設計上の決定:ホームオフィス向けCitrix SD-WAN

概要

ホームオフィス向けのCitrix SD-WAN は、複数の柔軟なトポロジで展開できます。また、ホームワーカー向けのCitrix Virtual Apps and Desktopsセッションの配信を強化することもできます。この設計文書では、ホームオフィスにCitrix SD-WAN を実装して、ホームワーカーが最適な使用を実現するための設計決定に関するガイダンスを提供します。

ネットワーク管理

SD-WAN 展開のネットワーク管理者は、ソリューションのロールアウトを成功させるうえで重要な役割を果たします。SD-WAN 配置の設計および保守において、管理者は次の点に注意します。

  • 企業のセキュリティ要件を遵守しながら、必要なユーザーのみに企業ネットワークアクセスを可能にする
  • 地理的に異なるリージョンに分散された数百または数千のエンドポイントを迅速に効率化
  • サービス品質を通じて、全社的なビジネスポリシーで最高のユーザーエクスペリエンスを実現
  • 管理可能な数の格差を考慮しながら、パフォーマンスとユーザーエクスペリエンスを安定化

導入の成功は、技術レベルとビジネスレベルの両方でシームレスな実行に左右されます。このマニュアルでは、ネットワーク管理者が SD-WAN の配置を成功に導くために、詳細と推奨事項について説明します。

ネットワークセキュリティに関する考慮事項

ホームオフィスへの企業のネットワークアクセスを可能にすると、潜在的な攻撃ベクトルが開きますので、可能な限りリスクを軽減するために、特別な予防措置を講じることを強くお勧めします。これらの手順には、以下が含まれます。

  1. 障壁を追加してネットワークを分離し、ホームワーカーなどの新しく導入されたセグメントのリーチを制限する
  2. ホームオフィスのユースケースを管理可能な範囲に限定することにより、複雑さを排除
  3. ネットワーク接続を監視し、ローカルデバイスへのアクセスを排除することにより、エンドポイントを制御する
  4. エンドポイントを常時監視してエンドポイントのアクティビティを監視し、エンドポイントの動作が標準から外れたときにアラートを設定する
  5. クラウドサービス(Citrix Secure Internet Access、Zscaler、またはパロアルトPrismaなど)によるセキュリティ保護でSD-WANソリューションを強化する
  6. ハイエンドのSD-WAN Advanced Editionアプライアンスを活用して、統合されたセキュリティスタックのロックを解除したり、業界をリードするセキュリティベンダーとのシンプルな統合により、サードパーティのファイアウォール(パロアルト、チェックポイントなど)を仮想ネットワーク機能(VNF)として活用できます。

ネットワークのセキュリティに関する考慮事項について詳しく説明する前に、まず、ホームオフィスのトラフィックプロファイルにCitrix Virtual Apps and Desktopsが含まれている場合に行う必要がある設計上の決定について概説します。

決定事項:Citrix Virtual Apps and Desktops の配信

企業ネットワークをリモートリソースに拡張する際のセキュリティを最適化するには、Citrix Virtual Apps and DesktopsなどのCitrixテクノロジを常に使用することをお勧めします。Citrix Virtual Apps and Desktops この技術は、長年にわたり仮想クライアントコンピューティングをリードしており、安全なネットワークの設計に役立ちます。ここでは、 Citrix Virtual Apps and Desktops のセキュリティに関する詳細情報を見つけることができます。Citrix SD-WAN をこのソリューションと組み合わせることで、WANが常に信頼できないリモートサイトへの配信を効率化することができます。

ユーザーは、任意のデバイスからCitrix Virtual Apps and Desktops にリモート接続します。データセンターネットワークでは、セキュリティのため、受信フロントエンドトラフィックは、Citrix Virtual Apps and Desktopsインフラストラクチャサーバーおよびサービス間でバックエンドトラフィックから分離されます。このアプローチにより、個別の非武装ゾーン (DMZ) を使用して、フロントエンドとバックエンドのトラフィックフローを分離し、きめ細かいファイアウォールの制御と監視を行うことができます。

Citrix Gateway ICAプロキシ

1つのアプローチは、Citrix Virtual Apps and Desktopsのトラフィックパスに直接ブックが終了したSD-WANソリューションを配置することです。この展開では、SD-WAN デバイスは、リンクアグリゲーション、サブ秒の復元性、QoS などの機能を提供し、暗号化された HDX トラフィックを他のトラフィックタイプよりも優先させることができます。

