SD-WAN
SD-WANとは

ソフトウェア デファインド ワイドエリアネットワーク (SD-WAN) は、企業が任意のトランスポートサービス (MPLS、LTE、ブロードバンドインターネットサービスなど) の組み合わせを利用して、ユーザーをアプリケーションにセキュアに接続できるようにする仮想WANアーキテクチャーです。

フロントデスクでの会話 – SD-WANによるオフィス接続

SD-WANの説明

従来型モデルは、強固なセキュリティ検査のためにブランチオフィスからデータセンターに向けて発生するバックホールトラフィックが帯域幅の浪費とレイテンシの増加を招き、結果的にはアプリケーションパフォーマンスが低下するため、最適とはいえなくなりました。現在では、エンタープライズセキュリティの必須要件に対応しながら、ブランチロケーションから信頼できるSaaSアプリケーションやクラウドベースアプリケーションに、インターネットを介して直接トラフィックを送信できる優れた方法が切実に求められています。

SD-WANでは、一貫したアプリケーションパフォーマンスと耐障害性が保証され、ビジネス目的に基づいたアプリケーション主導の方法でトラフィック誘導が自動化され、ネットワークセキュリティが向上し、WANアーキテクチャーが簡素化されます。SD-WANにおけるトラフィックは、一元的な管理機能を使用してWAN全体でセキュアかつインテリジェントな方法で、信頼性できるSaaSおよびIaaSプロバイダーに直接誘導されます。それにより、アプリケーションパフォーマンスが向上し、質の高いユーザーエクスペリエンスが提供されるため、ビジネスの生産性とアジリティが向上し、ITコストが削減されます。

SD-WANアーキテクチャーの説明

SD-WANアーキテクチャー

従来型のルーターに基づくWANは、クラウド向けに設計されたものではありませんでした。通常は、高度なセキュリティ検査サービスを適用できるハブや本社のデータセンターへ、クラウドに向けたトラフィックも含めてブランチオフィスからのすべてのトラフィックをバックホールする必要があります。バックホールに起因する遅延によりアプリケーションパフォーマンスが低下するため、ユーザーエクスペリエンスも生産性も低下することになります。

ルーター中心の従来型WANアーキテクチャーとは異なり、SD-WANモデルは、最高レベルのアプリケーションパフォーマンスを実現しつつ、オンプレミスデータセンター、パブリッククラウド/プライベートクラウド、およびSaaSサービス (Salesforce.com、Workday、Dropbox、Microsoft 365など) でホストされるアプリケーションを完全にサポートできるように設計されています。

SD-WANの仕組み

SD-WANとは異なり、従来型のルーター中心のモデルでは、制御機能がネットワーク内のすべてのデバイスに分散し、TCP/IPアドレスおよびACLに基づいてトラフィックをルーティングするだけです。この従来型モデルは、柔軟性に欠け、複雑で非効率的であり、クラウドフレンドリーではないため、そのユーザーエクスペリエンスは最適とはいえません。

SD-WANでは、クラウドファーストの企業が、卓越した品質のアプリケーションエクスペリエンスをユーザーに提供できるようになります。SD-WANは、アプリケーションを識別することで、WAN全体にわたってインテリジェントなアプリケーション対応型ルーティングを提供し、それぞれのクラスのアプリケーションには適切なQoSおよびセキュリティポリシーが適用され、そのすべてがビジネスニーズに適合しています。ブランチオフィスからのIaaSおよびSaaSアプリケーションのトラフィックのセキュアなローカルインターネットブレークアウトにより、企業を脅威から守りつつ、最高レベルのクラウドパフォーマンスが提供されます。

SD-WANが選ばれる理由

時代は変わり、企業はクラウドを利用し、SaaS (Software as a Service) をサブスクライブするようになっています。従来、ユーザーは企業のデータセンターに接続して、ビジネスアプリケーションにアクセスしていましたが、今は、クラウドにあるそれらの同じアプリケーションの多くにアクセスすることで、より適切なサービスを利用しています。

