リモート ネットワーク接続について

  • [アーティクル]

Global Secure Access (プレビュー) では、エンドユーザー デバイスへのクライアントのインストールとリモート ネットワーク (物理ルーターを使用したブランチの場所など) の構成という 2 つの接続オプションがサポートされています。 リモート ネットワーク接続により、Global Secure Access クライアントをインストールすることなく、エンド ユーザーとゲストによるリモート ネットワークからの接続方法を効率化できます。

この記事では、リモート ネットワーク接続の主要な概念と、それが役立つ一般的なシナリオについて説明します。

リモート ネットワークとは

リモート ネットワークとは、インターネット接続を必要とするリモートの場所またはネットワークです。 たとえば、多くの組織には、地理的に異なる場所に中央の本社とブランチ オフィスの場所があります。 これらのブランチ オフィスでは、会社のデータとサービスにアクセスする必要があります。 データ センター、本社、リモート ワーカーと通信するための安全な方法が必要です。 リモート ネットワークのセキュリティは、多くの種類の組織にとって不可欠です。

ブランチの場所などのリモート ネットワークは、通常、専用のワイド エリア ネットワーク (WAN) または仮想プライベート ネットワーク (VPN) 接続を介して企業ネットワークに接続されます。 ブランチの場所の従業員は、顧客構内設備 (CPE) を使用してネットワークに接続します。

リモート ネットワーク セキュリティの現在の課題

帯域幅の要件が増加 – インターネット アクセスを必要とするデバイスの数は急増しています。 従来のネットワークはスケーリングが困難です。 Microsoft 365 のようなサービスとしてのソフトウェア (SaaS) アプリケーションの登場により、ワイド エリア ネットワーク (WAN) やマルチプロトコル ラベル スイッチング (MPLS) などの従来のテクノロジでは困難な低遅延およびジッターレス通信への需要が増え続けています。

IT チームはコストがかかる - 通常、ファイアウォールはオンプレミスの物理デバイスに配置されるため、セットアップとメンテナンスを行う IT チームが必要です。 すべてのブランチの場所で IT チームを維持するには、コストがかかります。

進化する脅威 – 悪意のあるアクターは、ネットワーク エッジにあるデバイスを攻撃するための新たな手段を模索しています。 多くの場合、ブランチ オフィスやホーム オフィスのエッジ デバイスは、最も脆弱な攻撃対象となります。

Global Secure Access のリモート ネットワーク接続のしくみ

リモート ネットワークを Global Secure Access に接続するには、オンプレミスの機器と Global Secure Access エンドポイントの間にインターネット プロトコル セキュリティ (IPSec) トンネルを設定します。 指定したトラフィックは、IPSec トンネルを介して最も近い Global Secure Access エンドポイントにルーティングされます。 セキュリティ ポリシーは、Microsoft Entra 管理センターで適用できます。

Global Secure Access のリモート ネットワーク接続では、リモート ネットワークと Global Secure Access サービスの間に安全なソリューションを提供します。 リモート ネットワーク間の安全な接続は提供されません。 リモート ネットワーク間の安全な接続の詳細については、Azure Virtual WAN のドキュメントを参照してください。

リモート ネットワーク接続が重要になる理由

リモート ワークと分散したチームの世界では、企業ネットワークのセキュリティの維持がますます困難になっています。 セキュリティ サービス エッジ (SSE) は、お客様がトラフィックを本社にバックホールすることなく、世界中のどこからでも企業リソースにアクセスできるセキュリティの世界を保証します。

一般的なリモート ネットワーク接続のシナリオ

オンプレミスの何千ものデバイスにクライアントをインストールしたくない

一般に、SSE は 1 つのデバイスにクライアントをインストールすることによって適用されます。 クライアントは、最も近い SSE エンドポイントへのトンネルを作成し、それを介してすべてのインターネット トラフィックをルーティングします。 SSE ソリューションはトラフィックを検査し、セキュリティ ポリシーを適用します。 ユーザーがモバイルではなく、物理的なブランチの場所に基づいている場合は、そのブランチの場所へのリモート ネットワーク接続によって、すべてのデバイスにクライアントをインストールする労力は不要になります。 ブランチ オフィスのコア ルーターと Global Secure Access エンドポイントの間に IPSec トンネルを作成すると、ブランチの場所全体を接続できます。

組織が所有しているすべてのデバイスにクライアントをインストールすることはできない

クライアントをすべてのデバイスにインストールできない場合があります。 Global Secure Access では、現在、Windows 用のクライアントが提供されています。 しかし、トラフィックをインターネットに送信しているオンプレミスの Linux、メインフレーム、カメラ、プリンター、その他の種類のデバイスはどうでしょうか。 こうしたトラフィックは引き続き監視およびセキュリティ保護する必要があります。 リモート ネットワークを接続する場合は、送信元のデバイスに関係なく、その場所からのすべてのトラフィックに対してポリシーを設定できます。

クライアントがインストールされていないゲストがネットワーク上にある

ネットワーク上のゲスト デバイスにクライアントがインストールされていない場合があります。 これらのデバイスをネットワーク セキュリティ ポリシーに確実に準拠させるには、トラフィックを Global Secure Access エンドポイント経由でルーティングさせる必要があります。 この問題は、リモート ネットワーク接続によって解決されます。 ゲスト デバイスにクライアントをインストールする必要はありません。 既定では、リモート ネットワークからのすべての送信トラフィックにセキュリティ評価が実施されます。

利用条件

Microsoft Entra Private Access と Microsoft Entra Internet Access のプレビュー エクスペリエンスおよび機能の使用は、お客様がサービスを取得した契約のプレビュー オンライン サービス使用条件によって管理されます。 オンライン サービスのユニバーサル ライセンス条項Microsoft 製品とサービスのデータ保護補遺 (“DPA”)、プレビューで提供されるその他の通知で説明されているように、プレビューでは、セキュリティ、コンプライアンス、プライバシーに関するコミットメントが限定されるか、異なる場合があります。

次のステップ