スプリット トンネル。 概要: Office 365 の VPN スプリット トンネリング

【SSS】ExpressVPNの設定をしっかりやる

スプリット トンネル

VPN スプリット トンネリングを使用してリモート ユーザーの Office 365 の接続を最適化する Optimize Office 365 connectivity for remote users using VPN split tunneling• For customers who connect their remote worker devices to the corporate network or cloud infrastructure over VPN, Microsoft recommends that the key Office 365 scenarios Microsoft Teams, SharePoint Online and Exchange Online are routed over a VPN split tunnel configuration. これは特に、COVID-19 禍など、大多数の従業員に対して在宅勤務が要求される状況で、従業員の生産性を維持するための最前線の戦略として特に重要になっています。 This becomes especially important as the first line strategy to facilitate continued employee productivity during large scale work-from-home events such as the COVID-19 crisis. 図 1: サービスに直接送信された、定義済み Office 365 例外を使用している VPN スプリット トンネル ソリューション。 他のすべてのトラフィックは、接続先に関係なく VPN トンネルを通過します。 Figure 1: A VPN split tunnel solution with defined Office 365 exceptions sent directly to the service. All other traffic traverses the VPN tunnel regardless of destination. このアプローチの本質は、企業が VPN インフラストラクチャの飽和リスクを軽減し、可能な限り短い時間枠で Office 365 のパフォーマンスを劇的に向上させるためのシンプルな方法を提供することにあります。 The essence of this approach is to provide a simple method for enterprises to mitigate the risk of VPN infrastructure saturation and dramatically improve Office 365 performance in the shortest timeframe possible. VPN クライアントを設定して、最も重要で大量の Office 365 トラフィックが VPN トンネルを迂回できるようにすると、次のようなメリットが得られます。 Configuring VPN clients to allow the most critical, high volume Office 365 traffic to bypass the VPN tunnel achieves the following benefits:• Office 365 のユーザー エクスペリエンスに影響を与えるエンタープライズ VPN アーキテクチャにおける、お客様から報告されたパフォーマンスとネットワーク キャパシティの問題の大半の根本的な原因を即座に軽減する Immediately mitigates the root cause of a majority of customer-reported performance and network capacity issues in enterprise VPN architectures impacting Office 365 user experience 推奨されるソリューションは、トピック「」で「 最適化」として分類されている Office 365 のサービス エンドポイントを特に対象としています。 The recommended solution specifically targets Office 365 service endpoints categorized as Optimize in the topic. これらのエンドポイントへのトラフィックは待機時間および帯域幅の調整の影響を非常に受けやすいため、VPN トンネルを迂回できるようにすることで、エンドユーザーの操作環境を劇的に向上させ、社内ネットワーク負荷を軽減することができます。 Traffic to these endpoints is highly sensitive to latency and bandwidth throttling, and enabling it to bypass the VPN tunnel can dramatically improve the end user experience as well as reduce the corporate network load. 帯域幅やユーザー エクスペリエンスのフットプリントの大部分を構成していない Office 365 接続は、残りのインターネット経由のトラフィックと一緒に VPN トンネルを経由し続けることができます。 Office 365 connections that do not constitute the majority of bandwidth or user experience footprint can continue to be routed through the VPN tunnel along with the rest of the Internet-bound traffic. 詳細については、「」を参照してください。 For more information, see. インフラストラクチャやアプリケーションの要件を追加することなく、お客様が迅速に構成、テスト、実装することができる Can be configured, tested and implemented rapidly by customers and with no additional infrastructure or application requirements VPN プラットフォームやネットワーク アーキテクチャによっては、実装に数時間かかる場合があります。 Depending on the VPN platform and network architecture, implementation can take as little as a few hours. 詳細については、「」を参照してください。 For more information, see. インターネットへのトラフィックを含む他の接続のルーティング方法を変更しないことで、お客様の VPN 実装のセキュリティ体制を維持する Preserves the security posture of customer VPN implementations by not changing how other connections are routed, including traffic to the Internet 推奨される構成では、VPN トラフィックの例外に対する 最小限の特権の原則に従い、ユーザーやインフラストラクチャを追加のセキュリティ リスクにさらすことなく、スプリット トンネル VPN を実装することができます。 The recommended configuration follows the least privilege principle for VPN traffic exceptions and allows customers to implement split tunnel VPN without exposing users or infrastructure to additional security risks. Office 365 エンドポイントに直接ルーティングされるネットワーク トラフィックは暗号化され、Office クライアント アプリケーション スタックによって整合性が検証され、アプリケーション レベルとネットワーク レベルの両方で強化された Office 365 サービス専用のIPアドレスのみに使用されます。 