その結果、従来型のWANは適さなくなっています。その主な理由は、クラウド行きのトラフィックも含めてブランチオフィスからのすべてのトラフィックを本社にバックホールすることで、レイテンシが生じ、アプリケーションパフォーマンスが低下するためです。SD-WANでは、WANが簡素化され、コストが軽減され、帯域幅の効率が向上し、クラウドへのシームレスな進入が提供されます。同時に、セキュリティやデータのプライバシー保護を犠牲にすることなく、(特にクリティカルアプリケーションの) アプリケーションパフォーマンスが大幅に向上します。アプリケーションパフォーマンスの向上により、ビジネスの生産性や顧客満足度が向上するため、収益性の向上にもつながります。一貫したセキュリティにより、ビジネスリスクが軽減されます。

基本的なSD-WANとビジネス主導のセキュアなSD-WANの比較

  • すべてのSD-WANがパフォーマンス重視の構成というわけではありません、多くのSD-WANソリューションは、基本的な、言い方を換えれば「一応使える程度の」ソリューションです。そのようなソリューションでは、セキュアなネットワークエクスペリエンスを確実に提供するために必要とされるインテリジェンス、セキュリティ、パフォーマンス、スケールが欠如しています。また、高速でセキュアなハイパフォーマンスネットワークがなければ、企業のデジタルトランスフォーメーションの取り組みが行き詰まることになります。SD-WANはデジタルトランスフォーメーションに極めて重要なイネーブラーであり、全社的な戦略的意思決定の原動力です。では、ビジネス主導のセキュアなSD-WANとはどのようなもので、基本的なSD-WANでは不十分である理由は何でしょうか。
  • 一貫したエクスペリエンス品質 (QoEx)。高度なSD-WANソリューションの主なメリットは、複数の形態のWANトランスポートを同時に使用できることです。基本的なソリューションでは、アプリケーション単位でトラフィックが単一のパスに誘導され、そのパスで障害が発生した場合やパフォーマンスが低下した場合は、よりパフォーマンスの高いリンクに動的にリダイレクトされます。ただし、多くの基本的なソリューションでは、障害発生時のフェイルオーバー時間は数十秒かそれ以上かかり、厄介なアプリケーションの中断が発生することが少なくありません。ビジネス主導のSD-WANでは、下層のすべてのトランスポートサービスがインテリジェントに監視および管理されます。パケットロス、レイテンシ、およびジッターの問題が解消され、WANのトランスポートサービスが正常に機能しなくなった場合でも、最高レベルのアプリケーションパフォーマンスとQoExがユーザーに提供されます。ビジネス主導のSD-WANでは、基本的なSD-WANとは異なり、トランスポート全体の機能停止がシームレスに処理されるため、音声やビデオ通信などのビジネスクリティカルアプリケーションの中断を回避できる1秒未満のフェイルオーバーが提供されます。
  • 継続的な自己学習。基本的なSD-WANソリューションでは、通常はテンプレートを使用してプログラムされた、事前定義済みのルールに従ってトラフィックが誘導されます。ビジネス主導のSD-WANでは、ネットワークの状況や変化に関係なく、輻輳や機能障害が発生している場合でも、最適なアプリケーションパフォーマンスが提供されます。ビジネス主導のSD-WANは、継続的な監視と自己学習を通じて、ネットワークの状態のどのような変化にもリアルタイムで自動的に対応します。ビジネス主導のSD-WANは、ネットワークでの変化に継続的に適応し、ネットワークの輻輳、電圧低下、トランスポートの機能停止などの状況も含めて、アプリケーションパフォーマンスに影響を及ぼす可能性があるどのような変化にもリアルタイムで自動的に適応します。そのため、ユーザーは、ITスタッフによる手動の介入なしでアプリケーションに常に接続できるようになります。たとえば、WANトランスポートサービスまたはクラウドセキュリティサービスでパフォーマンス低下が発生した場合、ビジネスポリシーによるコンプライアンスを維持したままでトラフィックが流れ続けるように、ネットワークが自動的に適応します。
