SD-WANとは
ソフトウェア・デファインド・ワイドエリア・ネットワーク (SD-WAN) とは、MPLS、LTE、ブロードバンド・インターネット・サービスなどのトランスポート・サービスを自由に組み合わせて活用し、ユーザーとアプリケーションをセキュアに接続できる、仮想 WAN アーキテクチャです。
SD-WAN とは
堅牢なセキュリティ調査のためにブランチ・オフィスからデータセンターへとトラフィックをバックホールする、という従来のモデルは、最適とは言えず、帯域幅を浪費し、レイテンシーも増え、結果的にアプリケーション・パフォーマンスに影響を及ぼしています。企業のセキュリティ要件に準拠しながら、ブランチ拠点から信頼された SaaS およびクラウドベースのアプリケーションへインターネット上でトラフィックを直接伝送するための効果的な方法が求められています。
SD‑WAN は、一貫したアプリケーション・パフォーマンスと耐障害性の確保、ビジネス目的に基づいたアプリケーション主導型のトラフィック・ステアリングの自動化、ネットワーク・セキュリティの向上、WAN アーキテクチャの簡素化を実現します。SD-WAN は一元的なコントロール機能を使用し、WAN においてトラフィックをセキュアかつインテリジェントに信頼された SaaS や IaaS のプロバイダーに直接誘導します。これにより、アプリケーション・パフォーマンスは向上し、高品質のユーザー・エクスペリエンスを実現できるため、ビジネスの生産性とアジリティを向上させながら、IT コストを削減することができます。
SD-WAN アーキテクチャ
従来のルーターを用いた WAN は、クラウドを想定して設計されたものではありません。一般的には、クラウドに接続されたトラフィックを含むすべてのトラフィックを、ブランチ・オフィスから、高度なセキュリティ検査サービスを適用できるハブや本社のデータセンターにバックホールする必要があります。バックホールによる遅延は、アプリケーションのパフォーマンスに影響し、ユーザー・エクスペリエンスや生産性の低下を招きます。
SD-WAN モデルは、従来のルーター中心の WAN アーキテクチャとは異なり、オンプレミスのデータセンター、公共またはプライベート・クラウド、Salesforce.com、Workday、Dropbox、Microsoft 365 などの SaaS サービスでホストされているアプリケーションに完全に対応し、最高レベルのアプリケーション・パフォーマンスを発揮できるように設計されています。
SD-WAN の仕組み
従来のルーター中心のモデルでは、SD-WAN とは異なり、制御機能をネットワーク内のすべてのデバイスに分散させ、TCP/IP アドレスと ACL に基づいてトラフィックを単純にルーティングします。この従来のモデルは、硬直的で複雑、非効率的であり、クラウドとの相性も悪いため、ユーザー・エクスペリエンスは良好とはいえません。
SD-WAN を使用するクラウドファーストの企業は、優れたアプリケーション・エクスペリエンス品質 (QoEx) をユーザーに提供できます。SD-WAN は、アプリケーションを識別することで、WAN 上でインテリジェントかつアプリケーションアウェアなルーティングを行います。アプリケーションのクラスごとに、適切な QoS とセキュリティ・ポリシーのすべてが、ビジネス・ニーズに応じて適用されます。IaaS と SaaS のアプリケーション・トラフィックをブランチからセキュアなローカル・インターネットに分離することで、企業を脅威から守りながら、非常に高いレベルのクラウド・パフォーマンスを実現します。
SD-WAN を選ぶ理由
時代は変わり、企業はクラウドを利用し、SaaS (Software-as-a-Service) をサブスクライブするようになっています。従来、ユーザーはビジネス・アプリケーションにアクセスするために企業のデータセンターに接続していましたが、現在では同じアプリケーションの多くにクラウドでアクセスする方が便利になっています。
その結果、従来の WAN はもはや適切でなくなっています。主な理由は、クラウドへの送信を含むすべてのトラフィックをブランチ・オフィスから本社にバックホールすると、遅延が発生し、アプリケーションのパフォーマンスが低下するからです。SD-WAN を使用すれば、セキュリティやデータ・プライバシーを犠牲にすることなく、WAN の簡素化、コスト削減、帯域幅の効率化、クラウドへのシームレスな合流を行え、特に重要なアプリケーションのパフォーマンスが向上します。アプリケーション・パフォーマンスが向上すれば、ビジネスの生産性、顧客満足度、そして最終的には収益性が向上します。また、一貫したセキュリティにより、ビジネス・リスクが低減します。
