Bizコンパス

AWSやAzureの閉域接続に潜むトラブルを回避せよ!
2017.11.17

解決策がここにある!IT部門のお悩みスペシャル第4回

AWSやAzureの閉域接続に潜むトラブルを回避せよ!

著者 Bizコンパス編集部

3つのよくある失敗例から学ぶ「傾向と対策」

 ここからは実際に起こった3社の事例から、起こりやすい失敗例の原因、対処法を解説していきます。

閉域接続に対する「思い込み」

 A社では、イントラネットからOffice365を利用するべくExpressRoute利用を開始したところ、社外や外出先からもインターネット経由でサービスにアクセスできてしまうことが判明しました。そもそもOffice365はインターネット上からアクセスされるサービスなので、閉域接続で利用したとしても、インターネットからのアクセスは可能なままです。このことをA社の担当者は誤認識して『閉域接続すればインターネットからはアクセスできなくなる』と思い込んでいたことが原因でした。

 加えると、Office365はすべてのユーザーに同じ経路を広告しており、経路情報さえあれば、他テナントへもアクセスできる接続仕様になっています。それをセキュリティ的に許さないのであれば、テナント制御といったアクセス制御の設計、実装を行う必要があります。こうした閉域接続を想定したセキュリティリスク対策においては、設計段階で正しく理解することが大切です。

 

見逃されがちな「ルーティング設定」

 B社ではAzureを閉域接続で利用開始したところ、外部公開用セグメントにあるAzureサーバーへ、インターネットからアクセスできない状況に陥りました。ネットワーク事業者に問い合わせてみても、ネットワーク障害は発生していないという回答です。これは「強制トンネリング※」と呼ばれるルーティング設定を行う際に、外部公開用セグメントと内部用セグメントを認識したうえで、ルーティング設計をしなかったために生じたトラブルでした。

※強制トンネリング=検査および監査のために、インターネットへのすべてのトラフィックを閉域接続にてオンプレミスの場所に戻すようにリダイレクトするルーティング設定

 加えて、インターネットが利用できない状況になるとライセンス認証に失敗し、サーバーが立ち上がらないというトラブルも起こります。Azureの仮想マシンは、Azure環境にあるインターネットを利用できるルーティング設定でライセンス認証可能な仕様になっているためです。これはAzureに限らず、他のクラウド基盤の仮想マシンも同様です。どういうルーティングでクラウドから閉域接続に到達するのかといったケアを怠ると、トラブルが起こるので注意が必要です。

 

「経路数制限」に対するケア

 C社ではAWSを閉域接続で利用していましたが、ある日突然、AWSへ通信できなくなる事態が発生しました。これもよくあるケースで、ネットワーク装置の障害ではありません。これはAWS宛の経路数が100を超えてしまったために起こるトラブルです。50拠点規模のWANでもたやすく経路数が100を超えることに加え、稼働後に同じネットワークで利用する別サービスの仕様変更で急に経路数が急増するケースもあります。このような事態をクラウド検討時から想定し、備えておくことも重要です。

 同じく経路数の話では、AzureのPaaSやOffice365を利用する場合は数千単位の経路が流れる仕様になっています。国内では問題ありませんが、海外のネットワークの相互接続ポイントで設定された経路数の上限を超えてしまうと、海外で通信が使えなくなることもあるので事前の確認が必要です。

 現時点では、ExpressRouteから配布されるOffice365経路については、特定のアプリケーション(ExchangeOnline,SharepointOnline等)で利用する経路のみを広告するようなルートフィルタ設計を行うことで、経路数を削減することも可能であり、検討すべき事項となります。

 以上に挙げたようなリスクを想定したネットワーク設計は、閉域接続によるプライベートクラウド活用の欠かせないポイントになります。また稼働後の安定運用のためには、クラウドサービスの仕様や利用規約変更などもしっかり押さえておく必要があります。しかし、そこまでのケアをクラウドやネットワークの事業者には望めませんが、自前ですべてに対応するのは、かなりの覚悟が必要になります。そこで求められているのが、クラウドとネットワークを確実に結びつけてくれる第三者的な視点のパートナーです。

SHARE

関連記事

インフラ投資はマルチクラウド対応、HCIに着目!

2017.02.01

乗り遅れるな!2017年、見極めたいICTの大波第1回

インフラ投資はマルチクラウド対応、HCIに着目!

マルチクラウドをひとつのIT基盤で束ねる方法

2015.08.26

知らないと損!クラウド時代のネットワーク事情第3回

マルチクラウドをひとつのIT基盤で束ねる方法

三菱電機の海外事業強化の鍵、ハイブリッドクラウド

2017.02.10

働きやすさの向上を図るグローバルICT基盤を構築

三菱電機の海外事業強化の鍵、ハイブリッドクラウド

失敗しない!クラウド移行のポイント「3カ条」

2016.09.07

IT実務者のための「クラウド丸わかり」ガイド第4回

失敗しない!クラウド移行のポイント「3カ条」

「2025年の崖」を飛び越える鍵は“データの連携”にあり

2020.01.22

これからの時代に求められるデータ利活用第2回

「2025年の崖」を飛び越える鍵は“データの連携”にあり

「Flexible InterConnect」はマルチクラウドの課題を一掃する

2019.10.16

デジタルトランスフォーメーションの実現へ向けて第22回

「Flexible InterConnect」はマルチクラウドの課題を一掃する

みずほ情報総研が目指す、環境変化に即応可能なIT

2019.04.10

ビジネススピードを加速するIT基盤第20回

みずほ情報総研が目指す、環境変化に即応可能なIT

大手旅行会社も採用する次世代型リモートアクセス、アカマイ「EAA」とは

2019.03.27

セキュアなリモートアクセス環境を構築する手法第1回

大手旅行会社も採用する次世代型リモートアクセス、アカマイ「EAA」とは

テクノプロHDが選択したIT運用の最適解とは

2019.03.15

ビジネススピードを加速するIT基盤第19回

テクノプロHDが選択したIT運用の最適解とは

利便性とセキュリティを兼ね備えた「セキュアドPC」ができるまで

2018.11.21

働き方改革&生産性向上のカギはどこにある?第7回

利便性とセキュリティを兼ね備えた「セキュアドPC」ができるまで

クラウドを快適に使うための解決策「IPoE」とは

2018.09.14

“インターネットが遅い”を解消!!

クラウドを快適に使うための解決策「IPoE」とは

クラウドへの移行で検討したい「4つの選択肢」

2018.08.24

モード1のクラウド化を推進せよ前編

クラウドへの移行で検討したい「4つの選択肢」