この記事は、F5のOffice of the CTO全体の投稿を元にまとめています。
アプリケーション サービスの利用状況について、お客様にアンケート調査を行って以来、SSL VPNは常にトップ5に入っています。現在では「リモート アクセス」と呼ばれることの多いこのアプリケーション サービスを使用すると、クライアントを介して、どこからでも企業のリソースに安全にアクセスできます。
現在、このサービスよって、何十万人もの従業員が自宅で働けるようになっています。
私たちの調査によると、リモート アクセスは、何年も前から非常に高い割合で導入されています。そのため、当時のトラフィック パターンや一般的なアプリケーションの使用状況を基に設定や調整が行われ、アクセスが最適化されている可能性が高いと考えられます。ただし、こうしたパターンや使用状況の変化を反映すべく更新が行われているとは限りません。
少なくとも、今はそのような状況であることがわかっています。
新型コロナが世界中に蔓延する中、医療ほどリモート アクセスが重視されている業界はありません。病院スタッフのリモート アクセスが、特に大規模な病院で急激に増加しており、ここ数週間で、一握りのユーザーの利用から1万人以上の「同時利用」へと拡大しました。病院スタッフは、このパンデミックを乗り切るために、現場や自宅で猛烈に働いています。そして、長時間労働やリソース不足のために苦労し、家族と会えないことも少なくありません。
こうしたスタッフもまた、パフォーマンスの悪さや、重要なアプリケーションにアクセスできないことに苦しむべきではありません。
リモート ユーザーに配慮してキャパシティとパフォーマンスを向上させる方法の1つは、現在のアプリケーション トラフィックの構成を反映できるように、リモート アクセスの設定を更新することです。今日のインターネット トラフィックの大部分はビデオであり、ライブとオンデマンドが混在しています。このパンデミック下で遠隔医療(医療スタッフがライブ ビデオを介して地域社会の人々と健康について話し合う)が進み、それに伴ってライブ ビデオ トラフィックが増加しています。
また、SaaSアプリケーションへの依存も、リモート アクセスのキャパシティとパフォーマンスに影響を与えています。現在、Office 365、Teams、Salesforce、G-SuiteといったSaaSアプリケーションが、企業のアプリケーション ポートフォリオの22%を占めています。
リモート アクセス サービスが逼迫している理由の1つとして、今日のネットワーク トラフィックの大半をビデオとSaaSの通信が占めていることが挙げられます。
従来のリモート アクセスの構成では、すべてのトラフィックがリモート アクセス サービスを経由して流れています。繰り返しますが「すべて」のトラフィックです。つまり、SaaSの場合、クラウドを宛先とするアプリケーション トラフィックが、リモート アクセス サービスを経由するわけです。
前述の状況は問題に思えないかもしれません。しかし、こう考えてみてください。リモート アクセス サービスがシアトルで提供され、SaaSアプリケーションがバージニア州でホストされ、ミネアポリスからそれにアクセスしているとします。この場合、トラフィックは一度のみならず二度も国内を横断しなければなりません。そうなると、リモート アクセス サービスに不要な負荷がかかるうえ、アプリケーションの応答を待つ時間が作業時間よりも長くなり、ユーザーにストレスを与えてしまいます。私たちは、このトラフィック パターンを「バックホーリング」と呼んでいます。すべてのトラフィックが「バック オフィス」を経由して、意図した宛先に向かうように「進路が決められる」からです。
これは、現在SaaSサービスで提供されているリアルタイム ビデオにも当てはまります。すべてのトラフィックがリモート アクセス サービスを経由するため、会話が途切れたり、停止したり、聞き取りにくくなることがあります。ストリーミング ビデオの場合も同様です。多くのリモート アクセス クライアントは、自身の「すべて」のトラフィックを補完的なリモート アクセス サービスを通じて送信します。今では多くの人が「仕事用」と「自宅用」のノート パソコンを区別していません。不安やストレスを解消するのにクイック ビデオを見たり、NetflixやHuluで好きなコメディのエピソードを見たりすることは、必要かつ効果的な気分転換になります。そのトラフィックも、リモート アクセス サービスを経由するため、サービスに不要な負荷がかかり、ユーザーにストレスを与えかねません。
