Prisma® Accessの概要とその接続に関して

はじめに

本投稿で記載している内容は、以下２点になります。

• Prisma Accessの概要
• ネットワーク目線で見た特徴

なお、Prisma Access自体高頻度でアップデートが行われており、利用可能な機能や利用時における制限が変更になってる可能性があります。最新情報はパートナーやメーカーサイトから入手してください。

Prisma Accessとは？

Prisma AccessはSASE（Secure Access Service Edge）ソリューションの一つで、パロアルトネットワークス社が提供するクラウド型の次世代FWです。
そして、このサービスを導入するユーザに対して以下の機能を提供します。

• ネットワーク的な機能
  • 拠点間ネットワーク経路
  • インターネット接続経路
  • リモートアクセス環境の提供
• ファイヤーウォール的な機能
  • アクセス制御機能
  • セキュリティ検査機能
  • アクセス記録・統計機能
    

最低限必要なコンポーネント

Prisma Accessを利用する上で最低限必要な構成要素は以下の通りです。

1. Prisma Accessのライセンス
   • 各拠点から接続する際は「Prisma Access for network」ライセンスが必要です。
     利用帯域毎の契約で最低200Mbpsから
   • モバイルユーザが利用する際は「Prisma Access for users」ライセンスが必要です。
     最低200ユーザ分のライセンスから
2. Datalake
   • Prisma Accessの各種ログを保存するために必要になります。
3. Panorama
   • Prisma Accessへの管理UIを提供するために必要で、HW版、VM版があります。
     

Prisma Accessへの接続

Prisma Accessが提供するアクセスポイントは以下3つになります。
利用者は各アクセスポイントに接続することで前述した各種機能を利用することができます。

1. サービスコネクション(SC)
   • 主にデータセンタとの接続で利用するアクセスポイント。
   • セキュリティ機能は有していない。
   • 接続方式はIPsec VPN。
   • 利用可能な最大帯域は1Gbps。
   • 標準で利用可能なサービスコネクションの数は2つ。
     それ以上必要な場合はライセンス追加による拡張が必要になる。
2. リモートネットワーク(RN)
   • 主に拠点との間の接続で利用するアクセスポイント。
   • Prisma Accessが提供するセキュリティ機能を利用することができる。
   • 接続方式はIPsec VPN。
   • 利用可能な最大帯域は1Gbps。※Prisma のバージョン3.2から500Mbps⇒1Gbps
   • 利用可能なアクセスポイントの数は契約帯域よって増加する。（契約帯域÷1Gbps）
3. モバイルユーザ(MU)
   • モバイル接続時に利用するアクセスポイント。
     モバイル端末は専用のエージェントソフト（Global Protect）を介して接続する。
   • Prisma Accessが提供するセキュリティ機能を利用することができる。
   • 接続方式はIPsec VPN　または SSL VPN。
   • モバイルユーザの接続数に応じてアクセスポイントのオートスケールが行われる。

各アクセスポイントとの接続イメージは以下になります。

実現可能な通信経路

Prisma Accessで実現可能な通信経路は以下の通りです。
※SC接続拠点⇔インターネットは接続不可

1. MU接続ユーザ⇔SC接続拠点
2. MU接続ユーザ⇔インターネット
3. RN接続拠点⇔SC接続拠点
4. RN接続拠点⇔インターネット

なお、MU接続⇔RN接続拠点、RN接続拠点間の通信を実現したい場合は、別途ライセンス費用が必要になります。

インターネットに出る際のグローバルIPアドレス

MU接続、RN接続からインターネットに接続する際に送信元となるグローバルIPアドレスは以下の通りです。

1. MU接続ユーザ：VPN接続したMUのグローバルIPアドレス
   • MUのインスタンスが作成された時点でアサインされるグローバルIPアドレス
   • オートスケール等で拡張されるとそのタイミングでグローバルIPアドレスがアサインされるので事前にわからない。
     　※送信元IPでアドレス制限をかけてるようなSaaSサービス利用時は注意。
2. RN接続ユーザ：VPN接続したRNのグローバルIPアドレス
   • RNのインスタンスにアサインされるグローバルIPアドレス
   • 契約帯域に応じてRNは事前にデプロイされるので、グローバルIPアドレス事前にわかる。
     

補足：Prisma Accessのアドレッシング

Prisma Accessを利用する上で必要なアドレスは大きく分けて以下の２つ。

1. 外部からSC/RN/MUに接続する際のグローバルIPアドレス。
   • 基本的にPrisma Access側から提供される
   • SC/RN：各アクセスポイント毎に固定のグローバルIPアドレスが１つアサインされる。
   • MU：MU1つにつきグローバルIPアドレスが2つアサインされる。
     • オートスケールされると同様に２つ新規でアサインされる。
2. Prisma Access内部＋モバイルユーザに割り振るローカルIPアドレス。
   • ユーザ側がアサインする。
   • 別途申請すればシェアードIPも利用可能。
     • Prisma Access内部：SC/RN/MUや共通リソース部分で利用。
     • モバイルユーザ：接続してきたモバイルユーザに割り振るアドレス。

大規模障害を意識したPrisma Accessのデプロイ

クラウド上に展開されているPrisma Accessは、日本国内に２つのリージョン（Japan Central/Japan South）が存在します。Prisma Accessを利用する際そのリソースをすべてを単一リージョンにデプロイしてしまうと、リージョン障害時に利用できなくなる可能性があります。
　大規模障害を意識してPrisma Accessを利用するには複数リージョンにリソースをデプロイする必要があり、そのためには契約帯域をどのリージョンにどのぐらい割り振るか決める必要があります。

NW設計するにあたり押さえておきたい機能

Prisma AccessのNW設計するにあたり押さえておきたい機能は以下の通りです。

1. Internal Host Detection

   • モバイルユーザが拠点内でPCを利用する際に、MUに接続せず拠点内のネットワーク経由で各種リソースにアクセスするための機能。
     

2. Secondary WAN

   • Prisma Accessを利用する際、各アクセスポイントに接続可能なIPsecの接続数には上限がある。(SC接続1、RN接続400)
   • 特にSC接続の場合1SCあたり1IPsecとなるため耐障害性を考慮した設計の制約がかなり高い。
   • この際、Secondary WAN（※）の機能を利用することでより柔軟な設計をすることができる。
     ※メインのIPsecが使えなくなった時の代替IPsec。
     

3. Traffic Replication

   • Prisma Access 内のトラフィックをコピーする機能。

まとめ

今回はPrisma Accessの概要とネットワーク目線で見た押さえておきたいポイントを記載しました。
なお、冒頭で記載した通り、最新情報はパートナーやメーカーサイトから入手してください。