ローカル インターネット ブレイクアウトとは

ローカル インターネット ブレイクアウトが重要な理由

企業はこれまで、トラフィックをルーティングするためにハブ＆スポーク アーキテクチャーを導入し、マルチプロトコル ラベル スイッチング(MPLS)を介して中央集中型データ センターに転送してきました。しかし、このアーキテクチャーにおいては、トラフィックはインターネットに出力される前にVPNなどのセキュリティ アプライアンスのスタックを経由します。また、Microsoft 365やSalesforceなどのSaaSならびにクラウド アプリケーションがインターネット経由で直接アクセスできるように構築されているため、現在ではトラフィックのパターンは変化しています。

現在、ほとんどの広域ネットワーク(WAN)帯域幅は、インターネット宛てのトラフィックによって消費されています。インターネット宛てのトラフィックを企業のデータ センターにバックホールすることも、もはや意味がありません。コストやアプリケーションのレイテンシーの問題を招くだけでなく、ユーザー エクスペリエンスの低下にもつながるからです。この事実を認識した企業は、拠点を簡素化し、インターネットへの直接接続をより簡単に確立するために、ローカル ブレイクアウトとSD-WANに注目し始めました。

ローカル インターネット ブレイクアウトの仕組み

ローカル インターネット ブレイクアウトにより、企業は低コストの接続を活用してインターネット トラフィックをローカルISPにルーティングできるため、企業ネットワークの負荷を軽減し、高速なユーザー エクスペリエンスを提供し、企業のデータ センター内に残っているアプリケーション用にMPLSを確保できます。

ソフトウェア定義型広域ネットワーク(SD-WAN)をオーバーレイとして用いることで、ソフトウェア定義ポリシーを使用し、拠点をインターネット、クラウド アプリケーション、データ センターに接続するトラフィックをルーティングするための最適なパスが選択されます。クラウド内のすべての拠点のポリシーを1つのインターフェイスで定義することで、新しいアプリケーションやサービスを簡単に実装した上で、多くの場所にわたってポリシーを管理できます。

ローカル インターネット ブレイクアウトの課題

SD-WANとローカル インターネット ブレイクアウトは、新しいセキュリティ課題に直面しています。個々のブレイクアウトは、これまで集中型セキュリティ ゲートウェイで提供されていた保護と同様に、ファイアウォール、サンドボックス、高度な脅威対策、情報漏洩防止、IPSなどで保護する必要があります。

しかし、ローカル インターネット ブレイクアウトに従来のセキュリティを適用しようとすると、すべての場所で企業セキュリティ スタックを複製しなければなりません。すべての拠点にセキュリティ アプライアンス スタックを導入する必要があり、コスト面で非現実的です。これらのアプライアンスの購入、導入、管理に伴う複雑さも軽視できません。

しかも、次世代ファイアウォール(NGFW)やその他のセキュリティ アプライアンスは、クラウド アプリケーションをサポートするようには設計されていません。クラウド アプリから生まれる大量の長期接続をサポートするような拡張はできないため、簡単に過剰負荷の状態に陥ります。そのため、クラウド アプリ本来の存在意義である生産性が阻害されてしまいます。SSLで暗号化されたトラフィックをネイティブに処理することもできません。

これは、暗号化されたトラフィックが過去数年間で指数関数的に増加してきている中で、ますます重要になっています。従来型のアプライアンスがSSLインスペクションを実行するためには、チップ レベルではなく、ソフトウェアでSSLインスペクションを実行するプロキシ機能を追加する必要があります。これはパフォーマンスに大きな影響を与えることになり、結果的にユーザー エクスペリエンスを低下させてしまいます。

ローカル インターネット ブレイクアウトのメリット

ローカル インターネット ブレイクアウトとSD-WANを採用する企業は、ローカル インターネット ブレイクアウト全体に企業のセキュリティ機能を提供する必要があります。しかし残念ながら、従来のNGFWやアプライアンスベースのセキュリティ スタックはクラウド アプリケーションをサポートできるようには構築されておらず、仮想化されたセキュリティ スタックにも従来のアプライアンスと同様の制約や課題が多く残ります。したがって、アプリケーションのクラウド移行に合わせてセキュリティもクラウドへ移行していくのが合理的だと言えます。

