安全なクラウド アクセス: 当社がパロアルトネットワークスを選んだ理由

This post is also available in: English (英語) 繁體中文 (繁体中国語) Français (フランス語) Deutsch (ドイツ語) 한국어 (韓国語) Nederlands (オランダ語) Español (スペイン語) Italiano (イタリア語)

Apttusは、クラウドで生まれました。私たちは、見積もりから入金、契約管理、デジタル商取引、サプライヤー関係管理の各ソリューションを含む、AIを用いたSaaS商品をお客様向けに提供しています。「オールイン」クラウドのアプローチで、世界中の700以上のお客様に対し、より良いサービスを提供してきました。

主にAzureとAWSの強みを活かしながら、クラウド市場に真っ先に飛び込む決断をしました。しかし、当社のグローバルなオペレーションのために、クラウド インフラとアプリケーションへの安全なアクセスを確保する必要がありました。

ビジネスやセキュリティのどのような課題の解決を目指すか

パロアルトネットワークスのVM-Series仮想化次世代ファイアウォールを展開するまで、当社は主に2つのセキュリティ上の課題に直面していました。

一元的なクラウド アクセス管理の欠如

私たちは、「ポッド」を作成していました。ポッドとは基本的に、サービスを作成し、ソリューションを実行するために必要なクラウド リソースのコレクションです。ジャンプ ホストとして機能し、オペレーション チームにポッドへのアクセスを提供する仮想マシン(VM)を、ポッドそれぞれでスピンアップしました。今日では100以上のポッドがあり、各ポッドを利用するには多大な時間とリソースがかかります。既存のアクセス管理モデルでは、十分な可視性や管理性が得られないだけでなく、リソースが浪費され続けます。膨大な時間が無駄になりました。ビジネスの世界では、「時は金なり」です。

遅くて安全でない、ヘアピン留めされたクラウド アクセス モデル

当社では、クラウド リソースにアクセスする場合、一元的にVPNを利用していました。ユーザーや従業員は、当社の事務所経由で、シングル サインオン(SSO)によって接続が許可されていました。そして事務所からデータセンターへ接続する手順になっていました。当社のチームはグローバルで、ユーザーや支社がインドなどの複数の国に散らばっているため、これによって遅延が発生し、システムへの接続に時間がかかっていました。

パロアルトネットワークスVM-Series: クラウド リソースへの分散型アクセス ゲートウェイ

古いやり方は通用しなくなってきました。そこで、新しいアーキテクチャを開発するイニシアチブを立ち上げました。オペレーション チームが事務所を経由しないでも済むようになることと、各ポッドのジャンプ ホストを不要化することを目指しました。この新しいセキュリティ設計の中核となったのが、パロアルトネットワークスのVM-Seriesです。GlobalProtectサブスクリプションをVM-Series仮想化次世代ファイアウォール上で展開し、アクセス ゲートウェイとして機能させました。また、一元的なセキュリティ マネージャーとしてPanoramaを採用しました。VM-SeriesはAzure ADと直結しており、一元的にユーザーを削除できるため、アクセスを管理して単一のアイデンティティ ソースを用いることが可能になりました。さらに、粒度の細かい可視性や管理性を実現しただけでなく、各ポッドをセグメント分けし、互いに隔離することもできるようになりました。

何はともあれ成果について

パロアルトネットワークスのVM-Seriesをクラウドで展開して以来、お客様の課題をピンポイントで特定し、解説するために必要な時間を大幅に短縮することができました。当社は以下の3つの理由でパロアルトネットワークスを選びました。

1. パロアルトネットワークスのVM-Seriesは、Azure ADとネイティブ統合できます。 Azure AD SSOにより、アクティビティや監査証跡を含めた全ユーザーの新人教育や退職手続きを一元管理することができます。
2. Panoramaを通じてファイアウォールを一元管理できる機能は非常に有用でした。設定状態を維持し、すべてのファイアウォール ソフトウェアを最新の状態に保つために、全ファイアウォールを管理することが不可欠です。
3. VM-Seriesは、コードとしてのインフラストラクチャ(IaC)を通じて展開できます。  VM-Seriesは、他のインフラストラクチャ コンポーネントとともに、クラウド内でプログラムを使って数分以内に切り離したり、展開したりすることができます。あらゆる地域で同じプラクティスを再現可能です。

最後に、いくつかの重要な検討事項と提案を記載します。

1. セキュリティを確保できたら、オペレーション機能をIT機能から分離しましょう。そうしなければ、クラウドが実現するせっかくの俊敏性を利用できない可能性があります。
2. セキュリティはクラウドでも拡張できます。Azure ADのような、拡張できるように設計されているクラウドネイティブなサービスを活用しましょう。ユーザーをクラウド内で容易に認証できます。オンプレミスへの接続は不要です。
3. IaCとして管理できるセキュリティ商品を選びましょう。コードとしてのインフラストラクチャを用いるパロアルトネットワークスのおかげで、大変助かりました。高度なセキュリティと少ない遅延を実現し、より短い時間でお客様をサポートして問題を解決することができるようになりました。