Citrix Gateway ICAプロキシ

ただし、このシナリオでは、SD-WAN アプライアンスは暗号化されたペイロードのみを認識することを理解することが重要です。SD-WANオーバーレイを介して配信されるトラフィックは、ユーザーエンドポイントとCitrix Gatewayの間で暗号化されます。暗号化されたトラフィックは、SD-WAN の HDX 自動 QoS 機能と、HDX トラフィックの SD-WAN エクスペリエンス品質(QoE)レポートが機能しないことを意味します。HDX 自動 QoS は、SD-WAN ピア間で配信された場合に HDX セッションを動的に調査するように設計されています。これは、単一のHDXセッションを構成する異なるチャネル間の差別化を可能にします。この機能は、マルチストリームICAとも呼ばれ、バルクデータチャネルよりも対話型チャネルの優先順位付けが可能になり、エンドユーザーエクスペリエンスが向上します。Citrix SD-WANの統合による主な利点は、Citrix Virtual Apps and DesktopsサーバーがセッションをシングルストリームICAに保持できるのに対し、SD-WANは仮想パス/オーバーレイ全体でマルチストリームICAを動的に配信できることです。

推奨されるアプローチは、ホームオフィスからアクセスするユーザに、インターネット経由でアクセスする一般的な外部ユーザとは異なるアクセス方法を使用して SD-WAN を提供することです。

StoreFront

SD-WANオーバーレイを介して接続しているホームワーカークライアントエンドポイントは、Citrix Gatewayを介さなく、「内部」StoreFront URLなど、Citrix Virtual Apps and Desktopsリソースへの直接アクセスを許可し、安全であると見なす必要があります。この方法では、HDX トラフィックは SSL 暗号化として送信されないため、SD-WAN デバイスはポート 2598 を使用して HDX プロトコルを参照し、自動 QoS 機能を開始できます。SD-WANの自動QoS機能を使用するには、Citrix Virtual Apps and Desktops LTSR 7-1912以降のリリースを使用する必要があります。このシナリオでは、HDX トラフィックは WAN を通過しても保護されます。これは、SD-WAN ピアは、ネットワーク内の SD-WAN デバイス間の利用可能なすべての WAN パスで AES 暗号化されたトンネルを確立するためです。さらに、暗号化キーローテーション付きの認証プロセスも組み込まれており、各仮想パスのキーの再生成を 10 ~ 15 分間隔で実行できます。したがって、WAN オーバーレイでは、信頼できるピアだけが許可されます。ここでは、 Citrix SD-WAN セキュリティのベストプラクティスに関する詳細情報を見つけることができます

認証後にゲートウェイによる暗号化をバイパスする別の方法は、SD-WAN が暗号化されていない HDX を認識できるようにビーコンを使用することです。ビーコンは、Citrix Workspaceアプリ(CWA)がクライアントホストマシンが内部ネットワークまたは外部ネットワーク上にあるかどうかを判断するために接続しようとするURLです。例えば、支店サイト、SD-WAN 110のホームオフィス、コーヒーショップまたは空港など。CWAが内部ビーコンポイントに接続できず、外部ビーコンポイントに対する応答を受信する場合は、ユーザーデバイスが内部ネットワークの外部にあり、Citrix Gateway経由でデスクトップおよびアプリケーションに接続する必要があり、HDXトラフィックを暗号化する必要があります。SD-WANホームオフィスネットワークは内部ネットワークとみなし、Citrix Gatewayをバイパスして暗号化されていないHDXトラフィックを提供する必要があります。ここでは、 ビーコン設定に関する詳細情報を見つけることができます

Citrix Virtual Apps and Desktopsを含む展開では、データおよびワークロードはデータセンター内で安全に保持されます。インターネットトラフィックへのアクセスも、データセンターのローカルインターネットリンクを介して処理されます。インターネットトラフィックは、実際には新しい WAN オーバーレイをリモートユーザに送信しません。サポートされているクライアントホストでHDXリダイレクトが有効になっている場合、Microsoft Teamsなどのインターネットトラフィックは、リモートクライアントホストがローカルのインターネットソースを使用してそれをフェッチするために、HDXセッションから切断される特定のシナリオでのみ発生します。ここでは、ホームオフィス SD-WAN を有効にして、インターネットサービスでそのトラフィックを適切にルーティングできます。インターネットブレークアウトを通じて Office 365 クラウドに直接ルーティングできます。