  • マルチクラウドネットワーキング。高度なSD-WANを、AWS、Azure、Google Cloudなどのパブリッククラウドに展開して、SD-WANのあらゆるメリットを利用することで、ブランチオフィスとクラウドの間の接続を最適化することができます。電圧低下や停電が発生した場合でも、残っているリンクでトラフィックの伝送が継続されるため、音声通話、ビデオ会議、および他のアプリケーションでユーザーは中断に気付きません。ブランチとパブリッククラウドの間の高耐久化されたファーストマイルにより、ネットワークのパフォーマンス、信頼性、品質が向上します。
  • 組み込みの次世代ファイアウォール。ビジネス主導のセキュアなSD-WANには、ブランチオフィスのセキュリティを効率的に確保するために次世代ファイアウォールが組み込まれています。その主な機能として、ディープパケットインスペクション (DPI)、侵入検知/侵入防止 (IDS/IPS) などがあります。その他の高度なSD-WANは、DDoS攻撃から組織を守ることもできます。次世代ファイアウォールが組み込まれているため、従来型のブランチファイアウォールを容易に置き換えて、ハードウェア設置面積を削減できます。また、セキュリティポリシーが一元管理されているため、熟練したIT担当者を現地に配置する必要がなくなり、設定ミスも回避できます。デバイスごとに異なるポリシー設定が必要になることが多い従来型のファイアウォールと比べると、一元的に設定されたセキュリティポリシーでは人的ミスが減るため、一貫性がはるかに向上します。ポリシーを変更する必要がある場合、ビジネス主導のSD-WANでは一元的にプログラムして、ネットワーク内の数十、数百、または数千のノードにプッシュするだけで済むため、運用効率が大幅に向上します。また、全体的な攻撃対象領域を減らし、セキュリティ侵害を回避しながら、それを行うことができます。
  • ロールベースのセグメンテーション。基本的なSD-WANではVPNサービスと同等の機能が提供されますが、ビジネス主導のセキュアSD-WANでは、より包括的なエンドツーエンドのロールベースのセグメンテーションが提供されます。SD-WANプラットフォームでは、次世代ファイアウォールがサポートされているだけでなく、LAN-WAN-データセンターおよびLAN-WAN-クラウドにまたがるエンドツーエンドのセグメンテーションのオーケストレーションおよび適用が可能です。ユーザーとデバイスのアイデンティティおよびロールベースのポリシーを追加することにより、高度でセキュアなSD-WANでは、きめ細かなセグメンテーションおよびゼロトラストが提供されます。セキュアなSD-WANでは、ユーザー/デバイス/アプリケーションのグループと仮想オーバーレイの任意の組み合わせにわたって、LANからWANまでのエンドツーエンドのゾーンが作成され、セキュリティポリシーがすべてのリモートサイトに伝播されます。最小権限でのアクセスの原則に基づいて、未許可アクセスを減らし、インシデントの範囲を限定しながら、ユーザーおよびIoTデバイスが、ビジネスにおけるそれぞれの役割と整合性がある宛先とのみ通信できるようにします。
  • クラウドアプリケーション向けのセキュアなローカルインターネットブレークアウト。多くの基本的なSD-WANでは、SaaSおよびIaaSのトラフィックをインターネット経由で直接誘導するための、固定定義およびスクリプトによる手動でのACLに基づいた、いくつかのアプリケーション分類機能が提供されます。ただし、クラウドアプリケーションは絶えず変化します。ビジネス主導のSD-WANは、継続的に変化に適応し、アプリケーション定義およびIPアドレスの日次更新を自動化できます。これにより、アプリケーションの中断やユーザーの生産性の問題が解消されます。