Network traffic routed directly to Office 365 endpoints is encrypted, validated for integrity by Office client application stacks and scoped to IP addresses dedicated to Office 365 services which are hardened at both the application and network level. 詳細については、「」を参照してください。 For more information, see. ほとんどのエンタープライズ VPN プラットフォームでネイティブにサポートされている Is natively supported by most enterprise VPN platforms Microsoft は引き続き商用 VPN ソリューションを製造している業界のパートナーと協力して、上記の推奨事項に沿ったソリューションのための、ターゲットを絞ったガイダンスや構成テンプレートをパートナーが開発できるように支援していきます。 Microsoft continues to collaborate with industry partners producing commercial VPN solutions to help partners develop targeted guidance and configuration templates for their solutions in alignment with the above recommendations. 詳細については、「」を参照してください。 For more information, see. ヒント Office 365 サービス用の文書化された専用 IP 範囲には、スプリット トンネル VPN 構成を集中させることをお勧めします。 Microsoft recommends focusing split tunnel VPN configuration on documented dedicated IP ranges for Office 365 services. 特定の VPN クライアント プラットフォームで使用できる FQDN または AppID ベースのスプリット トンネル構成は、Office 365 の主要なシナリオを完全にカバーしていない可能性があります。 また、IP ベースの VPN ルーティング ルールと競合する場合があります。 FQDN or AppID-based split tunnel configurations, while possible on certain VPN client platforms, may not fully cover key Office 365 scenarios and may conflict with IP based VPN routing rules. このため、スプリット トンネル VPN の構成に Office 365 FQDN を使用することはお勧めしません。 For this reason, Microsoft does not recommend using Office 365 FQDNs to configure split tunnel VPN. FQDN 構成の使用は、その他の関連するシナリオ. pac ファイルのカスタマイズやプロキシ バイパスの実装など に役立つ場合があります。 The use of FQDN configuration may be useful in other related scenarios, such as. pac file customizations or to implement proxy bypass. 完全な実装の詳細については、「」を参照してください。 For full implementation guidance, see. VPN スプリット トンネリング戦略 The VPN split tunnel strategy 従来の社内ネットワークは、大多数のユーザーがそうであるように、ほとんどの重要なデータ、サービス、アプリケーションが構内でホストされ、内部の社内ネットワークに直接接続するという、クラウド以前の環境で安全に動作するように設計されていることが多いです。 Traditional corporate networks are often designed to work securely for a pre-cloud world where most important data, services, applications are hosted on premises and are directly connected to the internal corporate network, as are the majority of users. Thus network infrastructure is built around these elements in that branch offices are connected to the head office via Multiprotocol Label Switching MPLS networks, and remote users must connect to the corporate network over a VPN to access both on premises endpoints and the Internet. このモデルでは、リモート ユーザーからのすべてのトラフィックが社内ネットワークを通過し、共通の出口ポイントを通ってクラウド サービスにルーティングされます。 In this model, all traffic from remote users traverses the corporate network and is routed to the cloud service through a common egress point. 図 2: 接続先に関係なく、すべてのトラフィックを社内ネットワークに強制的に戻すリモート ユーザー用の一般 VPN ソリューション Figure 2: A common VPN solution for remote users where all traffic is forced back into the corporate network regardless of destination 組織がデータやアプリケーションをクラウドに移行するにつれて、このモデルはすぐに煩雑になり、コストが高くなり、拡張性が低くなり、ネットワークのパフォーマンスやユーザーの効率性に大きな影響を与え、組織が変化するニーズに適応する能力を制限してしまうため、効果が小さくなってきました。 As organizations move data and applications to the cloud, this model has begun to become less effective as it quickly becomes cumbersome, expensive and unscalable, significantly impacting network performance and efficiency of users and restricting the ability of the organization to adapt to changing needs. 新型コロナウイルス感染症の危機により、この問題はさらに悪化し、大多数の組織に即時のソリューションが必要になりました。 The COVID-19 crisis has aggravated this problem to require immediate solutions for the vast majority of organizations. これらの組織が効率的に運用し続けるには、迅速なソリューションが必要です。 Rapid solutions are required for these organization to continue to operate efficiently. Office 365 サービスについては、Microsoft はこの問題を念頭に置いてサービスに接続するための要件を設計しました。 これで、集中的で厳密に制御された比較的静的なサービス エンドポイントのセットを、非常に簡単かつ迅速に最適化して、サービスにアクセスするユーザーに高いパフォーマンスを提供できます。 また、VPN インフラストラクチャの負荷を軽減して、それを必要とするトラフィックで使用できるようになります。 