インフラ構築でのネットワーク設計

お世話になります、雪犬と申します。
現在コールセンターの社内SEをやる事になり、色々調べながらやっている状況です。
私が知識がないため、素人考えになりますのでご教授頂けますでしょうか？
私がNW図も書いたことがないため、図もちょっとおかしいかもしれませんが、お許し下さい。

【社内状況】
・新店舗オープン予定
・NW構築が必要
・個人情報を扱っている
・クラウドにAD構築予定

【知りたい事】
・Firewallが必要か
→ルータ等でやるべきか、FWの機械を導入すべきか
・DMZ等は必要なのか
・監視サーバが必要だが、おすすめのソフト

↓私が考えているNW構成

クラウドにDC(ActiveDirectory)
クラウドに顧客管理システム(30万件)

基本的に私のボスが、CLI操作出来ない素人のため、GUI操作を希望しています。
その為、システムもかなり重たいですが、現状重たいDBの検索に5-15分かかる事があります。
(↑システム変更したいが、出来ない。。。)

クラウドとは、VPNでつなぎます。
Aルータは、YAMAHAのRTX1210を想定しており、BとCはpananicを検討中です。
クライアント数は、全部で70くらい。
Bには、VLANを切って、2つに分ける。
Cも同じく、VLANで2つに分ける。
BとC間、VLAN間の通信させない。

【VPNについて質問】
・内部のプライベートIPと、VPN先のプライベートIPは違うセグメントでも大丈夫か
→例：内部172.168.0./16 外部192.168.35.0/24-192.168.50.0/24
・VPNのセッションを2つ作れるのか
・VPNで接続した外部のIPは、外部先でもVPNルータが振ったIPで接続されるのか

本当に理解できておらず、大変申出訳ありませんがよろしくお願いいたします。

行動規範の内容に同意します

回答3件

コールセンターの業務システムにどこまでのセキュリティ監査レベルが求められるのか分かりませんが、下手したら、PCI DSS まで準拠する必要がありますよね？
そうではなくて、Pマークや ISMS のみだったとしても、要求事項の確認は難しいと思います。

コンサルティング+プロのインフラ屋さんを頼るのが正解かと。

AWS の各種認証に対しての準拠方法を読み解き、自社システムとあわせて、どのようなセキュリティレベルになっているか説明するのは、それなり以上の知識と経験が必要となるので、社内SEとして行う業務としては重いと思います。

投稿2017/05/19 08:52

退会済みユーザー

総合スコア0

ベストアンサー

・Firewallが必要か

→ルータ等でやるべきか、FWの機械を導入すべきか

以下で判断すべきと考えます。
1)通信量
ルータにFWのお仕事をさせると、ハードウェアリソースを使用するため、通信量を測る必要があります。
規模70クライアント、クラウドAD、クラウド業務サービス、IPsecVPNでどれだけの通信料が発生するかですね。RTX1210であれば問題なさそうな感じですが、過度な通信が発生する環境であれば検討する必要があります。余裕をもたせ拡張性を望むのであれば、もう一つ上のソリューションでも良いかもしれません。(もちろん予算が許せば・・・)

2)各セグメント間のパケットフィルタリング
後述にあるDMZ、Bセグメント、Cセグメント、監視サーバセグメントのパケットフィルタリング要否で検討すべきと考えます。

補足)
あと、YAMAHA系のFWは直観的なつくりをしていなく、理解するのに時間がかかります。
予算が許すのであればFortigate60D程度のFW導入を検討するのも良いと思います。

ちなみに、L3が描画されていませんが、L3ルーティングは何で実施するつもりなのでしょう。
RTX1200で行うつもりであれば、該当機は複数セグメントに対しての設定に制限があり、あまりお勧めできないです。

