IT・技術研修ならCTC教育サービス

サイト内検索 企業情報 サイトマップ

研修コース検索

コラム

グーグルのクラウドを支えるテクノロジー

CTC 教育サービス

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  Microsoft Azure  Docker  Kubernetes 

第40回 Googleのオフィスネットワーク・アーキテクチャー:BeyondCorp(パート2) (中井悦司) 2018年6月

はじめに

 前回、2014年に公開されたエッセイ「BeyondCorp: A New Approach to Enterprise Security」をもとにして、Google社内のオフィスネットワークのアーキテクチャーを紹介しました。今回は、2017年に公開された、同シリーズのエッセイ「BeyondCorp: The User Experience」をもとにして、一般ユーザー(すなわち、一般のGoogle社員)から見た、BeyondCorpの利用について紹介します。

オフィスオリエンテーションでの説明

 冒頭の記事では、BeyondCorpを導入した際のサポートチームの体験が紹介されています。前回説明したように、BeyondCorpの導入にともなってVPNの利用が廃止されましたが、それでもなお、しばらくは、VPNの利用申請が続いたのです。新規採用された社員の頭の中にある、「新しい会社に転職した時に最初にやることリスト」には、大体の場合において「VPNの利用申請」が含まれており、その習慣から抜けきれない新規採用社員からの申請が相次いだというわけです。

 そこで、BeyondCorpのサポートチームは、新規採用社員のオフィスオリエンテーションでは、必ず、図1の説明図と共に、BeyondCorpを説明するようにしたそうです。

fig01

図1 BeyondCorp用Chromeエクステンションのアイコン(記事より抜粋)

 これは、BeyondCorpを利用するために組み込まれた、Chromeエクステンションのアイコンです。このアイコンが緑になっていれば、そのPCは社内アプリケーションと通信可能で、すぐに社内アプリケーションが利用できることを示しています。

BeyondCorpエクステンション

 この話からわかるように、BeyondCorpを通じて社内アプリケーションを利用するには、そのPCのChromeブラブザーに専用のエクステンションが組み込まれている必要があります。このエクステンションは、最新のAccess Proxyの設定をダウンロードして、ブラウザーからのアクセスをProxy経由に切り替えます。前回説明したように、社内アプリケーションに接続する際の認証などは、Access Proxyによるシングルサインオンが行われます。社内アプリケーションの開発者は、個別に認証の処理を用意する必要はありません。

 ちなみに、BeyondCorpに限らずに、Proxyが設定されたブラウザーでよく発生する問題に、「Captive portal」があります。これは、ホテルや空港のWiFi認証でよく使われるもので、任意のURLへのアクセスを強制的にログインページに転送して、WiFi利用の認証を促す仕組みです。しかしながら、認証前の状態では、Proxy経由でログインページにアクセスできない構成の場合、この仕組はうまく利用できません。BeyondCorpの場合は、Access Proxyの設定のダウンロードに失敗して、ログインページにアクセスできなくなるというケースがあります。このような場合は、BeyondCorp用エクステンションの設定で、一時的にProxyの利用を停止すると言った対応が必要です。

 この他には、社内アプリケーションにアクセスした際に、アクセス権の問題で403エラー(閲覧禁止エラー)が返ることも、当然ながらあり得ます。Access Proxyが403エラーを返す場合は、図2のように、問題解決のヒントになるWebページへのリンクが表示されます。

fig02

図2 403エラー画面の例(記事より抜粋)

 また、Techstop(Google社内のITヘルプデスク)のサポートメンバーは、専用のポータルから、それぞれの403エラーの詳細な理由を確認することができます。図3は、そのような確認画面の一例です。この端末(Chromebook)は、長期間ネットワークに接続されておらず、端末の状態がセキュアであることを確認できなかったことが原因のようです。

fig03

図3 403エラーの原因を確認するポータルサイト(記事より抜粋)

端末貸出サービスの活用

 図3の説明では、すこしわざとらしく(?)「この端末(Chromebook)」と表現しましたが、Googleでは社員が日常的に使用する標準端末として、Chromebookが採用されています。Chromebookは、端末上に個人設定や個人ファイルを保存せずに利用するよう設計された端末です。Google社員が使用するオフィスアプリケーションは、Chromeブラウザーからアクセスするクラウドサービスになっており、一般的な業務利用のファイルは、Googleドライブに保存されています。そのため、BeyondCorpに対応した端末であれば、任意の端末から、クラウド上の自分の環境にアクセスして業務を行うことができます。各オフィスには、一時的な貸出用のChromebookが用意されており、自分の端末が故障したような際は、貸出用のChromebookですぐに業務を再開することができます。

次回予告

 今回は、エッセイ「BeyondCorp: The User Experience」をもとにして、一般のGoogle社員から見た、BeyondCorpの利用方法を紹介しました。次回は、データセンターの光ネットワーク技術に関する話題をお届けしたいと思います。

Disclaimer:この記事は個人的なものです。ここで述べられていることは私の個人的な意見に基づくものであり、私の雇用者には関係はありません。

 


 

前回のコラム
「第39回 Googleのオフィスネットワーク・アーキテクチャー:BeyondCorp(パート1)」 次回のコラム
「第41回 データセンターにおける光ネットワーク技術の進化」

CTC教育サービス 関連コース

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  Microsoft Azure  Docker  Kubernetes 

「グーグルのクラウドを支えるテクノロジー」コラム一覧へ

コラム一覧へ