コロナウイルスの発生とその後の世界的な大流行により、世界中の何百万人もの勤労者が在宅勤務を強いられるようになりました。この突然の接続モデルとワークフォースマネージメントの変化に伴って技術的な問題が起こっている会社もあるようです。 既存のネットワーク容量で数百人あるいは数千人もの社員のテレワークをサポートしなければならないIT部門は四苦八苦しています。
特に、VPN への負荷は大きな問題になる可能性があります。このブログでは、在宅勤務者が大量の作業を行っても VPN が過負荷にならないようにし、ビジネスの継続性を確保するための3つの考慮事項を示します。
1. スプリットチャネル VPN の採用
ほとんどのオフィス VPN は、トラフィックを検査および監視するために、ユーザーの VPN チャネルを介してすべてのトラフィックをルーティングするように設定されています。これには、ファイル共有リクエストなどのオフィストラフィックだけでなく、不要なトラフィック、さらにはインターネットへのトラフィックも含まれます。すべての HTTPS リクエストと応答は、オフィスの WAN のアップロード側とダウンロード側の両方に2回ヒットすることになり、帯域幅の大量消費につながる可能性があります。
Office 365、Skype、Slack などのオンラインアプリへのトラフィックが既に暗号化されている場合は、このトラフィックチェックはほとんど必要ないので、オフィス WAN をスキップして、トラフィックをユーザーからクラウドに直接送信することで、帯域幅消費を節約できます。
オフィス VPN を介してオフィス向けトラフィックのみをルーティングし、他のすべてのインターネットトラフィックを宛先に直接送信できるようにすることで、簡単に VPN トラフィックを大幅に削減できます。ただグローバルルーティングを無効にし、代わりに VPN を介してオフィスサブネットのみをルーティングするようにするだけです。もちろん、コンプライアンス要件や規制が厳しい環境では、この方法が許容されない場合があるので、事前に確認する必要があります。
インターネット経由のトラフィックのコントロールを放棄したくない場合は、代替手段として、VPN を回避しても安全であることがわかっているサービスのみを有効にすることも可能です。Microsoft は、Office 365トラフィックを最適化するためにこのアプローチを取ることを顧客に推奨しており、PowerShell スクリプトでクエリできる、MSサービスエンドポイントを識別するための API を提供しています。
2. ユーザー教育と VPN 使用の優先順位付け
スプリットチャネル VPN をデフォルト使用するにせよしないにせよ、ユーザーが VPN に必要以上に大きな負荷をかけている可能性は高いです。これまでに、VPN アクセスを必要とするアプリケーションとファイル共有の多くが、独自のセキュリティ対策を備え、VPN アクセスを必要としない SaaS アプリケーションに置き換えられてきました。にもかかわらず、多くのユーザーは、独自の保護ファイアウォールとフィルターを持ち、VPN を必要としない Office 365 などのクラウドベースのアプリにも VPN を使用し続けています。したがって、誰が何のために VPN を使用しているのかを確認し、どのサービスが VPN を必要とし、どのサービスが必要としないかをユーザーに明確に伝えることが重要です。そうすることで、スプリットチャネルを設定しなくても、VPN の負荷を大幅に削減できます。
3. 潜在的な問題の監視
最後に、WANの状態やネットワークの状態を正確に把握し、VPN が使用している帯域幅についても把握しておきたい場合は、WAN 帯域幅の使用状況と VPN アクセスを注意深く監視する必要があります。どの監視ツールを使用してもSNMP ポーリングやトラップを使用して VPN トンネルのアップ/ダウン状況は監視できるはずですが、それに加えて、可能な限り、ユーザー名、IPアドレス、ローカルアドレス、クライアントバージョン、接続時間、開始/終了時間などの情報も収集する必要があります。そうすることで、VPN 接続全体の状況を把握し、帯域幅の大量消費があればそれを特定できます。注意深く分析して、パフォーマンス悪化が顕在化する前に帯域幅容量を追加する必要がある時期を判断できます。
VPN 帯域幅だけではなく、総合的な帯域幅監視は大変有用です。帯域幅使用をリアルタイムで監視して、帯域幅を大量消費するインタフェース/リンク/アプリケーション/ユーザー/プロトコルを特定でき、どこに無駄があるかを把握して、業務に重要なアプリケーションに十分なリソースを与えられるよう最適化できます。 WhatsUp Gold などのネットワーク監視ツールを使用すると、デバイス、アプリケーション、サーバー、リンク接続、専用回線など、ネットワークのすべての領域で帯域幅の使用状況を追跡し、ネットワーク帯域幅の使用率とトラフィックを把握できます。