クラウドアプリケーション向け ネットワーク・セキュリティ ソリューション

企業や組織で「Microsoft Office 365」や「Salesforce」などのクラウドアプリケーション利用が増えています。いつでも最新のオフィスアプリケーションを利用できるというメリットと引き換えに、従来型のインフラに想定以上の負荷がかかり、ネットワークやセキュリティのあり方を再考する必要が出てきました。

課題

  • 拠点:拠点からセンター向けの閉域網経由のインターネットトラフィックが増加
    • Office365やSalesforce利用により拠点からのインターネット向けトラフィックが増加
    • 拠点からセンター向けの閉域網経由のトラフィックも増加し回線費用が上昇
  • センター:セッション数増加によるプロキシサーバの負荷増大
    • Office365やSalesforceは1ユーザに対し多くのセッションを同時利用するため 既存プロキシではパフォーマンスが不足
    • インターネット向けトラフィックの増加で回線への負荷も増加

ISDB(インターネット・サービスデータベース)とは

Office365など300種類以上のクラウドアプリケーションで使用されているIPアドレスやポート番号 (TCP/UDP)情報のデータベース。
FortiGuardラボがデータベース化し、グローバルに配信する情報は自動で更新される。

FortiGateのSD-WAN機能で、ルーティングエントリやリンク・ロードバランスの宛先オブジェクトとして指定可能。管理画面でキーワード検索が可能なため、FortiGateでの設定も容易。

※利用にあたってはFortiOS5.6以降の利用を推奨。

FortiGate管理画面
FortiGate管理画面

ISDB方式とアプリケーションシグネチャ方式との比較

  ISDB方式 シグネチャ方式
クラウドサービス変更時
配信によりDBは自動更新、手動でのDBカスタマイズも可能

シグネチャの再作成が必要となるケース有
セッション開始時
セッション開始時の1パケット目からブレイクアウト

セッションの途中からブレイクアウト
機器の処理負荷
コンテンツ識別処理が不要。処理負荷の大幅な低減
アドレス/ポートの識別により容易に対応
×
アプリケーション識別の処理負荷 大
サービスカバレッジ
多くのサービスに対応 (Amazon, Microsoft, Google, Facebook, Dropbox, Yahoo, SalesForce, Apple, 他)

シグネチャの生成対応

「テナントの制限」:内部犯行リスクの回避方法とは?

Office365を使用するためには、既存Firewallやプロキシサーバにホワイトリストとして、Office365接続先URLを追加する必要があります。Office365接続先は全世界共通のため、業務で使用する自社テナントへの接続を許可すると、他社のテナントや個人契約のテナント、などすべてのOffice365へのアクセスが可能となります。(Webフィルタ機能での制御も不可)これでは、社外秘のファイルやメールの意図的な持出し、操作ミスによる情報流出が発生するリスクがありました。

企業ユーザーのお客様は、この状況をセキュリティリスクやシャドーITの温床として注視しており、その対策としてMicrosoftから「テナントの制限」機能が提供開始されました。
この機能により、組織内LANから接続を許可するテナントを制御することが可能になります。
FortiGateでもこの機能に対応しており、Office365利用のテナント制御が可能です。さらに、標準ではサポートされていないレガシー認証が必要な場合にも対応可能です。

不正操作や操作ミスにより 個人アカウントで別テナントに不正にファイルのuploadが可能,テナントアクセス制御を導入,不正操作や操作ミスによる別テナントへのアクセス不可,FortiGateでテナント制御することで情報持出しや流出を防止

関連資料

 
 

ダウンロードセンター

FortiGate

FortiAP

@FortinetJapanをTwitterでフォローしよう!