SD-WAN SD-WANとは
ソフトウェアデファインドワイドエリアネットワーク (SD-WAN) は、企業が任意のトランスポートサービス (MPLS、LTE、ブロードバンドインターネットサービスなど) の組み合わせを利用して、クラウド内またはハイブリッドIT環境全体でホストされるブランチユーザーをアプリケーションにセキュアに接続できるようにする、仮想WANアーキテクチャーを使用するSASEの基礎コンポーネントです。
SD-WANの説明
従来のアーキテクチャーでは、ブランチオフィスからデータセンターへのトラフィックをルーティングするために MPLSリンクが使用されることが多いです。このアーキテクチャーはコストがかかり、柔軟性に欠け、クラウド中心の組織の動的なトラフィックパターンやアプリケーションパフォーマンスの要求に合わせた最適化がなされていません。従来型モデルは、セキュリティ検査のためにブランチオフィスからデータセンターに向けて発生するバックホールトラフィックが帯域幅の浪費とレイテンシの増加を招き、結果的にはアプリケーションパフォーマンスが低下するため、最適とはいえなくなりました。
SD-WANは、トンネルボンディング、最適パス選択、前方誤り訂正、WAN最適化などの複数の技術を活用して、一貫したアプリケーションパフォーマンスと回復力を保証します。ビジネス目的を基準にアプリケーション主導でトラフィックステアリングを自動化し、組み込みのセキュリティ機能によってネットワークセキュリティを強化し、WANアーキテクチャを簡素化します。
SD-WANアーキテクチャー
一般的なSD-WANアーキテクチャーには、次の3つの主要コンポーネントが含まれます。
- エッジデバイス: ブランチサイト、データセンター、クラウドロケーションに展開される物理アプライアンスまたは仮想アプライアンスです。これらは、ポリシーに基づいてトラフィックを転送し、リンクの健全性をリアルタイムで測定する役割を担います。
- SD-WAN Orchestrator: クラウドホスト型またはオンプレミスのプラットフォームであり、すべてのSD-WANノードにわたる構成、ポリシー、および監視を管理します。オーケストレーターは、シングルペインオブグラス管理インターフェイスを提供することで操作を簡素化します。
- トランスポート層: SD-WA は、ブロードバンドインターネット、LTE、5G、MPLSなどのあらゆるIPベースのトランスポート上で機能します。このレイヤーはアンダーレイネットワークを形成し、SD-WANは動的なパス選択とフェイルオーバーを備えたインテリジェントなオーバーレイネットワークを作成します。
- 高度なSD-WANアーキテクチャには、WAN最適化機能 (TCPアクセラレーション、データ重複排除など)、クラウドへの直接接続、組み込みのセキュリティ制御、SSE (セキュリティサービスエッジ) プラットフォームとの統合も含まれる場合があります。
SD-WANの仕組み
SD-WANとは異なり、従来型のルーター中心のモデルでは、制御機能がネットワーク内のすべてのデバイスに分散し、TCP/IPアドレスおよびACLに基づいてトラフィックをルーティングするだけです。この従来型モデルは、柔軟性に欠け、複雑で非効率的であり、クラウドフレンドリーではないため、そのユーザーエクスペリエンスの質が悪くなります。
SD-WANは、利用可能なすべてのネットワークリンクのパフォーマンスを継続的に評価し、リアルタイムの状況やビジネスポリシーに基づいてトラフィックをインテリジェントにルーティングすることで動作します。たとえば、優先度が低く設定されたソフトウェア更新よりもVoIP通話を優先したり、大量のトラフィックをブロードバンド経由でルーティングしながら機密データを安全なMPLSリンク経由で誘導したりできます。
その主なメカニズムは次のとおりです。
- アプリケーション認識ルーティング: 最初のパケットでアプリケーションを識別し、サービス品質 (QoS) ルールを適用してパフォーマンスと信頼性を確保します。
- 動的パス選択: レイテンシ、ジッター、パケット損失などのリンクメトリックに基づいて、各アプリケーションフローに最適なパスを選択します。
