sidetech

(元)インフラエンジニアの寄り道メモ。

企業とクラウドの壁の問題

2016年はIoTと唱える魔法の年になりそうですが、クラウドファーストも引き続き…という感じですね。
私はITは攻める方のタイプだと思うので、どのような内容でも、コストと先進性が噛み合えば、いつもギリギリのところで自分を騙して悶絶しながら突き進みます。[E:coldsweats01]

がしかし、色々なルールやセキュリティに縛られている企業様もまだまだ多いのではないかなと。VPNにしても専用線という企業様であればインターネットを参照するにも色々な防波堤があって、利用者も運用者も日々戦いかと思われます。

何時の頃からでしょうか・・・インターネットはHTTP/HTTPS/FTP/DNS/NTPだけという世の中が崩れていったのは。私もインフラ屋になった頃は教科書通りに頑張っていました。
そしたら、世の中考える方々は、HTTPのポート80にHTTPじゃない通信をぶっ混出来たんですね。WEBサーバだけじゃない世界を作り始めてきました。

企業はWEB参照のアクセスログの中に混ざるP2Pに手を焼き始めます。
私も泣かされました。行きつく先は「ねくすとじぇねれーしょんふぁいあーうぉーる」と言われるアプリケーション(L7)解析が出来るもので制御しようという事になりました。
私も例に漏れず?Paloaltoという製品を絶賛しておりますが・・・色々と苦労はないわけではないです。

で、現在はどうなったかというと・・・そもそもHTTPでアプリが何でもできちゃうなら『HTTPポートにこだわる必要なくね?!』みたいなノリで、色々なポートがインターネットを使い始めました。おまけに過去と違うのはサーバがもうどこで動いているのか自由になり、IPもダイナミックだとかいう始末。
この変化にも追従しなければと、規制していたポートも緩め始めました。というかネクストジェネレーションファイアウォールであれば、ポートで規制ではなくてアプリで規制ですからね。アルゴリズムや出たパターン様様です。

私が丁度思い切ったのは、Merakiというクラウドで機器管理をする仕組みを始める時でした(と言いつつ、大昔にSIPをインターネットで処理する手法はやってましたが)。
Merakifwinfo

これはすごく纏まっていて親切です。いつでも確認出来ます。Meraki MR/MX/MSすべて共通で、これだけでよいなら穴の数は少ない方です。まだPaloaltoのようなFWじゃなくても対応できます。
そして、これらの通信は管理用の通信なので、管理用VLANを用意して、社内の通信と隔離したインターネット通信をさせる事も可能なので、クラウドが導入しにくい企業さんでもなんとか出来るんじゃないかな。それでも色々なポートの穴を開けるのには最初は抵抗感がありました。

しかし、同じ?クラウドでも先日Office365で一部の通信が通らない事による不具合が出てきました。更新された情報を見てみました・・・すると・・・。
「Office365 URLおよびIPアドレス範囲」

元々、ドメインでリストを切ってきているIPフィルタ系FW泣かせな条件なのですが、それよりも複雑なこの条件・・・最新のファイアウォールでも対処できるのでしょうか。大抵の企業は、この複雑条件をのみこむよりも、接続ルートをIPで限定した方式を取っているのではないかと思います。つまりクラウド相手にインフラに縛りが強く出る方法です。これってクラウドメリットになっているのでしょうか?私は疑問です。プロキシのスクリプトも見直してます[E:weep]
おまけにMerakiのように管理通信だけじゃなくて、色々なセッションが張りまくるOffice365なので、迂回そのもの出来ません。トラフィックの集中に悩まされ、LBを噛まして?と環境にもよりますが色々な付加努力が必要です・・・。

そして今後HTTPも暗号化とか、IoTに絡んでIPv6が本格的になるかもとか?となってくると・・・もっと頭痛いっす。
もうステートフルパケットが正義とかいう時代になっても結局内部をどう固めるかで悩む訳なんで、セキュリティコストの総体で考えると、ガチガチのままな大企業さんはある意味正しいかと思います。とはいえセキュリティの正当性なんて各々で違いますからね・・・。

そして、これがどっちの立場にも立っていると・・・もっと悩みます[E:wobbly]
スマートなインフラを何時になったら組めるのか・・・まだまだ課題は山積みです。が、その分まだまだインフラには楽しみが残っていると考えるべきかな?[E:catface]

ちょっと愚痴ぽいですね。前向きにチャレンジしていきまっしょい[E:delicious]