基本的な SD-WAN 対ビジネス主導型 SD-WAN
- すべての SD-WAN が同じように構築されているわけではない。多くの SD-WAN ソリューションは、基本的な SD-WAN ソリューション、つまり「最低限の必要を満たしている」ソリューションです。これらのソリューションは、優れたネットワーク・エクスペリエンスを提供するために必要なインテリジェンス、信頼性、パフォーマンス、および拡張性を備えていません。そして、企業のデジタル・トランスフォーメーションの取り組みはアプリケーションに依存し、そのアプリケーションはサービスに依存し、さらにそのサービスはネットワークに依存しているため、高速でセキュアかつ高パフォーマンスのネットワークがなければ、停滞してしまうかもしれません。SD-WAN は、デジタル・トランスフォーメーションを実現するための極めて重要な要素であり、企業全体の戦略的意思決定を後押しするものです。では、ビジネス主導型の SD-WAN とはどのようなもので、なぜ基本的な SD-WAN では不十分なのでしょうか。
- ライフサイクルのオーケストレーションと自動化。ほとんどの基本的な SD-WAN 製品には、ある程度のゼロタッチ・プロビジョニングが含まれています。しかし、基本的な SD-WAN ソリューションでは、ルーティング、セキュリティ・サービス (高度なサードパーティ・セキュリティ・サービスへのサービスチェーンを含む)、WAN 最適化など、すべての WAN エッジ機能を完全にエンド・ツー・エンドでオーケストレートできるとは限りません。企業が新しいアプリケーションをデプロイしたり、QoS やセキュリティ・ポリシーの変更が必要になった場合、ビジネス主導型の SD-WAN では一元的な構成を行って、必要な変更を数週間や数ヶ月ではなく、数分でデプロイできます。一元化されたオーケストレーションを使用すると、パフォーマンスやセキュリティを低下させるヒューマン・エラーが大幅に減少します。
- 継続的な自己学習。基本的な SD-WAN ソリューションでは、通常はテンプレートでプログラムされる事前定義のルールに従ってトラフィックが誘導されます。ビジネス主導型の SD-WAN では、混雑時や障害の発生時といってネットワークの状態や変化にかかわらず、最適なアプリケーション・パフォーマンスを得られます。ビジネス主導型の SD-WAN は、継続的な監視と自己学習により、ネットワークの状態の変化に自動的にリアルタイムで反応します。ビジネス主導型の SD-WAN は、ネットワークの変化に継続的に適応し、ネットワークの混雑、ブラウンアウト、トランスポートの障害発生など、アプリケーションのパフォーマンスに影響を与える可能性のあるあらゆる変化にリアルタイムで自動的に適応するため、ユーザーは IT による手動介入なしに常にアプリケーションに接続することができます。たとえば、WAN トランスポート・サービスやクラウド・セキュリティ・サービスにパフォーマンス上の障害が発生した場合、ネットワークは、ビジネス・ポリシーに準拠しながらトラフィックの流れを維持できるよう自動的に適応します。
- 一貫したエクスペリエンス品質 (QoEx)。高度な SD-WAN ソリューションの主な利点は、複数の WAN トランスポート形式を同時に積極的に利用できることです。基本的なソリューションでは、アプリケーションごとにトラフィックが単一のパスに誘導され、そのパスに障害が発生したりパフォーマンスが低下したりした場合には、よりパフォーマンスの高いリンクに動的にリダイレクトされます。しかし、多くの基本的なソリューションでは、障害発生時のフェイルオーバー時間は数十秒またはそれ以上であり、しばしばアプリケーションの中断という厄介な事態が引き起こされます。ビジネス主導型の SD-WAN では、基礎となるトランスポート・サービスがすべてインテリジェントに監視され管理されます。WAN トランスポート・サービスに障害が発生した場合でも、パケット・ロス、レイテンシー、ジッターなどの課題を克服し、非常に高いレベルのアプリケーション・パフォーマンスと QoEx をユーザーに提供できます。ビジネス主導型の SD-WAN では、基本的な SD-WAN とは異なり、トランスポートの全面的な停止がシームレスに処理され、音声やビデオ通信などのビジネスクリティカルなアプリケーションの中断を回避するためのフェイルオーバーが 1 秒以内に実行されます。
