Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
クラウド時代のインターネット接続
技術ひろば.net 山田修
レジュメ
Office365導入時の検討事項
• 処理能力の観点から
• 防御の観点から
• 将来を見越しての認証連携
• まとめ
処理能力の観点から
Office365を導入する際のはまりポイントかもしれない
事の発端は、ユーザーからの要望
• メールの容量が足りないから、大きくして!
→サーバーの容量不足
• クライアントに保存すると、容量は確保できるけど。。。
→ディスク障害になったらどうしよう
Office365を導入しよう
Office365導入を決定し、
「さぁ、やるぞ」 と思ったら
いきなり、問題発覚
処理能力不足
打ち合わせ中にベンダーから強烈な一言
セッション処理能力が不足するかも
• Outlook2010の場合、1クライアント7セッション程度
(Outlook2013なら、少し減るかも。)
• Office365以外にもセッションは必要
実際のところどうなの?
• Powershellで確認(デモ)
• コマンド : netstat –n
ExchangeOnlineとの通信は、443ポートを使用する
Established = 通信が確立しているセッション
ファイアウォール、プロキシーの能力増強が必要
× クライアント数
セッション1
セッション5
セッション4
セッション3
セッション2
セッション10
・
・
・
処理能力が10倍必要になる
セッション数と負荷の関連
時間帯 セッション数 CPU負荷
時間帯1 300 40%
時間帯2
ダウンロード中
60 20%
時間帯3 40 10%
時間帯4 350 50%
仮想サーバーでWebSecurityソフト稼働時
さらにセッション処理能力が必要に
• クラウドサービスの利用
(Salesforceなどのサービス)
• クラウド上のインフラ利用
(Azure、AWSなどのIaas、Paas)
• IoTの通信
(デバイスがクラウドサービスに直接アクセスする)
処理能力不足をどうするか
• クラウドサービスの利用をあきらめる
→ユーザーに我慢してもらう、サーバーの増強
• セキュリティレベルを落とす
→後のセキュリティリスクの原因
• 処理能力を上げる
処理能力を上げるには
• 並列処理させる
→台数を増やす
→処理が複雑
• 処理能力を高める
→高性能の機器に更新
コスト高 コストはかかるが割安
FireWall+
WebSecurity
新設計
FireWall
結局
セッション処理能力不足
→WebSecurityの
更新が必要
思わぬ出費
防御の観点から
能力不足でもセキュリティレベルは下げられない
ファイアウォールで何を制御できる?
• 2000年頃
ファイアウォールのポートで制御
(Webの割合は、今ほど多くない。)
• 現在
ファイアウォールを通り抜けるために
443(HTTPS)、80(HTTP)ポートを使用する
→Web関連のポー...
ポートの種類と役割
プロトコル ポート 機能
FTP TCP 20/21 ファイル送受信用
Telnet TCP 23 リモート接続用
SMTP TCP 25 メール転送
DNS TCP 53 名前解決
HTTP TCP 80 Web
POP3...
クライアントの通信の割合
75%
14%
11%
2014年度クライアント通信割合
HTTP HTTPS その他
Web関連だけで(90%)
→真面目に検討が必要
IIJのホームページより
どんな通信が流れている?
• 通信しているアプリケーションの監視は難しい
日立ソリューションズのホームページより
どんな通信が流れているか把握するには
• 通常のファイアウォールで、通信の中身の確認は難しい
• 資産管理ソフトで監視
インストールされているソフトウェア名で調べる
→専用アプリでない場合、調べられない
• Webフィルタリング
→ブロックして...
ポートではなく、アプリケーションで
• アプリケーション単位で制御が必要
日立ソリューションズのホームページより
多層防御も考慮
ファイアウォール以外の
セキュリティ手段
• アンチウィルス
• URLフィルタリング
• 不正侵入防御(IPS)
など
ファイアウォール
URLフィルタリング
不正侵入防御
アンチウィルス
デ
ー
タ
インターネット
社内
実現するには
• 単機能のサーバー(専用機)の組み合わせ
サーバー(専用機)が増える→コスト高
• UTM(統合脅威管理)
複数機能を1つにした製品→処理能力不足の可能性
• 次世代ファイアウォール(PaloAltoなど)
すべてを処理する前提...
ありきたりですが
機能、処理能力、費用を
考慮して検討を
能力不足の解消より、セキュリティ強化の方が伝わりやすい
当前ながら
将来を見越しての認証連携
最初の選択が後々影響する可能性大
2014年の年末、こんなことを聞きました
「Office365の認証は
AzureAD」
クラウドサービスの利用は増加の一方
• コスト削減(管理工数、サーバー更新費用)
• 利便性(社外の拠点で利用できる)
• 便利なサービス(Azure、AWSなどで提供される)
• IoTでクラウドのサーバー利用
→ Office365だけで終...
将来、認証サービス連携が必要になる
• ADFS on Cloud
(ソフトバンク、5000ユーザー以上、25万/月)
• ADFS on Azure
(富士ソフト、1000ユーザー以上、10万/月)
• Online Service Gate...
ということで、聞いてみました。
「将来、ADFS設定の
サポートしてくれますか?」
回答1 R社の場合
「当社で、ADFS設定のサポートを
しておりません。
協力業者にお願いすることに
なります。」
本命だったのに。。。
回答2 F社の場合
「ADFSの設定サポートは
当社でOffice365を導入して
いただいた場合のみとなります。」
でも、Office365に本気じゃなさそう。。。
回答3 O社の場合
「ADFS設定をサポート可能ですが、
当社で導入していただかないと、
Office365との連携で
障害発生時にご迷惑がかかるかと。」
言い方一つで、印象って変わるんだよね。。。
事実上
ADFSの連携サポートは
Office365とセット
サポートは
必要だよな~
まとめ
ということで
クラウドサービス導入時の注意点
•ITインフラの処理能力を事前に検討
•セキュリティ強化も忘れずに
•認証サービス連携(ADFSなど)の
必要性を検討
参考ページ
• 日立ソリューションズのパロアルトのページより
http://www.hitachi-solutions.co.jp/paloalto/sp/products/solution/control.html
• IIJのブロードバンド...
Upcoming SlideShare
Loading in …5
×