For the Office 365 service, Microsoft has designed the connectivity requirements for the service with this problem squarely in mind, where a focused, tightly controlled and relatively static set of service endpoints can be optimized very simply and quickly so as to deliver high performance for users accessing the service, and reducing the burden on the VPN infrastructure so it can be used by traffic which still requires it. Office 365 では、Office 365 に必要なエンドポイントは 3 つのカテゴリ 最適化、 許可、 既定 に分類されています。 Office 365 categorizes the required endpoints for Office 365 into three categories: Optimize, Allow, and Default. 最適化 のエンドポイントはここでの焦点であり、次の特徴があります。 Optimize endpoints are our focus here and have the following characteristics:• Microsoft インフラストラクチャにホストされている Microsoft が所有および管理するエンドポイントである Are Microsoft owned and managed endpoints, hosted on Microsoft infrastructure• Exchange Online、SharePoint Online、Skype for Business Online、Microsoft Teams など、Office 365 のコア ワークロード専用 Are dedicated to core Office 365 workloads such as Exchange Online, SharePoint Online, Skype for Business Online, and Microsoft Teams• IP が提供されている Have IPs provided• 変化率が低く、数も少ないと予想される 現在 20 の IP サブネット Low rate of change and are expected to remain small in number currently 20 IP subnets• 必要なセキュリティ要素をネットワーク上で、インラインではなくサービスで提供することができる Are able to have required security elements provided in the service rather than inline on the network• This tightly scoped set of endpoints can be split out of the forced VPN tunnel and sent securely and directly to the Office 365 service via the user's local interface. これは スプリット トンネリングと呼ばれます。 This is known as split tunneling. DLP、AV 保護、認証、アクセス制御などのセキュリティ要素は、これらのエンドポイントに対して、サービス内のさまざまなレイヤーでより効率的に提供されます。 Security elements such as DLP, AV protection, authentication and access control can all be delivered much more efficiently against these endpoints at different layers within the service. また、トラフィック量の大部分を VPN ソリューションから迂回させることで、VPN に依存しているビジネス クリティカルなトラフィックのために VPN の容量を解放します。 As we also divert the bulk of the traffic volume away from the VPN solution, this frees the VPN capacity up for business critical traffic which still relies on it. この新しい動作方法に対処するための、多くの場合長期にわたり費用のかかるアップグレード プログラムを実行する必要もなくなります。 It also should remove the need in many cases to go through a lengthy and costly upgrade program to deal with this new way of operating. 図 3: サービスに直接送信された、定義済み Office 365 例外を使用している VPN スプリット トンネル ソリューション。 他のすべてのトラフィックは、接続先に関係なく社内ネットワークに強制的に戻されます。 Figure 3: A VPN split tunnel solution with defined Office 365 exceptions sent direct to the service. All other traffic is forced back into the corporate network regardless of destination. セキュリティの観点では、Microsoft には、オンプレミスのセキュリティ スタックによるインライン検査で提供されるセキュリティと同様の、またはより強化されたセキュリティを提供する機能が豊富に用意されています。 From a security perspective, Microsoft has an array of security features which can be used to provide similar, or even enhanced security than that delivered by inline inspection by on premises security stacks. Microsoft セキュリティ チームのブログ投稿「」には、利用可能な機能が明確にまとめられていますので、より詳細なガイダンスを確認できます。 The Microsoft Security team's blog post has a clear summary of features available and you'll find more detailed guidance within this article. また、Microsoft による VPN スプリット トンネリングの実装については、「」を参照してください。 You can also read about Microsoft's implementation of VPN split tunneling at. 多くの場合、この実装は数時間のうちに実現できます。 本格的なリモート ワークへの移行を急速に進めるにつれ、組織が直面している最も差し迫った問題の 1 つを迅速に解決することができます。 In many cases, this implementation can be achieved in a matter of hours, allowing rapid resolution to one of the most pressing problems facing organizations as they rapidly shift to full scale remote working. VPN スプリット トンネルの実装については、「」を参照してください。 For VPN split tunnel implementation guidance, see. 注意 Microsoft は、少なくとも 2020 年 6 月 30 日までは、Office 365向けの 最適化エンドポイントの変更を中断することを約束しており、お客様が当初実装したエンドポイントのホワイトリストを維持するのではなく、他の課題に集中できるようにしています。 Microsoft has committed to suspending changes to Optimize endpoints for Office 365 until at least June 30 2020, allowing customers to focus on other challenges rather than maintaining the endpoint whitelist once initially implemented. 関連項目 Related topics 関連記事.