- 前方誤り訂正: パケット損失を修正し、信頼性の低い接続でのパフォーマンスの問題を解消することで、リンク品質を向上させます。
- トンネルボンディング: 複数のWANリンクを1つの論理接続に結合して、スループットと回復力を向上させます。
トラフィックは安全なトンネル (通常はIPsec) 内にカプセル化され、パブリックネットワーク上であっても機密性と整合性が確保されます。高度なセキュアSD-WANは、ユーザー、アプリケーション、またはデバイスの役割に基づいてトラフィックをセグメント化することもサポートし、ラテラルムーブメントを防ぎ、セキュリティ境界を維持します。
SD-WANが選ばれる理由
時代は変わり、企業はクラウドを利用し、SaaS (Software as a Service) をサブスクライブするようになっています。従来、ユーザーは企業のデータセンターに接続して、ビジネスアプリケーションにアクセスしていましたが、今は、クラウドにあるそれらの同じアプリケーションの多くにアクセスすることで、より適切なサービスを利用しています。
その結果、従来型のWANは適さなくなっています。その主な理由は、クラウド行きのトラフィックも含めてブランチオフィスからのすべてのトラフィックを本社にバックホールすることで、レイテンシが生じ、アプリケーションパフォーマンスが低下するためです。SD-WANでは、WANが簡素化され、コストが軽減され、帯域幅の効率が向上し、クラウドへのシームレスな進入が提供されます。同時に、セキュリティやデータのプライバシー保護を犠牲にすることなく、(特にクリティカルアプリケーションの) アプリケーションパフォーマンスが大幅に向上します。アプリケーションパフォーマンスの向上により、ビジネスの生産性や顧客満足度が向上するため、収益性の向上にもつながります。一貫したセキュリティにより、ビジネスリスクが軽減されます。
SD-WANのメリット
- パフォーマンスの向上: アプリケーションを最適なパスでルーティングし、データセンターへのバックホールを排除します。
- 強化されたセキュリティ: 多くのSD-WANソリューションには、暗号化、ファイアウォール、高度なセキュリティ機能が含まれています。これらはSSEと緊密に統合され、SASEアーキテクチャを形成します。
- クラウド志向: ブランチ拠点からのクラウドアクセスを最適化し、保護します
- コスト削減: コスト効率の高いインターネットリンクを活用することで、高額なMPLS回線への依存を削減します。
- 簡素化された管理: 一元管理により、ネットワークの構成と監視が容易になります。
基本的なSD-WANとビジネス主導のセキュアなSD-WANの比較
- すべてのSD-WANがパフォーマンス重視の構成というわけではない: 多くのSD-WANソリューションは、基本的な、言い方を換えれば「一応使える程度の」ソリューションです。そのようなソリューションでは、セキュアなネットワークエクスペリエンスを確実に提供し、堅牢なSASEアーキテクチャーを構築するために必要とされるインテリジェンス、セキュリティ、パフォーマンス、スケールが欠如しています。また、高速でセキュアなハイパフォーマンスネットワークがなければ、企業のデジタルトランスフォーメーションとサイバーセキュリティの取り組みが行き詰まることになります。では、セキュアなビジネス主導のセキュアなSD-WANとはどのようなもので、基本的なSD-WANでは不十分である理由は何でしょうか。
- 一貫したエクスペリエンス品質 (QoEx)。高度なSD-WANソリューションの主なメリットは、複数の形態のWANトランスポートを同時に使用できることです。基本的なソリューションでは、アプリケーション単位でトラフィックが単一のパスに誘導され、そのパスで障害が発生した場合やパフォーマンスが低下した場合は、よりパフォーマンスの高いリンクに動的にリダイレクトされます。ただし、多くの基本的なソリューションでは、障害発生時のフェイルオーバー時間は数十秒かそれ以上かかり、厄介なアプリケーションの中断が発生することが少なくありません。ビジネス主導のSD-WANでは、下層のすべてのトランスポートサービスがインテリジェントに監視および管理されます。