します。インターネット経由のトラフィックをZscalerにルーティングするだけで、すべてのトラフィック(SSLを含むすべてのポートとプロトコル)のインスペクションが直ちに開始します。単一コンソールから、アクセス ポリシーとセキュリティ ポリシーを定義し、すべての場所に瞬時に適用できます。Zscalerを活用することでクラウド サービスを弾力的に拡張できるほか、パフォーマンスへの影響を回避し、コストのかさむアプライアンスのアップグレードを解消し、わずか数回のクリックで帯域幅制御などの新しいサービスを導入できます。

SLAでパフォーマンスの保証されたSSLインスペクション

SSLは現在デフォルトとなっている通信プロトコルですが、ランサムウェアのような脅威の多くはSSLに潜もうと試みています。他のポートを使用する脅威もあるため、すべてのトラフィックを検査することが不可欠です。それでもSSLインスペクションは依然としてセキュリティ アプライアンスにとって大きな課題であり、トラフィックの復号、インスペクション、再暗号化がファイアウォールのパフォーマンス低下につながることがわかっています。

Zscaler Zero Trust Exchange™の一部をなすZscaler Cloud Firewallは、SSLを含むあらゆるポートとプロトコルのすべてのトラフィックのインスペクションを、レイテンシーをほとんど発生させずに実行します。

違いを確認できるデモ

現在も従来のハブ＆スポーク アーキテクチャーをお使いの場合や、セキュリティを確保しながらローカル インターネット ブレイクアウトを採用する最適な方法をお探しの場合は、デモをご依頼ください。Zscalerがローカル インターネット ブレイクアウトを保護し、高速かつ安全なユーザー エクスペリエンスを提供する仕組みについてご説明します。