Office365 ネットワーク・セキュリティ ソリューション

Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド

Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド

今すぐ読む
Office365 ネットワーク・セキュリティソリューション

Office365 ネットワーク・セキュリティソリューション

今すぐ読む
Office365 メールセキュリティソリューション

Office365 メールセキュリティソリューション

今すぐ読む

企業や組織で「Microsoft Office 365」などのクラウドサービス利用が増えています。いつでも最新のオフィスアプリケーションを利用できるというメリットと引き換えに、従来型のインフラに想定以上の負荷がかかり、ネットワークやセキュリティのあり方を再考する必要が出てきました。


課題

  • 拠点:拠点からセンター向けの閉域網経由のインターネットトラフィックが増加
    • Office365利用により拠点からのインターネット向けトラフィックが増加
    • 拠点からセンター向けの閉域網経由のトラフィックも増加し回線費用が上昇
  • センター:セッション数増加によるプロキシサーバの負荷増大
    • Office365は1ユーザに対し多くのセッションを同時利用するため 既存プロキシではパフォーマンスが不足
    • インターネット向けトラフィックの増加で回線への負荷も増加


ソリューション

拠点:SD-WAN(インターネット・ブレイクアウト)の利用

  • FortiGateのSD-WAN機能で、Office365への通信とそれ以外の通信とで使用する回線を分離 (インターネット・ブレイクアウト)
  • 閉域網へのトラフィック量は変わらず、安価なインターネット回線の利用で回線費用も最適化
  • フォーティネットの優位性
    • FortiGateの標準機能でSD-WAN機能を利用可能
    • Office365を始めとするクラウドサービスが使用するIPアドレス情報を自動更新 (ISDB:インターネットサービス・データベース)
    • レイヤ7(アプリケーションレベル)ではなく、ポリシールーティング処理により高速に動作

拠点でSD-WAN機能を使用する構成
Internet-閉域網,Office365へは直接通信,他の通信はセンター経由(閉域網へ)通信

センター: Office365用プロキシサーバの導入

  • FortiGateのプロキシ機能とSD-WAN機能でOffice365への通信はインターネットへ直接転送
  • 他の通信のみ既存プロキシへ転送するため、既存プロキシに負荷を与えない
  • インターネット回線を増設し、SD-WAN機能で回線を有効活用(マルチホーミング)
  • フォーティネットの優位性
    • ネットワークセキュリティ機能とプロキシ機能の利用で柔軟なネットワークデザインが可能 (2つの機能をFortiGateに統合も可能)
    • Office365が使用するIPアドレス情報を自動更新(ISDB:インターネットサービス・データベース)
    • Microsoft Azure上にプロキシ(FortiGate-VM)を構築し、閉域網から ExpressRoute接続時もプロキシを利用可能(クラウド環境で完結可能)
    • SSLインスペクションを利用してテナントアクセス制限も可能

データセンターにO365用プロキシを設置する構成
Office365へは O365用プロキシを経由, 他の通信は既存プロキシ経由, FortiGate1台に統合も可能

クラウドにO365用プロキシを設置する構成
Microsoft Azure:Office365へは直接通信,他の通信はセンター経由(閉域網へ)通信,クラウド環境で完結可能

<「テナントの制限」:内部犯行リスクの回避方法とは?>

Office365を使用するためには、既存Firewallやプロキシサーバにホワイトリストとして、Office365接続先URLを追加する必要があります。Office365接続先は全世界共通のため、業務で使用する自社テナントへの接続を許可すると、他社のテナントや個人契約のテナント、などすべてのOffice365へのアクセスが可能となります。(Webフィルタ機能での制御も不可)これでは、社外秘のファイルやメールの意図的な持出し、操作ミスによる情報流出が発生するリスクがありました。

企業ユーザーのお客様は、この状況をセキュリティリスクやシャドーITの温床として注視しており、その対策としてMicrosoftから「テナントの制限」機能が提供開始されました。
この機能により、組織内LANから接続を許可するテナントを制御することが可能になります。
FortiGateでもこの機能に対応しており、Office365利用のテナント制御が可能です。さらに、標準ではサポートされていないレガシー認証が必要な場合にも対応可能です。


不正操作や操作ミスにより 個人アカウントで別テナントに不正にファイルのuploadが可能,テナントアクセス制御を導入,不正操作や操作ミスによる別テナントへのアクセス不可,FortiGateでテナント制御することで情報持出しや流出を防止

<ISDB(インターネット・サービスデータベース)とは>

Office365など300種類以上のクラウドアプリケーションで使用されているIPアドレスやポート番号 (TCP/UDP)情報のデータベース。
FortiGuardラボがデータベース化し、グローバルに配信する情報は自動で更新される。

FortiGateのSD-WAN機能で、ルーティングエントリやリンク・ロードバランスの宛先オブジェクトとして指定可能。管理画面でキーワード検索が可能なため、FortiGateでの設定も容易。

※利用にあたってはFortiOS5.6以降の利用を推奨。


FortiGate管理画面
FortiGate管理画面

ISDB方式とアプリケーションシグネチャ方式との比較

  ISDB方式 シグネチャ方式
クラウドサービス変更時
配信によりDBは自動更新、手動でのDBカスタマイズも可能

シグネチャの再作成が必要となるケース有
セッション開始時
セッション開始時の1パケット目からブレイクアウト

セッションの途中からブレイクアウト
機器の処理負荷
コンテンツ識別処理が不要。処理負荷の大幅な低減
アドレス/ポートの識別により容易に対応
×
アプリケーション識別の処理負荷 大
サービスカバレッジ
多くのサービスに対応 (Amazon, Microsoft, Google, Facebook, Dropbox, Yahoo, Salesforce, Apple, 他)

シグネチャの生成対応