セキュアSD‑WAN
セキュアSD‑WANとは

セキュアSD‑WANは、SASE (Secure Access Service Edge) 実現への過程を後押しします。また、トンネルボンディング、動的パス選択、ゼロタッチプロビジョニングなど、高度なSD‑WAN機能と、IDS/IPSおよびDDoS防御を含む次世代ファイアウォール機能を組み合わせています。クラウド提供型のセキュリティサービス (SSE: Security Service Edge) とシームレスに統合し、ブランチ拠点全体で一貫したネットワークおよびセキュリティポリシーを適用します。

ヘッドフォンを着けて最新のオフィスのコンピューターデスクで作業している笑顔の男性。
  • セキュアSD‑WANの説明
  • セキュアSD‑WANの仕組み
  • セキュアSD‑WANが徹底したセキュリティの保護ポリシーを適用する方法
  • セキュアSD‑WANを検討すべき理由
  • セキュアSD‑WANのメリット
セキュアSD‑WANの説明

セキュアSD‑WANの説明

長年にわたり、ブランチオフィスと遠隔拠点には、ネットワークとセキュリティ機器が無計画に増え続けていました。この機器は維持管理が難しいうえ、クラウドに対応するように設計されていませんでした。従来のルーターを中心とするWANアーキテクチャーでは、セキュリティ検査を実施するためにトラフィックを企業データセンターに伝送する必要があり、アプリケーションパフォーマンスに多大な影響を及ぼしていました。さらに、ブランチ拠点全体でセキュリティポリシーが一貫していないため、組織全体が潜在的なセキュリティ侵害にさらされた状態でした。

セキュアSD‑WANによって、組織は従来のルーターを廃止できるだけにとどまらず、レガシーなブランチファイアウォールを置き換えることが可能になります。

セキュアSD‑WANには、高度なSD‑WANとセキュリティ機能が含まれており、デバイスの設置面積を削減し、ブランチ間で一貫したポリシーを適用することができます。また、最適なパスを選択し、自動的にトラフィックをクラウドに誘導することで、アプリケーションパフォーマンスの向上を図ることもできます。さらに、ブランチで必要なセキュリティ機能を提供し、ZTNA、SWG、CASBなど、他のセキュリティ機能をサポートするSSEを補完します。

セキュアSD‑WANの仕組み

セキュアSD‑WANの仕組み

セキュアSD‑WANソリューションは、ブランチ拠点を保護する高度なセキュリティ機能を提供します。以下を実現します。

  • AES 256ビット暗号化を使用してIPsecトンネルを構築し、SD‑WANファブリック全体で通信の安全性を強化
  • ディープパケットインスペクション、侵入防止、DDoS防御など、次世代ファイアウォール機能を搭載
  • 役割とIDに基づきトラフィックをセグメント化
  • WAN特有の機能とセキュリティポリシーの両方にポリシーを適用
  • セキュリティイベントをログに記録し、インシデントを迅速に識別して対応を支援

さらにセキュアSD‑WANは、SSEサービスと緊密に統合してSASEアーキテクチャーを形成し、信頼性の低いリンクからクラウドの機密データにアクセスするリモートユーザーを保護します。この統合により、ゼロトラストネットワークアクセス (ZTNA)、セキュアWebゲートウェイ (SWG)、クラウドアクセスセキュリティブローカー (CASB)、サービス型ファイアウォール (FWaaS)、リモートブラウザー分離 (RBI)、サンドボックスなどの機能を追加できます。

セキュアSD‑WANは、セキュリティ機能に加え、トンネルボンディングによってMPLS、インターネット、5Gなどの異種混在のリンクをシームレスに組み合わせ、ネットワーク帯域幅を広げ、冗長性を提供することができます。電圧低下や停電が発生した場合でも、残りのリンクはトラフィックの伝送を継続し、依存性と信頼性を確保します。

このソリューションでは、宛先で損失パケットを回復する前方誤り訂正 (FEC) などのテクニックを提供し、インターネットリンクで頻繁に生じるジッターやパケットロスを低減できるため、組織は高価なMPLS接続をインターネット限定のリンクに置き換えることもできます。また、TCPアクセラレーションとデータ削減テクニックを利用したWAN最適化により、地理的距離に起因するレイテンシの影響を解決します。

さらに、セキュアSD‑WANは、TCP/IPアドレスではなくビジネス目的に基づいてトラフィックをルーティングし、通常、OSPFプロトコルおよびBGPプロトコルをサポートするルーターを内蔵しています。ワークロードがクラウドに移行するに伴い、セキュアSD‑WANを利用することで、トラフィックをデータセンターにバックホールすることなく、アプリケーションタイプに基づいてクラウドにインテリジェントにトラフィックを誘導できるようになります。たとえば、Microsoft 365やWorkdayのような信頼できるクラウドアプリケーションは直接クラウドに送り、社内のレガシーアプリケーションのトラフィックはデータセンターに送ることができます。高度なSD‑WANは、ゼロタッチプロビジョニングを使用して、エラーを最小限に抑えながら、数百または数千のブランチに、数分で、自動的に構成の更新を配布します。