次の

ASA/PIX: ASA で VPN クライアントのスプリット トンネリングを許可するための設定例

スプリット トンネル

スプリットトンネリング スプリットトンネリングにより、VPN クライアントは、VPN に接続または VPN から切断することなく、セキュリティー保護されたサイトおよびセキュリティー保護されていないサイトの両方に接続できます。 この場合の VPN は Netlet です。 クライアントは、暗号化パスを通して情報を送信するか、または非暗号化パスを使用して送信するかどうかを判別します。 スプリットトンネリングの問題点は、セキュリティー保護されていないインターネットから、クライアントを介して VPN によるセキュリティー保護ネットワークに直接接続が可能であることです。 スプリットトンネリングをオフにすると両方の接続が同時に許可されることがなくなり、インターネット侵入に対する VPN 接続 この場合は Netlet 接続 の脆弱性が低減します。 Portal Server は、ポータルサイトに接続されている間、複数のネットワーク接続を禁止したりシャットダウンしたりしませんが、権限のないユーザーが他のユーザーのセッションに便乗 piggybacking する行為を次の方法で阻止します。 Netlet は、アプリケーション特有の VPN であり、汎用 IP ルーターではありません。 Netlet は、Netlet ルールによって定義されたパケットを転送するだけです。 この仕組みは、一度ネットワークに接続すれば LAN 全体へのアクセス権が与えられる標準的な VPN とは異なります。 Netlet を実行できるのは、認証済みのポータルユーザーだけです。 ポータルアプリケーションはユーザーが正常に認証されるまで実行されることはなく、認証されたセッションがなければ新規接続は確立されません。 アプリケーション側の所定のアクセス制御すべては有効に機能し続けるので、攻撃者はバックエンドアプリケーションにも侵入しなければならなくなります。 Netlet 接続が確立されると、認証されたユーザーの JVM TM で動作する Netlet によって、毎回ダイアログボックスによる通知が認証されたユーザーの画面に表示されます。 ダイアログボックスでは、検証と確認を行なって新規接続を許可するかどうか尋ねられます。 攻撃者が Netlet 接続を利用するためには、Netlet が実行していたこと、Netlet が待機していたポート番号、およびバックエンドアプリケーションへの侵入方法を知っており、ユーザーに安心して接続を認めさせることが必要になります。

次の

SSL

スプリット トンネル

MobileIron Sentry, an intelligent security gateway, and MobileIron Tunnel, a secure VPN solution, allow you to quickly enable your remote workforce with secure connectivity to apps on premises and in the cloud. With these solutions, you can deploy conditional access, data encryption across all networks, and passwordless authentication today. Intelligent secure gateway that provides conditional access to on-premises apps and services Allow remote workers to use any mobile device or PC to securely connect to your intranet, on-premises email, and on-premises apps with real-time security and without requiring them to jump through additional security hoops. Sentry enforces access control policies to ensure that only managed and compliant devices with authorized apps can access your business information. Advanced traffic control capabilities allow you to define granular firewall-like rules to ensure that users can only connect to apps and services they are authorized to. Certificate-based authentication allows for passwordless access and protection against man-in-the-middle attacks• Integration with the MobileIron unified endpoint management UEM solution prevents non-compliant, jailbroken, or otherwise compromised devices from connecting to the intranet. Sentry is designed for high-volume performance and redundancy to meet the requirements of global organizations. Per-app or device-level VPN that provides data encryption across all mobile devices and PCs MobileIron Tunnel protects network data with an innovative, multi-OS app VPN that supports , , , and devices. With Tunnel, IT administrators can effortlessly configure devices with identity certificates and VPN configurations, which enables seamless and secure enterprise access for the employee. Tunnel can be deployed on a per-app basis to ensure data from business apps is always encrypted and secure over all networks. In addition, data from personal apps is not visible to IT, which ensures that user privacy is always protected. Per-app or device-level VPN connectivity can be enabled on all managed devices including iOS, Android, macOS, and Windows 10. Per-app VPN supports all in-house and public apps without requiring the use of SDKs or app wrappers. On-demand VPN is automatically established without requiring any additional user interaction. Secure and encrypt business data across all networks, including cellular and public Wi-Fi, with per-app or device-wide VPN. This supports all modern operating systems and device management frameworks including iOS and macOS device management, Android Enterprise, and Windows 10 modern management. In addition, granular conditional access policies block non-compliant devices and apps from connecting to business services. She said it was like magic.

次の