Zenn
🔥

ZTNA 導入時のレイテンシーについて考えてみる

2024/08/09に公開
Security
Microsoft Entra
ztna
tech

TL;DR

  • ZTNA 導入の明確なデメリットになりそうなレイテンシーについて考えてみ隊
  • いろいろな考え方があると思っていて、どっちの議論に倒すこともできると思う
  • 結局計測するしかない、それはそう

はじめに

Microsoft Entra Private Access などの ZTNA ソリューションを導入した際に、レイテンシーが気になるな、と思われる方は多いのではないでしょうか。
この記事では、ネットワーク構成を考えながら、ZTNA ソリューションのレイテンシーについて考えてみます。

ユーザーが物理的に社内にいる場合

ユーザーが社内ネットワーク、ここでは特に物理的なロケーションとしても社屋の中におり、社内 Wi-Fi からデータセンターなどを経由して ExpressRoute を経由して VNet の中にあるシステムへとアクセスすることを考えてみます。
その場合、ZTNA などのソリューションを愚直に使う場合には一旦 Secure Service Edge (SSE) を経由することになるため、レイテンシーが増えることが想定されます。

ユーザーがリモートからアクセスする場合

コロナ禍などの対応として、もしくは人材獲得へのアピールとしてワークプレイスの自由化を進める場合、リモート アクセスを検討することになります。
その場合、従来からの手段としては VPN を利用することが多く、その場合は、一度家庭内ネットワークからインターネットを経由して社内ネットワークのエッジにおかれた VPN ルーターへと接続することになります。
ZTNA ソリューションを使用した場合には、VPN ルーターではなく SSE を経由することになり、結局なんかしらで集約してから折り返すようなイメージで、レイテンシーの面ではあまり大きな差が生まれない可能性があります。
SSE は地理分散したエンドポイントを持っているため、自社で用意した VPN よりネットワーク的にエンドユーザーに近く、うまくいったケースではレイテンシーをより下げられる可能性すらあります。

ユーザーが物理的に社内にいても ZTNA を利用する場合

さらに考えを進めると、レイテンシーの観点とは別に、アクセスの制御・ログの集約を考えて、どこのネットワークに接続していても ZTNA を利用する、というケースも考えられます。
社内ネットワークに接続していようが、社外のネットワークに接続していようが、ZTNA を利用することで、セキュリティの観点からも一貫性を持たせることができます。
proxy がどこにあるからどうとか、pac ファイルがどうとか、そういったものもすべて関係なく、SSE の設定により、社内ネットワークへのリモートアクセスを制御できます。
究極的には、会社は安定したインターネット回線を用意しているネットカフェみたいなもの、みたいな感じになります。

もちろん、社内ネットワークにサーバー・システム群がとても多く残っている場合には、社内ネットワークから社内システムへの通信が折り返しになってしまう可能性もあるので、さっさとパブリック クラウドに移行してしまいましょう。

レイテンシーもそうなんですがそもそもの UX って観点では

ただし、ExpressRoute はもういらないよね、ということにはならないと思っていて、閉域での接続のメリットは安定した遅延 (小さいとか大きいとかではなく、変動が少ない、ジッターが少ないこと) と安定した帯域幅です。
自社で利用しているアプリケーションが、小さな通信を数多く発生させるようなアプリケーションになっている場合、遅延が少しでも大きくなると、表面上のレスポンス タイムは長くなり、「なんか重い」という感触になります。
アプリケーションの性質・作りの問題なので、文句を言っても仕方がないというか、そういったアプリケーションを利用するのであれば ExpressRoute などの閉域接続を利用するしかありません。

一方で、Microsoft 365 をはじめとした SaaS アプリケーションはそもそもインターネット側で提供されることを想定しており、ケースバイケースではありますが、あまり小さな通信を継続的に、数多く発生させるような作りにはなっていません。
インターネットというものがそもそもある程度不安定なものであり、レイテンシーの増減も容易に想定されるからです。
そのため、ある程度の遅延がある環境でも、ユーザーが感じる UX にはあまり影響がないことが多い、もしくはそのようにアプリケーションを実装します。

また、PC にインストールされている様々なネットワーク監視、エンドポイント監視系のエージェントによる負荷も考えられます。
その他にも、proxy があるとか、透過 proxy で TLS 復号して全部の通信を検査しているとか、さまざまな要因が、結果として「なんか重い」を引き起こします。

計測しましょう

結局は当たり前の話になってしまうのですが、とりあえず測ってみるのが一番かなと思います。
幸い、90 日間の無料トライアル があるので、ある程度の規模での実測は難しくありません。

実測値を出しても何の参考にもならないので割愛しますが、わたしが家から接続している感じだと社内から接続しているのよりほんのちょっと気になるかな、という程度で、意外と問題なさそうだな、という感覚を持っています。
一方で、接続元のネットワークが家庭の Wi-Fi、モバイル Wi-Fi、テザリング、カフェの Wi-Fi など、多様な環境で接続することを考えると、情シス部門でのサポートは大変そうだな、という気もします。。

まとめ

社内ネットワークに接続することを前提と考えると、ZTNA ソリューションは 0 ではないレイテンシーの増加が想定されます。
一方で、リモートからアクセスする場合には、どちらもネットワーク構成的にはなにかを経由するため、VPN と ZTNA ソリューションで大きな差はないかもしれません。
さらに、セキュリティ観点での一貫性ということでは、社内ネットワークに接続していても ZTNA ソリューションを利用するのも一理あるのではと考えています。

また、レイテンシーが「なんか重い」を引き起こすのは確かですが、それ以外の要因も考慮する必要があります。
ZTNA を導入してるけど今までどおりの proxy のポリシーで、、、とかいろいろ考えるくらいなら、まるっと移行しまったほうが結果は幸せになるのかなと思っています。

参考

  • Microsoft Entra Suite Trial - Sign up

    たぶんこのリンクだと思うけどいつかリンク切れになったらごめんなさい

https://signup.microsoft.com/get-started/signup?products=2ebf8ffa-7de1-4d14-9b15-238f5ca77671

P.S.

やっぱこういうときにどういう ISP と契約してるかって聞いてくるんじゃないかと思ってるんですよね。
つまり Microsoft のネットワークと Internet peering overview にあるような直接接続を持っているでっけぇ ISP を利用していると、Microsoft 365 だってなんだって速いんじゃないかなぁ、みたいなことを想像しています、知らんけど。
いけてる ISP ってのは Equinix とかで Microsoft と interconnect してて、もちろんちょっと高いかもしれないけどそんだけ高品質だったり、Windows Update がちょっとするするっとダウンロードできたり、そんな感じなんじゃないかなぁとか考えてるんですよね、うん。

Discussion