パケットロス、レイテンシ、およびジッターの問題が解消され、WANのトランスポートサービスが正常に機能しなくなった場合でも、最高レベルのアプリケーションパフォーマンスとQoExがユーザーに提供されます。ビジネス主導のSD-WANでは、基本的なSD-WANとは異なり、トランスポート全体の機能停止がシームレスに処理されるため、音声やビデオ通信などのビジネスクリティカルアプリケーションの中断を回避できる1秒未満のフェイルオーバーが提供されます。ネットワークでの変化に継続的に適応し、ネットワークの輻輳、電圧低下、トランスポートの機能停止などの状況も含めて、アプリケーションパフォーマンスに影響を及ぼす可能性があるどのような変化にもリアルタイムで自動的に適応します。
- 組み込みのセキュリティ。セキュアなビジネス主導のSD-WANには、ブランチオフィスのセキュリティを効率的に確保するために次世代ファイアウォールが組み込まれています。主な機能には、侵入検知および防止 (IDS/IPS) とエンドツーエンドのセグメンテーションが含まれます。その他の高度なSD-WANは、DDoS攻撃から組織を守ることができます。次世代ファイアウォールが組み込まれているため、従来型のブランチファイアウォールを容易に置き換えて、ハードウェア設置面積を削減できます。また、セキュリティポリシーが一元管理されているため、熟練したIT担当者を現地に配置する必要がなくなり、設定ミスも回避できます。
- ロールベースのセグメンテーション。基本的なSD-WANではVPNサービスと同等の機能が提供されますが、セキュアなビジネス主導のSD-WANでは、より包括的なエンドツーエンドのロールベースのセグメンテーションが提供されます。ユーザーとデバイスのアイデンティティおよびロールベースのポリシーを追加することにより、高度でセキュアなSD-WANでは、きめ細かなセグメンテーションおよびゼロトラストを提供できます。セキュアなSD-WANでは、ユーザー/デバイス/アプリケーションのグループと仮想オーバーレイの任意の組み合わせにわたって、LANからWANまでのエンドツーエンドのゾーンが作成され、セキュリティポリシーがすべてのリモートサイトに伝播されます。最小権限でのアクセスの原則に基づいて、未許可アクセスを減らし、インシデントの範囲を限定しながら、ユーザーおよびIoTデバイスが、ビジネスにおけるそれぞれの役割と整合性がある宛先とのみ通信できるようにします。
- マルチクラウドネットワーキング。高度なSD-WANを、AWS、Azure、Google Cloudなどのパブリッククラウドに展開して、SD-WANのあらゆるメリットを利用することで、ブランチオフィスとクラウドの間の接続を最適化することができます。電圧低下や停電が発生した場合でも、残っているリンクでトラフィックの伝送が継続されるため、音声通話、ビデオ会議、および他のアプリケーションでユーザーは中断に気付きません。ブランチとパブリッククラウドの間の高耐久化されたファーストマイルにより、ネットワークのパフォーマンス、信頼性、品質が向上します。
- 企業顧客は理想的には、SD-WAN、ファイアウォール、セグメンテーション、WAN最適化、および可視化機能と制御機能のすべてを、一元管理された単一のプラットフォームに統合する、セキュアビジネス主導のセキュアなSD-WANプラットフォームに移行する必要があります。
SASE向けの高度なSD-WAN機能
SASEはSD-WANとSecurity Service Edge (SSE) を組み合わせたものです。SSEの主な機能には、ZTNA (ゼロトラストネットワークアクセス)、SWG (セキュアWebゲートウェイ)、CASB (クラウドアクセスセキュリティブローカー) などがあります。
SASEの最終的な目標は、クラウド中心の企業およびハイブリッドワーク環境において、ユーザーが場所を問わずに機密データにアクセスしたりセキュアではないWebサイトをブラウズしたりする場合に、セキュリティおよびパフォーマンスを提供することです。独自のSASEアーキテクチャーを設計および展開している多数の企業と協力した結果、基本的なSD-WAN機能では目標を達成できないことが分かりました。SASEで以下のことを可能にするには、高度なネットワーキングとセキュリティ機能を備えたSD-WANが必要です。