・DMZ等は必要なのか

DMZには通常、インターネットから参照(VPNとは別で)されるサービスを配置します。
DMZへの入り口は外部、内部ともに厳しいフィルタを設け、セキュリティを担保することを目的としてます。
御社で該当するものがあればDMZが必要かと存じます。

・監視サーバが必要だが、おすすめのソフト

何を監視するのでしょうか?
それにより、各ソフトウェアの得意分野が変わってくるので、監視要件と照らし合わせる必要があります。
・リソース監視であれば、zabbix、munin、cacti
・ログ監視であれば、fruentd+Elasticssearch+kibanaなどなど
ただ、これを構築するにはある程度のリテラシが必要です。

・内部のプライベートIPと、VPN先のプライベートIPは違うセグメントでも大丈夫か

私の知る限りでは違うセグメントでなければ構築できないと認識しています。

・VPNで接続した外部のIPは、外部先でもVPNルータが振ったIPで接続されるのか

これは何を言われているか理解できていないのですが・・・

最後に気になったので1点確認させてください。
BセグメントとCセグメントの頭に設置されているスイッチのアイコンがルータになっているような気がしますが、何か特殊な構成でしょうか?

投稿2017/05/19 05:10

over

総合スコア4315

snowdog

2017/05/19 07:57

ご回答ありがとうございます。 NWについて理解できておらず申し訳ありません。 1.「監視サーバが必要だが、おすすめのソフト」　個人情報を扱っている以上、通信ログ等の監視が必要になると考えています。　確認させて頂き、検討いたします。　私が理解できても、上司はプライベートIPのクラスCだけが分かる程度のため、少し難しいかもしれません。。 2.「DMZ等は必要なのか」　DMZについは、私の頭の中が混合しており申し訳ありません。　現状、社内へVPN経由で接続されています。　家庭内レベルでのNW構成になっています。(ルータ---クライアントで特殊な設定はナシ) 　その為、DMZにサーバを置くべきと考えており、そこが混同しておりました。 3.「VPNで接続した外部のIPは、外部先でもVPNルータが振ったIPで接続されるのか」　わかりにくくすみません。VPNサーバが外部の接続先へIPを振ると思います。　外部クライアントのプライベートIPアドレスは、外部のネットワーク内でそのプライベートIPアドレスが利用される事になり、外部ではDHCPサーバは稼働しない事になるということでしょうか？　それとも、VPNルータ同士で接続されるため、ルータがその割り振られたIPセグメントでDHCPされるという事になるのでしょうか？　↑基本的な質問で申し訳ありません。後者だと思っています。 4.「BセグメントとCセグメントの頭に設置されているスイッチのアイコンがルータになっているような気がしますが、何か特殊な構成でしょうか?」　恐らくアイコンは私がわからずやっているだけだと思います。　VPNルータ----ルータBルータC----スイッチ(VLAN)-----クライアント　↑こういった接続になります。　ルータB---ルータC間の通信や、VLANが切られているところの通信はさせないようにしたいと考えています。　あと、ISP契約があり、それを1つVLANの1つに接続したいとも考えています。　それはYAMAHAルータで出来ると考えています。 YAMAHAのVPNルータ以外は、panasonicのルータとスイッチを考えています。ただ、どのレベルが必要かが理解できておらず、現状検討している状況です。個人情報のデータ送信や、ファイルの共有等が起きないように、起きた場合にはこちらでログ監視が出来るように構築しようと考えています。ご回答頂いたことも含めて、更に調べてみます！ありがとうございます！