セキュアSD‑WANが徹底したセキュリティの保護ポリシーを適用する方法

セキュアSD‑WANが徹底したセキュリティの保護ポリシーを適用する方法

従来の環境では、ブランチファイアウォールは手作業で構成され、数十から数百、数千のサイトにわたるプログラミング作業に膨大な時間を費やす必要があったため、WAN全体でセキュリティポリシーに一貫性を欠いていました。セキュアSD‑WANでは、セキュリティポリシーが一元的に構成され、数千の拠点に数分でプッシュされるため、エラーを最小限に抑え、一貫したポリシーの適用が可能になります。

セキュアSD‑WANは、エンドツーエンドのネットワークセグメンテーションを、LANおよびWAN、さらにはクラウドにまで及んで実現します。セキュリティポリシーはゾーンごとに定義され、既定義済みセキュリティポリシー、法規制の義務、ビジネス目的に適合する形で他のゾーンとの接続を制限します。たとえば、送信トラフィックのみを許可するポリシーや、承認されたアプリケーションとサービスからの受信トラフィックのみを許可するポリシー、セキュリティが弱いゾーンからのトラフィックをすべてブロックするポリシーなどがあります。セキュアSD‑WANの使用により運用を大幅に簡素化することができ、本質的にファブリック全体で単一の論理ファイアウォールとして動作します。

セキュアSD-WANファブリックの図。
セキュアSD‑WANを検討すべき理由

セキュアSD‑WANを検討すべき理由

  • 従来のブランチファイアウォールとルーターを廃止
    ロールベースのアクセス管理、きめ細かなセグメンテーション、IDS/IPS、DDoS防御が可能な次世代ファイアウォール機能を含む高度かつセキュアなSD‑WANソリューションであれば、ブランチのレガシーファイアウォールをシームレスに置き換えることができます。また、信頼性の低いリンクをIPsecトンネルでセキュリティ強化し、一元的なオーケストレーションを通じてブランチとWAN全体でポリシーをシームレスに適用することができます。さらに、セキュアSD‑WANにより、内蔵されたビジネス主導型ルーティング機能に基づいて、ブランチのレガシールーターを置き換えることができます。
  • ブランチアーキテクチャーを簡素化
    セキュアSD‑WANは、SD‑WAN、ルーティング、WAN最適化、ファイアウォールを含む複数の機能を結合することで、ブランチネットワークとセキュリティ機能を1つのソリューションに統合し、ブランチオフィスのハードウェア設置面積と消費電力を削減します。セキュアSD‑WANは、仮想アプライアンスとして利用することもでき、機器の設置面積と消費電力をさらに削減することができます。このソリューションは、単一のコンソールからゼロタッチプロビジョニングが可能なため、数千に上るサイトであっても簡単に展開でき、IT効率を向上させ、管理の合理化を図ります。
  • クラウドファーストアーキテクチャーをサポート
    セキュアSD‑WANはトラフィックをクラウドにインテリジェントに誘導し、トラフィックをバックホールする必要性を排除して、アプリケーションパフォーマンスを向上させます。ファーストパケットでの識別に基づき、信頼できるSaaSとWebトラフィックをインターネットに直接伝送し、不明または信頼性の低いWebトラフィックをSSEクラウドサービスにサービスチェーンすることができます。
  • IoTデバイスを保護
    セキュアSD‑WANは、セキュリティエージェントを実行できないIoTデバイスを保護するため、ゼロトラストのネットワークセグメンテーションを実装していることから、SASEの枠を超えています。IDに基づいたアクセス制御セキュリティフレームワークを使用して、ユーザーとIoTデバイスがビジネスでの役割に適したネットワークの宛先にのみアクセスできるよう、トラフィックをセグメント化します。
セキュアSD‑WANのメリット

セキュアSD‑WANのメリット

  • IT効率の向上
    セキュアSD‑WANは、必要なネットワーキング機能とセキュリティ機能すべてをサポートし、ブランチでの無秩序な機器の増加を解消します。このソリューションにより、組織はスリム化したブランチモデルに移行し、ネットワークおよびセキュリティ管理を効率化することができます。
  • 柔軟性の向上
    セキュアSD‑WANでは、ブランチでのセキュリティ管理とネットワーク機能を柔軟に実装することができます。簡単かつ迅速に展開可能なソリューションです。
  • ビジネスリスクの軽減
    セキュアSD‑WANは、エンドツーエンドのマイクロセグメンテーション機能を通じて、WANとLANに及ぶSD‑WANファブリック全体のセキュリティを強化します。また、HIPAA、PCI DSS、SOX、NIST CSFなど、規制フレームワークへの準拠を支援します。

HPE Aruba Networking EdgeConnect SD‑WAN

ハイブリッドクラウドに必要な接続性とセキュリティを両立させるセキュアなSD‑WAN SASEソリューションにより、場所を問わないデータアクセスを実現できます。

関連トピック

SSE (セキュリティサービスエッジ)