企業顧客は理想的には、SD-WAN、ファイアウォール、セグメンテーション、WAN最適化、および可視化機能と制御機能のすべてを、一元管理された単一のプラットフォームに統合する、ビジネス主導のSD-WANプラットフォームに移行する必要があります。

SASE向けの高度なSD-WAN機能

SASEでは、SD-WANが、セキュリティサービスエッジ (SSE) とも呼ばれるクラウド配信型のセキュリティ機能と組み合わされています。SSEでは、SASEのセキュリティビジョンを達成することに役立つセキュリティサービスのセットが定義されています。SSEの主な機能には、ZTNA (ゼロトラストネットワークアクセス)、SWG (セキュアWebゲートウェイ)、CASB (クラウドアクセスセキュリティブローカー) などがあります。

SASEの最終的な目標は、クラウド中心の企業およびハイブリッドワーク環境において、ユーザーが場所を問わずに機密データにアクセスしたりセキュアではないWebサイトをブラウズしたりする場合に、セキュリティおよびパフォーマンスを提供することです。独自のSASEアーキテクチャーを設計および展開している多数の企業と協力した結果、基本的なSD-WAN機能では目標を達成できないことが分かりました。SASEで以下のことを可能にするには、高度なネットワーキングとセキュリティ機能を備えたSD-WANが必要です。

  • 統一された一貫性のあるSASEアーキテクチャーを形成するためのSSEソリューションにシームレスに統合する
  • それを容易にするために、SD-WANとSSEの間のオーケストレーションを単一のコンソールから自動化する
  • 最初のパケットでアプリケーションのトラフィックを識別し、事前データされたセキュリティポリシーに基づいてそのパケットをSSEソリューションにきめ細かく誘導する
  • セカンダリクラウドセキュリティ適用ポイントに自動的にフェイルオーバーして、アプリケーションの中断を回避する
  • ブランチにより近くより新しい場所が利用可能になった場合に、クラウドセキュリティ適用ポイントへのセキュアな接続を自動的に構成し直す
  • お客様が新しいクラウドセキュリティサービスおよびSASE実装を簡単に展開できるようにする

HPEとSD-WAN

HPE Aruba Networking EdgeConnect SD-WANは、企業組織のエッジからクラウドまでを、場所、データセンター、クラウド、SaaSにまたがる単一のSD-WANファブリックに接続するためのアクセス展開オプションの包括的なポートフォリオです。このソリューションにはSD-WANファブリックに「進入」するための3種類の適正規模の展開モデルがあり、本社、データセンター、キャンパス、ブランチ、小規模オフィス、在宅勤務、モバイルのユーザーが、どこからでもアプリケーション、データ、およびサービスへのシームレスでセキュアなハイパフォーマンスネットワーク接続を利用できるようにします。

  • EdgeConnect SD-WANは、継続的に学習し、変化し続けるビジネスニーズに適応し、エッジからクラウドまでの最適なネットワークとアプリケーションパフォーマンスを柔軟に提供する、高度なSD-WANエッジをIT管理者が設計できるようにします。
  • EdgeConnect SD-Branchは、一元的なクラウド管理により、組み込みセキュリティおよびオンボードLTEをサポートして、WLAN、LAN、およびSD-WANにわたって最大限に統合するためにブランチのネットワークコンポーネントをIT管理者が統合できるようにします。
  • EdgeConnect Microbranchは、小規模オフィスや在宅勤務サイトに最適です。HPE Aruba Networkingのリモートアクセスポイント (RAP) をある範囲で使用する場合、最小限の設置面積で企業ネットワークへのセキュアなWAN接続を実現でき、クラウド配信型のセキュリティサービスとの統合が自動化されます。 

EdgeConnect SD-WAN Fabricは、最も要求の厳しいワイドエリアネットワークへの対応に求められる継続的な適応、常時稼働のセキュリティ、およびアジリティを提供することにより、最高品質のエクスペリエンスとパフォーマンスを実現します。自動化、機械学習、およびAIを駆使した先進的な機能を活用し、大規模な分散型ネットワークの展開、構成、保守で必要となる複雑さや手間のかかる手作業を解消することで、IT組織の負荷を軽減します:

EdgeConnect SD-WAN Fabricは、データセンター、IaaS、SaaS、およびプライベートクラウドに簡単に拡張することができます。自動化された統合により、AWS、Microsoft Azure、Google、Equinix、Megaportなどへのマルチクラウド接続が簡素化されます。

EdgeConnect SD-WAN Fabricは、unified SASEプラットフォームおよびサードパーティのクラウドセキュリティパートナーソリューションを構築するための、HPE Aruba Networking SSEとの統合を自動化します。

HPE Aruba Networking EdgeConnect SD-WAN

ハイブリッドクラウドに必要な接続性とセキュリティを両立させるセキュアなSD-WAN SASEソリューションにより、場所を問わないデータアクセスを実現できます。

関連トピック

セキュアSD-WAN

SSE (セキュリティサービスエッジ)

重要な場所に

マルチクラウドネットワーキング