クラウド時代のインターネット接続

880 views

Published on

4/25の技術ひろばのセッションのスライドです。
「クラウドサービスを利用すれば、簡単に解決できる。」
と思いがちですが、利用する際に注意したほうがいい点が
ありますので、これをまとめました。

これ以外にも色々あると思いますが、
クラウドサービス検討時に参考にしていただければ幸いです。

Published in: Engineering
  • Be the first to comment

クラウド時代のインターネット接続

  1. 1. クラウド時代のインターネット接続 技術ひろば.net 山田修
  2. 2. レジュメ Office365導入時の検討事項 • 処理能力の観点から • 防御の観点から • 将来を見越しての認証連携 • まとめ
  3. 3. 処理能力の観点から Office365を導入する際のはまりポイントかもしれない
  4. 4. 事の発端は、ユーザーからの要望 • メールの容量が足りないから、大きくして! →サーバーの容量不足 • クライアントに保存すると、容量は確保できるけど。。。 →ディスク障害になったらどうしよう Office365を導入しよう
  5. 5. Office365導入を決定し、 「さぁ、やるぞ」 と思ったら
  6. 6. いきなり、問題発覚
  7. 7. 処理能力不足 打ち合わせ中にベンダーから強烈な一言 セッション処理能力が不足するかも • Outlook2010の場合、1クライアント7セッション程度 (Outlook2013なら、少し減るかも。) • Office365以外にもセッションは必要
  8. 8. 実際のところどうなの? • Powershellで確認(デモ) • コマンド : netstat –n ExchangeOnlineとの通信は、443ポートを使用する Established = 通信が確立しているセッション
  9. 9. ファイアウォール、プロキシーの能力増強が必要 × クライアント数 セッション1 セッション5 セッション4 セッション3 セッション2 セッション10 ・ ・ ・ 処理能力が10倍必要になる
  10. 10. セッション数と負荷の関連 時間帯 セッション数 CPU負荷 時間帯1 300 40% 時間帯2 ダウンロード中 60 20% 時間帯3 40 10% 時間帯4 350 50% 仮想サーバーでWebSecurityソフト稼働時
  11. 11. さらにセッション処理能力が必要に • クラウドサービスの利用 (Salesforceなどのサービス) • クラウド上のインフラ利用 (Azure、AWSなどのIaas、Paas) • IoTの通信 (デバイスがクラウドサービスに直接アクセスする)
  12. 12. 処理能力不足をどうするか • クラウドサービスの利用をあきらめる →ユーザーに我慢してもらう、サーバーの増強 • セキュリティレベルを落とす →後のセキュリティリスクの原因 • 処理能力を上げる
  13. 13. 処理能力を上げるには • 並列処理させる →台数を増やす →処理が複雑 • 処理能力を高める →高性能の機器に更新 コスト高 コストはかかるが割安 FireWall+ WebSecurity 新設計 FireWall
  14. 14. 結局 セッション処理能力不足 →WebSecurityの 更新が必要 思わぬ出費
  15. 15. 防御の観点から 能力不足でもセキュリティレベルは下げられない
  16. 16. ファイアウォールで何を制御できる? • 2000年頃 ファイアウォールのポートで制御 (Webの割合は、今ほど多くない。) • 現在 ファイアウォールを通り抜けるために 443(HTTPS)、80(HTTP)ポートを使用する →Web関連のポートなので閉じれない (流れている中身もわからない。)
  17. 17. ポートの種類と役割 プロトコル ポート 機能 FTP TCP 20/21 ファイル送受信用 Telnet TCP 23 リモート接続用 SMTP TCP 25 メール転送 DNS TCP 53 名前解決 HTTP TCP 80 Web POP3 TCP 110 メール受信 NTP UDP 123 時刻同期 IMAP TCP 143 メールサーバー上のメール操作 HTTPS TCP 443 Web