over

2017/05/19 08:23

> 個人情報を扱っている以上、通信ログ等の監視が必要になると考えています。個人情報を扱っているサービスによりますが、WebベースであればWebサービスのログ、および個人情報サーバを経由するFWのログを監視する必要があります。そうなると、sysylog転送 + ログ監視ソリューションになるでしょうか。 ElasticSearch + fluentd で実現できそうです。 > DMZにサーバを置くべきと考えており、そこが混同しておりました。外部公開サーバのみDMZに置き、サーバは別途サーバセグメントを用意すればよろしいのではないでしょうか? > 3.「VPNで接続した外部のIPは、外部先でもVPNルータが振ったIPで接続されるのか」これはVPNの接続方式によります。拠点間接続であれば、VPNルータ同士がVPN接続し、よろしく通信してくれるので、クライアント側は拠点に相応しいIPを振るか、拠点ごとにDHCPサーバを用意するかになります。 VPNサーバに対して外部に存在するクライアント端末から接続する場合、VPNサーバからリースされるIPアドレスが付与されることになります。 > VPNルータ----ルータBルータC----スイッチ(VLAN)-----クライアント上記が特殊な構成だと思っています。何故、ルータをいくつも設置するのか?です。FW1台でルーティングとパケットフィルタができるので、セグメントB/CをFW直下とすれば単純な構成になるのではないでしょうか? もちろんセグメントB⇔セグメントC間のパケット制御もできますし、先ほどのサーバセグメントとのパケット制御もできます。セグメントBのみインターネット疎通可みたいな構成もできるわけです。 > 個人情報のデータ送信や、ファイルの共有等が起きないように、起きた場合にはこちらでログ監視が出来るように構築しようと考えています。これ、かなり敷居高いですよ。覚悟が必要です。

snowdog

2017/05/19 09:19

個人情報のレベルは、かなり高いです。何故かと言うと、誰もが知っているサービスの名前の顧客データだからです。誰もが知っていて、もしかすると誰もが使っているかもしれません。そんなデータを扱う以上、私はこれはかなりの難易度を置く必要があると考えており、かなり高度な話が必要だと思っています。なので、はっきり言って私ぢゃ無理です！(ただ、私しかいない) 以前インフラとサーバをやっていましたが、それも数年前+1年くらい研修中みたいな状況で、ほとんど知識がありません。今までPGやっていたので。。 NWだけではなくAD関連も私になり、電話関連も全て私に責任が乗っています。電話やADは、業者へ投げる予定ではありますが、わかりません。 NWについては、配線する業者と設定業者が何故か分かれている(上の人達でやっている) そうなると、こちらが指定したもので構築と設定お願いしますになっているため、当方としてはしたくないのですが、一応情報を集める必要が出ている状況です。恐らく、別の方もおっしゃる通り、コンサル会社+インフラ業者が適切だと考えています。 VPNもわかっていない、ネットワークのConfigを入れたこともないですから。【ネットワーク構成】 VPNルータ---FW----L3スイッチ---クライアント ↑こういう事でしょうか？ ↓で合ってますでしょうか？　・L3スイッチでセグメントを分ける　・L3スイッチや、直下のL2のところでもVLAN対応のスイッチが必要　・配線方法：20m以上離れていると思いますが、その距離を1本のケーブルを引いて、クライアントの近くの机にL2を貼り付ける。　　　　↑これは、総務から言われてる事です。(その線切れたら、終わる・・・。) ログについては　http://qiita.com/oikyn/items/f3e624b3cfd03b5cdb87 ↑このQiitaのような感じのイメージでしょうか？難しいお話すぎて、まとまっておらずに申し訳ありません。よろしくお願いいたします。

over

2017/05/19 09:34

> VPNルータ---FW----L3スイッチ---クライアント規模にもよりますが、FW以下にL3を置く必要性はない気がします。 > クライアントの近くの机にL2を貼り付ける。 VLAN 終端としてL2を用意するといういうことですね。結構資金潤沢な会社なのでしょうか? > ログについてはそうですね。ただ、インターフェースについてはkibanaよりもgrafanaの方がカスタマイズし易い/見やすいと感じます。プラットフォームをLinuxにすれば、syslog転送の恩恵も受けられ、ネットワークスイッチのログも収集しやすいです。 > 電話関連も全て私に責任が乗っています。これ、インフラとは関係ないような気がしますが、もしかしてSIPで制御しているとかでしょうか?