ファイアウォール DMZ を介したホームオフィスネットワークの制限

ネットワークセキュリティ設計上の考慮事項の 1 つは、ホームオフィスのトラフィックをバックホールし、ファイアウォールの DMZ を介した企業ネットワークへのリソースと接続を制限することです。さらに、SD-WAN デバイス上のファイアウォールポリシーは、リモートホームオフィスネットワーク内のすべての SD-WAN デバイスに集中的にプッシュできます。これらのポリシーは、「New WAN オーバーレイ」で許可されるトラフィックを、特定のアプリケーション、プロトコル、サーバ IP などに限定します。

ファイアウォールDMZ

ネットワークトポロジの選択は、必要な機能、パフォーマンス、およびセキュリティ要件をサポートできるように、リモートアクセスアーキテクチャを計画する上で中心となります。リモートアクセスアーキテクチャの設計は、セキュリティチームと共同で完了し、企業のセキュリティ要件と標準を確実に遵守する必要があります。いずれの場合も、WAN の最後のマイルにおける典型的な課題に対処するために、新しい SD-WAN オーバーレイは、ほとんどのホームワーカーが利用できる共有インターネットアクセスリンクで通常見られる問題を直接解決します。このメリットは、幸せで生産的なホームワーカーに最適なユーザーエクスペリエンスを提供するために必須のソリューションとなります。

ルーティングドメインを使用したネットワークのセグメント化(VRF-Lite)

Citrix SD-WAN では、仮想ルーティングと転送を使用して、SD-WAN展開をセグメント化し、セキュリティと管理性を向上させることができます。Citrix SD-WAN でのこの機能は、ルーティングドメインと呼ばれます。リモートオフィスをデータセンターに接続する既存のCitrix SD-WAN 展開では、新しいホームオフィスルーティングドメインを導入して、ホームオフィスのネットワークトラフィックと企業のネットワークトラフィックを分離することができます。各ルーティングドメインは、SD-WAN デバイス上に独自のルートテーブルを保持します。仮想パスはすべてのルーティングドメインと通信できます。トンネルへのパケットの入力では、システムに入るために使用されるインターフェイスに関連付けられたルーティングドメインに基づいて、パケットにタグが付けられます。トンネル内では、各パケットは関連付けられたルーティングドメインでタグ付けされ、トンネルの出力時には、関連するルーティングテーブルが適切な配信に使用されます。既存の SD-WAN サイト展開では、デフォルトのルーティングドメインを使用できます。専用インターフェイスを利用して、新しいルーティングドメインをヘッドエンド SD-WAN デバイスに追加できます。このドメインは、次の図に示すように、企業ネットワーク内の限られたホームオフィスリソースへのアクセスを提供できます。

ルーティングドメイン

ここでは、 Citrix SD-WAN ルーティングドメインに関する詳細情報を見つけることができます

ホームオフィスネットワーク設計に関する考慮事項

大規模なSD-WAN導入用に設計された中央管理ツールにより、数千ものエンドポイントを迅速に導入できます。ただし、可能な場合、管理者は、ホームユーザーのユースケースを管理可能な範囲に限定して、複雑さを解消する必要があります。たとえば、最初のホームオフィスネットワーク設計で、特定のプラットフォームで 1 つの展開モードのみをサポートするようにします。ただし、選択肢は多数あり、ホームオフィスのローカルネットワークの可用性に大きく依存します。次に、さまざまなローカルネットワークの差異を念頭に置いて、いくつかの潜在的なオプションを概説します。また、ホームオフィスネットワークに対応するために SD-WAN デバイスを導入する際に、それぞれのメリットと考慮すべき事項についても説明します。

決定事項:WANリンク

単一 ISP(VPN の置き換え)