今日のWebトラフィックは通常SSLやTLSを介して暗号化されています。これが、問題を複雑にしています。F5のサービス プロバイダーと、企業のお客様のトラフィックでは、約50%が暗号化されており、非暗号化トラフィックの大部分はビデオです。暗号化トラフィックも動画トラフィックも、ほとんどのリモート アクセス サービスで提供されている(または有効になっている)圧縮機能のメリットを得られません。多くの圧縮アルゴリズムでは、反復する文字を削減してコンテンツを縮小していますが、暗号化プロセスでは、そうした文字列が排除されるため、圧縮の利点がほぼ失われます。そのようなトラフィックを圧縮するために、リモート アクセス サービスが無駄に実行され、サイクルと時間が浪費されています。
次に、リモート アクセス サービスの負荷を軽減し、リモート ユーザー エクスペリエンスを向上させる設定変更をいくつかご紹介します。
リモート アクセス サービスの主な目的は、「企業のネットワーク」でホストされているアプリケーションとの間で、アクセスや転送を安全に行うことです。つまり「社内」のアプリケーションやネットワークに誰もがアクセスできないようにすればよいのです。SaaSやビデオ会議(ストリーミング ビデオなど)は企業ネットワークのサービスではないため、そうしたサービスを利用する際にリモート アクセスを実行しなければ、その負荷を軽減できます。
これを行うには、スプリット トンネリングという設定オプションを使用します。これにより、yourcompany.comを宛先とするトラフィックはリモート アクセス サービスを経由し、他のトラフィックは通常通り処理されるように指定できます。つまり、リモート アクセス サービスを経由してバックホールされることはありません。セキュリティ上の理由から、通常はこのオプションを推奨しません。しかし、在宅勤務の従業員が多く、リモート アクセス サービスに負荷がかかっている場合には、SaaSやリアルタイム ビデオのアプリケーション パフォーマンス向上にこのオプションが役立ちます。
2つ目の方法は、リモート アクセス サービスの圧縮オプションをオフにすることです。これにより、サイクルと労力が無駄になるという問題がなくなり、リモート アクセス サービスの負荷が軽減されます。さらには、全体的なパフォーマンスが向上し、より多くの在宅勤務者にサービスを提供できるようになります。
また、社内のアプリケーションで問題が発生している場合、圧縮が有効になっているかどうかを誰かにチェックしてもらうとよいでしょう。セキュリティ関連の機能(HTTPS)があり、圧縮が有効になっている場合は、無効化をお勧めします。アプリケーションをNGINX上で実行しているときの圧縮の管理については、こちらを参照してください。
もう1つの方法は、ユーザーにビデオ ストリームの解像度を1080pより低くしてもらうことです(例:480p)。ビデオベースの大規模な会議では、これが大きな効果をもたらし、高い音声品質を維持できます。解像度を下げると品質に影響が及ぶ可能性がありますが、多くの場合、安定性とスムーズなパフォーマンスという価値を得られます。これは、自宅でビデオの問題を抱えている人にお勧めの方法です。とりわけ、家族全員がストリーミング、ゲーム、仕事などの通信を同時に行う場合に役に立ちます。
F5 BIG-IP APMをご利用中で、負荷によるパフォーマンスや可用性の問題が解消されないお客様は、TLS暗号のハードウェア アクセラレーションの活用、リース プールとSNATの確認、ACLの最適化と削減、トラフィック シェーピングの有効化といった、その他のオプションをご検討いただけます。
現在発生している課題は、リモート アクセスに限ったものではありません。F5では、事業継続に関するその他の課題に対応可能なリソースもご用意しています。
リモート アクセス ソリューションの問題でお困りの場合は、遠慮なくセールスやサポート スタッフにお問い合わせください。私たちは、お客様とコミュニティがこの前例のない時期を共に乗り越えられるように尽力することをお約束します。
皆様の安全を心よりお祈りいたします。