snowdog

2017/05/19 10:26

そういうことなんですね。 VPNルータ----FW(YAMAHAで構成)-----L2-----ハブ---クライアントという感じでしょうか？お金があるのかがわかりかねます。。とりあえず、金額出すよう言われている状況です。もし、クライアントのところにL2を置かない場合だと、数十メートルの距離をLANを這わせてくる感じになります。普通はこのような構築になるのでしょうか？電話関連は、クラウドPBXを検討している状況です。 IP-PBXの構築や、設定等は業者に任す予定ではありますが、現在利用の業者との手続き関連もやっています。

over

2017/05/21 23:59

> VPNルータ----FW(YAMAHAで構成)-----L2-----ハブ---クライアントすいません。補足で。マルチセグメントを構成する場合、YAMAHA系のルータだと扱いずらいです。他FWアプライアンスを検討すべきかと思います。

snowdog

2017/05/26 12:12 編集

かしこまりました、ありがとうございます。ちなみに、おすすめのルータはありますか？ベンダーから、閉域VPNを利用すれば、FWは不要と言われている状況です。私は必要と考えております。(ネット接続アリのため) 追加で質問で申し訳ないのです。実際は、かなりの規模のコールセンターのため私では知識・経験不足です。しかし、私以外出来る者がおりません。質問させてください。【条件】 1.支店が複数あるため、VPNが必要 2.クラウドと通信をし、DC運用・DB(顧客管理システム)を利用する 3.ネット利用する 4.コールセンターのオペレータと、総務やシステム管理部等との管理側とのセグメントを分けたい(私が分けた方がいいと考えてます。総務等への接続が出来ないようにしたいのです。) 【ご教授頂きたいこと】・閉域VPNを利用した場合の、NW構成・インターネットVPNを利用した場合の、NW構成 →おすすめで結構です。FW等も含めて教えて頂けますか？　調べて考えて、理解いたします！よろしくお願いいたします。

over

2017/05/27 04:14

> ・閉域VPNを利用した場合の、NW構成 > ベンダーから、閉域VPNを利用すれば、FWは不要と言われている状況です。私は必要と考えております。(ネット接続アリのため) これは何のサービスを利用するかによりますが、閉域側はインターネットとは別の回線/セッションをが必要になるのではないでしょうか。そういった場合、ISP接続ルータは2式必要になります。また閉域側でVPNセッションが必要になるサービスであれば、VPN機能を持ったルータが必要になります。 FWについてはインターネット側は勿論として、閉域間のパケット制御/監視を行いたいのであればFW機能も検討すべきでしょう。 > ・インターネットVPNを利用した場合の、NW構成どこにルーティングポイントを置き、どこでパケットフィルターを行うかなどネットワークの構成によって選定すべきで、おすすめの機器からネットワーク構成を決めるべきではないと考えます。一例として、インターネットVPN、閉域VPN双方でも対応でき、ルーティング、パケットフィルタを行うことを期待するのであればFortigateのマルチPPPoEセッションやドメイン分割機能が使えるのではないかと思っています。

snowdog

2017/05/27 06:21

ありがとうございます。 NW自体を理解できていないようで大変申し訳ありません。ご指導頂き、ありがとうございます。文章で書くのは、難しいですね。。本当に、ありがとうございます！

行動規範の内容に同意します

質問回答とはちょっと逸れますが────

今回のようにクラウドとオンプレ環境を拠点間VPNを張り、
ハイブリッドクラウドを構築する際は、通信料の課金が高くなります。
何のクラウドを使うかはわかりませんが、事前によく調査してください。

また、自分で構築してしまうと、何かあった場合に自分に責任が伴ってしまいます。
BtoBのクラウドコンサル会社を使うことをお薦めしておきます。
もちろん、コストも掛かりますので、会社でよく話し合うようにしてください。
個人情報を取り扱うのであれば、なおさら相談すべきかと思います。
万が一、情報漏えいやサービスダウンなどが発生した際に痛み分けもできます。
他の会社を使って仕事を動かすのも社内SEに求められる技術です。