アプライアンスベースのソリューションに比べて、クラウドベースのセキュリティでローカル インターネット ブレイクアウトとSD-WANを保護することには、次のようなメリットがあります。

• 高速で安全なユーザー エクスペリエンス：拠点のトラフィックをインターネットに直接ルーティングし、クラウドベースのサービスを介してセキュリティを実現することで、クラウド アプリのメリットを最大限に生かしながら、高速かつ安全なエクスペリエンスを提供できます。
• コストの削減：クラウドベースのセキュリティ ソリューションを使用することで、MPLSコストが削減され、ローカル インターネット ブレイクアウトが利用可能になり、コストのかさむセキュリティ アプライアンスやNGFWのスタックを拠点ごとに購入、導入、管理することなく、インターネット宛てのトラフィックをすべて検査できます。
• 拠点のIT運用の簡素化：セキュリティをクラウド サービスとして提供することで、一元管理が可能になるため、重要なアプリの優先順位付けや新しいサービスのアクティブ化、ポリシーの定義と適用を、わずか数クリックで実行できます。
• 場所を問わないユーザーの保護：クラウドベースのセキュリティでローカル インターネット ブレイクアウトを保護することで、カフェや本社、支店など、接続する場所にかかわらず、すべてのユーザーに一切の妥協のない同一レベルの保護を提供できます。

このようにローカル インターネット ブレイクアウトのメリットは明らかですが、これを完全に実現するためには、妥協なく本当の意味でクラウド用に構築されたセキュリティ サービス プロバイダーを活用する必要があります。つまり、場所を問わない働き方をするユーザーの接続の保護において、長年の実績を持つベンダーです。スピーディーなクラウド接続を確立するために適切なSD-WANオーバーレイも求められます。こうした条件を満たすのがZscalerです。

Zscalerによるローカル インターネット ブレイクアウトとSD-WANの保護

Zscalerは、アウトバウンド インターネット トラフィックを保護し、高速のユーザー エクスペリエンスを実現します。バックホールの必要はなく、場所ごとに同じセキュリティ アプライアンスのスタックを置く必要もありません。セキュリティ スタック全体をクラウド サービスとして提供するため、妥協のないセキュリティを実現できます。

また、ポリシーが物理的な特定の場所に関連付けられることはなく、あらゆる場所から接続するユーザーを追跡し、同一の保護を提供します。インターネット経由のトラフィックをZscalerにルーティングするだけで、すべてのトラフィック(SSLを含むすべてのポートとプロトコル)のインスペクションが直ちに開始します。単一コンソールから、アクセス ポリシーとセキュリティ ポリシーを定義し、すべての場所に瞬時に適用できます。Zscalerを活用することでクラウド サービスを弾力的に拡張できるほか、パフォーマンスへの影響を回避し、コストのかさむアプライアンスのアップグレードを解消し、わずか数回のクリックで帯域幅制御などの新しいサービスを導入できます。

SLAでパフォーマンスの保証されたSSLインスペクション

SSLは現在デフォルトとなっている通信プロトコルですが、ランサムウェアのような脅威の多くはSSLに潜もうと試みています。他のポートを使用する脅威もあるため、すべてのトラフィックを検査することが不可欠です。それでもSSLインスペクションは依然としてセキュリティ アプライアンスにとって大きな課題であり、トラフィックの復号、インスペクション、再暗号化がファイアウォールのパフォーマンス低下につながることがわかっています。

Zscaler Zero Trust Exchange™の一部をなすZscaler Cloud Firewallは、SSLを含むあらゆるポートとプロトコルのすべてのトラフィックのインスペクションを、レイテンシーをほとんど発生させずに実行します。

違いを体験

現在も従来のハブ＆スポーク アーキテクチャーをお使いの場合や、セキュリティを確保しながらローカル インターネット ブレイクアウトを採用する最適な方法をお探しの場合は、デモをご依頼ください。Zscalerがローカル インターネット ブレイクアウトを保護し、高速かつ安全なユーザー エクスペリエンスを提供する仕組みについてご説明します。