  • プロバイダー:
    • ISP #1 (一つだけ) 単一ISPの判断
  • 長所:
    • サイト間(SD-WANリモートワークネットワークに同時に接続する多数のデバイスを有効にする)ため、複数のポイントツーサイトVPN接続が不要になります
    • 企業リソースへの迅速なアクセス(ローカル SD-WAN MCN/RCN リージョン PoP)
    • エンタープライズグレードのファイアウォールでローカルインターネットブレイクアウトを使用するためのセキュリティの強化
    • 仮想パス/オーバーレイのメリット:
      • QoS(双方向およびプロトコル間)によるパフォーマンスの向上
      • アプリケーションベースのルーティング
      • 損失の軽減(パケットの複製/再送信)
      • 複数の DC WAN リンクが DC 障害に対して冗長性を提供できる
      • ローカルリンク適応帯域幅検出
      • SD-WAN Orchestrator による一元管理(構成、レポート、アラートなど)
      • リンク監視/メトリック(SLA コンプライアンスに役立つ)
      • (オプション)リモートワークネットワーク用の DHCP サーバ
      • (オプション)インターネットバインドトラフィック用のCitrixセキュアインターネットアクセス
  • 注意事項:
    • 単一の ISP WAN リンクが原因で SD-WAN オーバーレイ負荷分散がない
    • 単一ISP WANリンクにより、SD-WANオーバーレイの復元性がない
    • 単一の ISP WAN リンクが原因で、ローカルインターネット負荷分散がない
    • ISP の WAN リンクが単一であるため、ローカルインターネットの復元性がない

デュアル ISP

  • プロバイダー:
    • ISP #1
    • ISP #2 デュアル ISP の決定
  • 利点 (さらに、単一 ISP の利点に):
    • 複数の ISP WAN リンクを使用して同時に帯域幅を集約したサイト間サイト間
    • 両方の ISP WAN リンクを使用した SD-WAN オーバーレイ負荷分散の同時使用
    • 両方の ISP WAN リンクを使用した SD-WAN オーバーレイの復元性
    • 両方の ISP WAN リンクを使用して同時にローカルインターネット負荷分散
    • 両方の ISP WAN リンクを使用したローカルインターネットの復元性
    • (オプション)インターネット接続のトラフィックに対するCitrixセキュアインターネットアクセスへの耐障害性
  • 注意事項:
    • 2 番目の ISP WAN リンクの追加コスト
    • ISP の設定にかかる時間と労力 #2
    • 追加のハードウェアが必要 (ISP用モデム #2)

ISP + LTE

  • プロバイダー:
    • ISP #1
    • LTE #1 (2 番目の WAN リンクとして使用されるワイヤレス転送) ISP + LTE決定
  • 利点 (さらに、デュアル ISP の利点):
    • 2つ目のWANリンクのセットアップが簡単になりました
    • 追加のコンポーネントやケーブルは不要 (組み込みモデム)
  • 注意事項:
    • 有線ISPオプションよりも月あたりMBのコストが高い可能性があります
    • 毎月の帯域幅割り当てに制限(オーバーすると追加コスト)
    • ワイヤレスは有線トランスポートよりも遅い

ISP + LTE (スタンバイ)

  • プロバイダー:
    • ISP #1
    • LTE #1 (スタンバイモードで 2 番目の WAN リンクとして使用) ISP + LTE(スタンバイ)判断
  • 利点 (さらに、単一 ISP の利点に):
    • オンデマンドおよび最終手段のスタンバイ機能でコストを管理可能
    • 両方の ISP WAN リンクを使用した SD-WAN オーバーレイの復元性
    • 両方の ISP WAN リンクを使用したローカルインターネットの復元性
  • 注意事項:
    • 単一のアクティブな WAN リンクが原因で SD-WAN オーバーレイ負荷分散がない
    • 単一のアクティブな WAN リンクが原因で、ローカルインターネット負荷分散がない

デュアルLTE

  • プロバイダー:
    • LTE #1
    • LTE #2 LTE1 + LTE2 決定
  • 利点 (さらに、デュアル ISP の利点):
    • 2つ目のWANリンクのセットアップが簡単になりました
    • USB LTEドングル以外に、追加のコンポーネントやケーブル不要(組み込みモデム)
  • 注意事項:
    • 有線ISPオプションよりも月あたりMBのコストが高い可能性があります
    • 契約した月間帯域幅割り当てに限定(オーバーすると追加コスト)
    • ワイヤレスは有線トランスポートよりも遅い

上記で説明した各ユースケースは、追加の WAN リンク(ISP または LTE)で拡張できるため、利用可能な帯域幅をさらに増やし、リモートホームワーカーのネットワーク可用性を向上させることができます。

参照ドキュメント

詳細については、以下を参照してください。

Citrix SD-WANホームオフィスPOCガイド -ホームオフィスにCitrix SD-WANの概念実証を実装する方法を学ぶ

Citrix SD-WANホームオフィステックブリーフ -ホームオフィスでCitrix SD-WANを使用する概要を説明します