サービス監視などのミドルウェアもエンタープライズで利用するのであれば、
OSSよりもJP1/Baseなどのパッケージを利用した方が良いかと思います。
使ったとしてもZabbixなど安定したソリューションであり、
エンタープライズ利用例があるものが良いでしょう。
サーバOSもサポートに入るのが一般的です。

私が質問者さんと同じ立場であるならば、
真っ先に社内取引のあるコンサル会社を聞いて、そこに話を聞いてもらいますね。
＃新規取引先だと銀行口座の開設や契約が面倒なため

投稿2017/05/19 06:54

編集2017/05/19 06:57

lazhuward

総合スコア1294

snowdog

2017/05/19 08:05

アドバイスありがとうございます。 AWSで、ADのみを利用予定。あとは現在あるサーバが、高スペックのためデータセンターへおこうかと考えています。なので純粋にはクラウドではないですね、すみません。私以上の知識のある人が現状おりません。その為この話を総務等に話をしないといけないのですが、プレンゼン力がなく技術的な話しか出来ません。メリット・デメリットも考えてプレゼンしようと思ってますが、かなり難しいです。。コンサル会社、というのが現在当社におりません。機器の購入等も私がわからずに選び、見積もりをもらって総務に購入依頼を出しています。それも高額なため、プレゼンする事になりますが・・・。他社を使い動かす事を基本的には考えて動いていますが、金額的に本当に高額になるお話だと思っています。しかし、会社としてその金額本当に必要なのかが、社長には判断がつかない。と言われている状況です。メリット・デメリットと言われて、PCの事を何もわからない人に説明がしにくいのですが、もし、お分かりになればで結構なのですが、普通の会社ではどのようにプレゼンされるのでしょうか？そういった経験もないため、全くわかりません。。全く関係ない事で申し訳ありませんが、よろしくお願いいたします。

lazhuward

2017/05/22 11:56 編集

＞AWSで、ADのみを利用予定。 SimpleADですね。 AWS Directory Service というサービスで、SimpleADとMicrosoftADが使えます。 AWSでは以下を利用すれば良いと思います。【ADサーバ】 AWS Directory ServiceのSimpeADかMicrosoftAD 【拠点間VPNとAWS側のルータ】 VPN Gateway か DirectConnect VPCのVritual Private Gateway 【DNS】 Route53 AWSに関して言えば、サービス料金以外にデータ通信に対しての料金がかかりますので思わぬところで想定料金が増えてしまう可能性があります。背景がわかりませんが、御社の事案ですとデータセンターにADを載せるべきではないですか？データセンターとAWSと拠点もあるのですよね？運用コストが掛かりすぎかと思います。もちろん構築コストも乗ってきますので、社長か上長プレゼンでそんなので大丈夫なの？といらぬ心配を与えてしまうかと思います。＞私以上の知識のある人が現状おりません。 IT技術系会社でもIT技術を全然知らない社長もいます。その人達を如何にわからせるように説明するのも技術者の役割です。年長者や大人だと思って話すのではなく、相手を新人や小学生だと思って話すように心がけてみてください。私が技術のない人に説明する際は、大体その人にあった話し方をしています。例えば、ルーターを話すときには料金所に例えてたりします。 SSLなら証明書をETCカードに例えて説明したりですかね。大体の技術は、ごく一般生活で使うようなもにすべて例えられますので説明対象の身近なものに例えて話すとよく理解してくれますよ。 > コンサル会社、というのが現在当社におりません。でしたら、御社と取引のある会社が使っているコンサル会社を紹介してもらうとか営業さんに紹介してもらえばよいかと思います。

行動規範の内容に同意します

あなたの回答