  18. 18. クライアントの通信の割合 75% 14% 11% 2014年度クライアント通信割合 HTTP HTTPS その他 Web関連だけで(90%) →真面目に検討が必要 IIJのホームページより
  19. 19. どんな通信が流れている? • 通信しているアプリケーションの監視は難しい 日立ソリューションズのホームページより
  20. 20. どんな通信が流れているか把握するには • 通常のファイアウォールで、通信の中身の確認は難しい • 資産管理ソフトで監視 インストールされているソフトウェア名で調べる →専用アプリでない場合、調べられない • Webフィルタリング →ブロックしてはくれるが、何が流れているか 確認することは難しい
  21. 21. ポートではなく、アプリケーションで • アプリケーション単位で制御が必要 日立ソリューションズのホームページより
  22. 22. 多層防御も考慮 ファイアウォール以外の セキュリティ手段 • アンチウィルス • URLフィルタリング • 不正侵入防御(IPS) など ファイアウォール URLフィルタリング 不正侵入防御 アンチウィルス デ ー タ インターネット 社内
  23. 23. 実現するには • 単機能のサーバー(専用機)の組み合わせ サーバー(専用機)が増える→コスト高 • UTM(統合脅威管理) 複数機能を1つにした製品→処理能力不足の可能性 • 次世代ファイアウォール(PaloAltoなど) すべてを処理する前提で設計→処理が早い
  24. 24. ありきたりですが 機能、処理能力、費用を 考慮して検討を 能力不足の解消より、セキュリティ強化の方が伝わりやすい 当前ながら
  25. 25. 将来を見越しての認証連携 最初の選択が後々影響する可能性大
  26. 26. 2014年の年末、こんなことを聞きました 「Office365の認証は AzureAD」
  27. 27. クラウドサービスの利用は増加の一方 • コスト削減(管理工数、サーバー更新費用) • 利便性(社外の拠点で利用できる) • 便利なサービス(Azure、AWSなどで提供される) • IoTでクラウドのサーバー利用 → Office365だけで終わらない。
  28. 28. 将来、認証サービス連携が必要になる • ADFS on Cloud (ソフトバンク、5000ユーザー以上、25万/月) • ADFS on Azure (富士ソフト、1000ユーザー以上、10万/月) • Online Service Gate (ソフトバンク、100ユーザー以上、18万/年~) • ADFS(自力?) • Azure上で安価にADFS提供(してほしい) 高いな~
  29. 29. ということで、聞いてみました。 「将来、ADFS設定の サポートしてくれますか?」
  30. 30. 回答1 R社の場合 「当社で、ADFS設定のサポートを しておりません。 協力業者にお願いすることに なります。」 本命だったのに。。。
  31. 31. 回答2 F社の場合 「ADFSの設定サポートは 当社でOffice365を導入して いただいた場合のみとなります。」 でも、Office365に本気じゃなさそう。。。
  32. 32. 回答3 O社の場合 「ADFS設定をサポート可能ですが、 当社で導入していただかないと、 Office365との連携で 障害発生時にご迷惑がかかるかと。」 言い方一つで、印象って変わるんだよね。。。
  33. 33. 事実上 ADFSの連携サポートは Office365とセット サポートは 必要だよな~
  34. 34. まとめ ということで
  35. 35. クラウドサービス導入時の注意点 •ITインフラの処理能力を事前に検討 •セキュリティ強化も忘れずに •認証サービス連携(ADFSなど)の 必要性を検討
  36. 36. 参考ページ • 日立ソリューションズのパロアルトのページより http://www.hitachi-solutions.co.jp/paloalto/sp/products/solution/control.html • IIJのブロードバンドトラフィックレポートより http://www.iij.ad.jp/company/development/report/iir/024/02_04.html

×