- エンド・ツー・エンドのセグメンテーション。基本的な SD-WAN でも VPN サービスに相当するものを利用できますが、ビジネス主導型の SD-WAN では、より包括的なエンド・ツー・エンドのセキュリティ機能を利用できます。SD-WAN プラットフォームでは、次世代ファイアウォールに対応するだけでなく、LAN-WAN-データセンターと LAN-WAN-クラウドにまたがるエンド・ツー・エンドのセグメンテーションのオーケストレーションを行い、適用する必要があります。デバイス中心の WAN モデルや基本的な SD-WAN モデルでは多くの場合はデバイスごとにポリシーを構成しなければならないのに対し、一元的に構成されたセキュリティ・ポリシーには人的エラーが少ないため、はるかに一貫性があります。ポリシーの変更が必要な場合、ビジネス主導型の SD-WAN では一元的にプログラムされ、ネットワーク上の何十、何百、何千ものノードにプッシュされるため、運用効率が大幅に向上するとともに、攻撃対象が全体的に減って、セキュリティ侵害を回避できます。
- クラウド・アプリケーションのためのセキュアなローカル・インターネット分離。多くの基本的な SD-WAN は、固定された定義と手動でスクリプト化された ACL に基づくアプリケーション分類機能を備えており、SaaS や IaaS のトラフィックをインターネットで直接誘導します。しかし、クラウド・アプリケーションは常に変化しています。ビジネス主導型の SD-WAN は、変化への継続的に適用し、日次でアプリケーション定義と IP アドレスの自動更新を行います。これにより、アプリケーションの中断やユーザーの生産性の問題がなくなります。
理想的には、企業のお客様は、SD-WAN、ファイアウォール、セグメンテーション、ルーティング、WAN 最適化、可視化と制御の機能をすべて一元管理する単一のプラットフォームで統一した、ビジネス主導型の SD-WAN プラットフォームに移行する必要があります。
SASE に適した高度な SD-WAN 機能
2019 年、Gartner は、「SASE (Secure Access Service Edge)」の用語を提唱しました。データセンターにアプリケーション・トラフィックをバックホールしてからクラウドに転送するのではなく、クラウドで直接高度なセキュリティ調査を実行する、よりセキュアで柔軟性の高い方法を提供するものです。
SASE は、SD-WAN と必要なクラウド配信型セキュリティ機能 (SSE (Security Service Edge)) を組み合わせたものです。SSE は、SASE のセキュリティ・ビジョンの実現をサポートする、セキュリティ・サービスのセットです。
SASE の最終的な目的は、セキュリティを犠牲にすることなく、エンド・ユーザーにクラウドホスト型アプリケーションで得られる最高品質のエクスペリエンスを提供することです。弊社では、SASE アーキテクチャを設計してデプロイした多くの企業と協働した結果、基本的な SD-WAN 機能では不十分であることを把握しました。SASE を完全に実現するには、以下のような機能を持つ高度なネットワーク機能を備えた SD-WAN が必要です。
- 最初のパケットでアプリケーション・トラフィックを識別し、きめ細かく誘導して、ビジネス目的に基づく QoS およびセキュリティ・ポリシーの両方を適用する
- クラウド・アプリケーションの定義と TCP/IP アドレスの範囲を、毎日自動的に最新の状態に保つ
- SD-WAN とクラウドで提供されるセキュリティ・サービスとの間のオーケストレーションを単一のコンソールから自動化して簡単に行えるようにする
- 二次的なクラウド・セキュリティ適用ポイントに自動的にフェイルオーバーし、アプリケーションの中断を回避する
- ブランチに近い新しい場所が利用可能になった場合、クラウド・セキュリティ適用ポイントへのセキュアな接続を自動的に再構成する
- お客様が自社のペースでクラウド・セキュリティ・サービスの導入と SASE の実装を行えるようにする
- 最重要事項として、将来の未知の脅威に容易に対応するために、新しいセキュリティ・イノベーションが利用できるようになったときに、それを自由に選択してどのベンダーからでもデプロイできるようにする