- 統一された一貫性のあるSASEアーキテクチャーまたは単一ベンダーSASEソリューションを形成するための、SSEソリューションへのシームレスな統合
- シンプル化のために、SD-WANとSSEの間のオーケストレーションを単一のコンソールから自動化する
- 最初のパケットでアプリケーションのトラフィックを識別し、事前データされたセキュリティポリシーに基づいてそのパケットをSSEソリューションにきめ細かく誘導する
- セカンダリクラウドセキュリティ適用ポイントに自動的にフェイルオーバーして、アプリケーションの中断を回避する
- ブランチにより近くより新しい場所が利用可能になった場合に、クラウドセキュリティ適用ポイントへのセキュアな接続を自動的に構成し直す
HPEとSD-WAN
HPE Aruba Networking EdgeConnect SD-WANは、企業組織のエッジからクラウドまでを、場所、データセンター、クラウド、SaaSにまたがる単一のSD-WANファブリックに接続するためのアクセス展開オプションの包括的なポートフォリオです。このソリューションには、SD-WANファブリックにシームレスに接続するための3種類の適正規模の展開モデル、または「オンランプ」が含まれており、本社、データセンター、キャンパス、支社、小規模オフィス、在宅勤務ユーザー、モバイルユーザーが、どこからでもアプリケーション、データ、サービスにアクセスできる、シームレスでセキュアかつ高性能なネットワーク接続を提供します。
- EdgeConnect SD-WANは、継続的に学習し、変化し続けるビジネスニーズに適応し、エッジからクラウドまでの最適なネットワークとアプリケーションパフォーマンスを柔軟に提供する、高度なSD-WANエッジをIT管理者が設計できるようにします。
- EdgeConnect SD-Branchは、一元的なクラウド管理により、組み込みセキュリティおよびオンボードLTEをサポートして、WLAN、LAN、およびSD-WANにわたって最大限に統合するためにブランチのネットワークコンポーネントをIT管理者が統合できるようにします。
- EdgeConnect Microbranchは、小規模オフィスや在宅勤務サイトに最適です。HPE Aruba Networkingのリモートアクセスポイント (RAP) をある範囲で使用する場合、最小限の設置面積で企業ネットワークへのセキュアなWAN接続を実現でき、クラウド配信型のセキュリティサービスとの統合が自動化されます。
HPE Aruba Networking EdgeConnect SD-WANは、分散型企業全体の最新の接続性とセキュリティの課題に対応する包括的なソリューションを提供します。トンネルボンディング、ビジネス目的オーバーレイ、パスコンディショニング、WAN 最適化技術により、パフォーマンスが向上し、コストが削減されます。これらの機能によって、MPLS、ブロードバンド、5GといったハイブリッドWANリンク上で、信頼性が高く高品質なアプリケーションパフォーマンスが実現されます。
クラウド駆動型環境では、アプリケーショントラフィックをAWS、Azure、Oracle Cloud、Google Cloudなどのクラウドプロバイダーに直接インテリジェントにルーティングし、効率とユーザーエクスペリエンスを向上させます。
セキュリティは、次世代ファイアウォール機能、IDS/IPS、アダプティブDDoS保護、ロールベースのセグメンテーションが組み込まれており、すべてが一元管理されています。Secure Web Gateway (SWG) の統合により、エージェント不要で管理されていないデバイスへのWebベースの脅威に対する保護が拡張されます。IoTセキュリティも HPE Aruba Networking ClearPassの統合によって強化され、IDとロールに基づいたダイナミックセグメンテーションが可能になります。
このソリューションは、SASEの基盤として、ZTNA、SWG、CASBなどのセキュリティ機能をサポートするクラウドネイティブなSSEソリューションであるHPE Aruba Networking SSEと緊密に統合されるほか、複数のサードパーティSSEとも連携し、既存のセキュリティエコシステムに統合されます。
