この投稿は、2023年JINSのアドベントカレンダー1日目の記事です。
自己紹介
ITデジタル部所属の岡田(@knt-okada)と申します。
主にクラウド、ネットワーク領域の設計/構築/運用/監視を担当しています。
概要
2023年5月末に株式会社ジンズは神田の新オフィスへ移転しました!
新オフィスはSASE製品を導入したネットワーク構成になっているので
新オフィスの簡単な紹介とそのネットワーク構成についてお伝えします。
オフィスのネットワークをSASEに組み込むのってどうすればいいんだろう...
と、お困りの方は是非参考にしていただけると幸いです!
目次
- 新オフィスのフロア構造を紹介
- 新オフィスのネットワーク構成
- 旧オフィスのネットワーク
- 新オフィスをSASEに収容すると・・
- SASE収容時のポイント
- まとめ
新オフィスのフロア構造を紹介
新オフィスは以下のようなフロア構造になっております。
- 9F サウナ...?!
- 5~8F 執務エリア(吹き抜け+内階段)
- 4F 研修室、オープンラボ
- 3F 会議室、ギャラリー
- 2F 原っぱ(使い方は自由)
- 1F カフェ
引用元:JINS PARK
ご覧の通り2Fと3F、そして 5F~8Fが吹き抜けになっており、9Fにはサウナまである
特殊な構造のオフィスになっております。
他に類をみない独創的なオフィス、素敵です☆
1FのONCA COFFEEは kuro、siroの2種類のメニューの他、世界中の産地から厳選した豆を最大限味わえる形で焙煎したドリップコーヒー7種をご用意しております。
エチオピア豆の浅煎りコーヒーを飲んだ時はコーヒーという飲み物の概念が変わるほどの衝撃でした。。。神田や神保町近辺にお越しの際は是非ONCA COFFEEをお試しください☆
引用元:JINS PARK news
新オフィスのネットワーク構成
まずは旧オフィスのネットワークについて・・
- 旧オフィス、アクセス先は閉域網に収容
※閉域網の帯域利用上限にかかり、通信不良が度々発生
新オフィスをSASEに収容すると・・
- 新オフィスにはSASEアプライアンスを設置
- アクセス先の拠点にもSASEアプライアンスを設置(物理/仮想アプライアンスがある)
- 社用端末にはSASEのagentソフトウェアをインストール
- 閉域網は利用しない
SASE収容後の構成は以下のようなイメージ
LANは以下のような構成
- SASEアプライアンスはVRRPを利用した冗長構成
- agentをインストールできない機器(複合機等)はSASEアプライアンス配下のセグメントに収容
※アプライアンス配下のセグメントに収容された機器はどこからでもアクセス可能。
(agentインストール済みの端末やSASE収容済み拠点からのアクセスに限る) - インターネット回線を9本用意
※agentインストール済みのデバイスはインターネットに出られればSASEに接続可能。
インターネット回線を広帯域、高可用性で用意することが大事
LANの構成は以下のようなイメージ。
社内、社外の場所を問わず、オフィス内のリソースにアクセスする際は基本的に
SASEを経由する通信フローになります。
※他の拠点への通信も同様の通信フローになります
また、パブリックスペースな3FではGuest Wifiも利用可能であり、社内ネットワークとは論理的に完全に切り離された来客者用のネットワークを用意しております。
弊社はクラウド上で一元管理可能な無線コントローラーを利用しており、統一されたセキュリティと容易な運用管理を実現しております。
SASE収容時のポイント
ポイントは2つ
1つ目
社内にNAS等の通信帯域を逼迫するリソースは置かない
SASEアプライアンスは通信帯域に限りがあるため、SASEアプライアンスの帯域を逼迫させるような社内への通信が極力発生しないような構成にする必要がある。当社では社内にリソースを配置せず、SaaS等を積極的に利用。
また、好き勝手にSaaSが利用されないように、SASEのCASBを利用し、特定のサービスの特定のアクションのみを許可するといった制御を実装。
2つ目
SASEアプライアンス配下のセグメントは有線、無線のどちらも利用可能な状態にする。
agentソフト利用時は全ての通信が強制的にインターネット → SASE → アクセス先という通信フローになるが、SASEアプライアンス配下のセグメントを有線、無線で用意することにより、同セグメント間のLAN内通信も容易に可能となり、遅延もなく広帯域での効率的な通信が可能となる。
まとめ
製品によってできること、できないことは様々ですが、SASEにオフィスネットワークを
収容する際の考え方や構成等を参考にしていただけると幸いです。