fbpx

セキュリティを損なうことなくSD-WANを使用したブレイクアウト

アプリケーションがクラウドに移行し、インターネットを宛先とするトラフィックが増えるにつれて、企業はSD-WANを使用してトラフィックをローカルに効率的にルーティングするようになっています。

本記事では、SD-WAN(Software Defined – WAN)の俊敏性を組み合わせて、高速で安全なローカルインターネットのブレイクアウトを作成する方法について説明します。

  • 組織がSD-WANを採用している理由
  • ローカルインターネットのブレイクアウトがSD-WANのメリットを最大化する方法
  • ローカルインターネットのブレイクアウトに関連するセキュリティの影響

SD-WANの主要なドライバー

アプリケーションとサービスのクラウドへの移行により、接続、コンピューティング、ビジネスの通常の方法が変わりました。組織はクラウドコンピューティングの革新を利用しており、データセンターにこれまで展開されていたアプリケーションはクラウドに移行しています。

データセンターに接続するユーザー向けに設計されたレガシーハブアンドスポークアーキテクチャ、およびデータセンターに存在するアプリケーションは、これらの変更に対応できませんでした。

リモートオフィスから低帯域幅WANリンクを介して集中型データセンターにトラフィックをバックホールすることは、コストのかかる提案です。よりリッチなクラウドアプリケーションがブランチオフィスで使用されているため、ハブアンドスポークアーキテクチャは生産性の負担になっています。

SD-WANへの移行

SD-WANは、ソフトウェア定義ネットワーキングの概念をWANに拡張します。このテクノロジーにより、企業はハブアンドスポークから直接インターネットへのアーキテクチャにスムーズに移行できます。

SD-WANテクノロジーは、支社のインテリジェントルータであり、インターネット向けと企業向けのトラフィックを区別できます。パスの最適化により、SD-WANはインターネット向けのトラフィックを低コストのブロードバンド/ 4G / 5Gを介してローカルにオフロードでき、企業のデータセンター向けのトラフィック用にMPLSを予約します。

SD-WANは、ローカルインターネットのブレイクアウトを確立する簡単な方法を提供し、次のようないくつかの利点を提供します。

  • コストを削減
    • 同等の信頼性でMPLS 依存性/コストを削減
  • ITを簡素化
    • 接続を迅速に展開してプロビジョニングする
  • 高速アクセス
    • クラウドへの直接接続
    • 高速なユーザーエクスペリエンス
  • 機敏
    • 進化するビジネスニーズをサポート
    • ブランチを簡単に追加/削除/スケーリング

SD-WANには次のコンポーネントがあります

  • CPE(顧客宅内機器)–これは一般に仮想CPE(vCPE)またはユニバーサルCPE (uCPE)と呼ばれます。vCPEは通常、企業ネットワークにインストールするVMですが、uCPEはルーティングの決定を行うことができるx86コモディティベースのハードウェアアーキテクチャです。
  • SD-WANゲートウェイ(オプション)-インターネットまたはMPLSを介してトラフィックを誘導します。
  • SD-WANコントローラ–これは、オーケストレーションと集中管理を提供して、ポリシーを設定し、トラフィックに優先順位を付けます。
  • 分析および管理プラットフォーム–ネットワークパフォーマンスの監視を提供します。

SD-WAN環境の保護

ローカルインターネットのブレイクアウト(LBO)は本質的に安全ではありません。組織はローカルなインターネットのブレイクアウトを確立しようとしているため、現在インターネットに直接送信されているトラフィックを保護する必要があります。以下は、最も一般的なアプローチとそれぞれに存在する制限です。

ブランチセキュリティアプライアンス

このモデルでは、セキュリティアプライアンスのスタックが各ブランチオフィスに展開されます。つまり、100のブランチオフィスを持つ組織は、物理セキュリティアプライアンスの100スタックと、冗長性のための追加のアプライアンスを個別に管理する必要があります。このアプローチは非常に高価であり、更新と変更管理の構成と管理を困難にします。より多くのセキュリティが適用され、これらのデバイスを管理するITチームが過負荷にすることができます。

セキュリティアプライアンスのスタック全体を各ブランチに展開する代わりに、アプライアンスベンダーは、組織がブランチの場所に小さなファイアウォールまたはUTMアプライアンスを展開することを提案することがよくあります。実際には、これらのアプライアンスは多くの場合、能力不足またはサイズ不足であり、SSLインスペクションなどのプロセッサ集約型の機能に十分に対応できません。アプライアンスをアップグレードしないと、このアプローチにより、SSLインスペクションの回避や高度な脅威保護などのセキュリティが侵害され、ブランチや組織全体が脆弱なままになります。

ネットワークを複雑にすることなく、ローカルのインターネットのブレイクアウトを適切に保護することが重要です。MPLSを介してリージョンごとにトラフィックをバックホールし、リージョナルハブの次世代ファイアウォールとセキュリティスタックにアクセスすることで妥協することは、依然としてコストがかかり、SDWANを配備することの意図する利点の多くを排除し、場所を脆弱なままにします。

仮想ネットワーク機能(VNF)

世界は物理的なアプライアンスから離れています。VNFを使用すると、セキュリティサービスが仮想化され、汎用ハードウェア上の仮想マシンで実行されます。大企業の場合、パフォーマンスは基盤となるハードウェアに依存するため、VNFの実装は複雑なプロセスになる可能性があります。

VNFはオンプレミスの物理的なハードウェアの課題を解決し、水平方向にスケーリングする可能性がありますが、各機能は分離して実行され、各レイヤーはレイテンシを追加します。トラフィックはボックスごとにサービスチェーン全体を通過する必要があるため、ユーザーエクスペリエンスが低下します。さらに複雑なことに、VNFは、個別の制御レイヤーと適用レイヤーを必要とする単一のテナントシステムであり、単一のポリシーオブジェクトを持ちません。

マルチテナントクラウドセキュリティプラットフォーム

SD-WANテクノロジーは、セキュリティハードウェアや管理上の負担を追加することなく、クラウドで次世代ファイアウォールと最新のインターネットセキュリティ機能を提供するクラウドベースのセキュリティスタックと提携する必要があります。企業は、Office365などの重要なアプリケーションをYouTubeやストリーミングメディアなどよりも優先できること、およびすべての場所でセキュリティとアクセスポリシーの変更を定義してすぐに適用できることを確認する必要もあります。

SD-WANのリスク

ローカルブレイクアウトを使う場合、基本的に事前登録されたクラウドサービスであればインターネット、そうでなければVPNなどに回線を分けます。VPN同様にSD-WANも基本的には境界型(ペリメータ)モデルのセキュリティ対策です。SD-WAN自体はクラウドソリューションですが、本質的にはペリメータモデルのリスクがはらんでいます。あくまでゼロトラストなセキュリティモデルではありません。VPNからゼロトラストへの移行を行う方がよりセキュリティの面では安全です。

SD-WANを保護するクラウドの方法

組織がSD-WAN展開の意図された利点を実現するのに役立ちます。コストと複雑さを削減し、ブランチITを簡素化し、バックホールや各場所のセキュリティアプライアンススタックを複製することなく、アウトバウンドインターネットトラフィックを保護することで高速なユーザーエクスペリエンスを提供します。そして、ポリシーは物理的な場所に縛られていません。代わりに、ユーザーをフォローして、どこに接続しても同じ保護を提供します。

アプリケーションがクラウドへの移行を続けるにつれ、ハードウェアが企業から消え続け、SD-WANの利点がより明白になり、SD-WANの需要が大幅に増加します。SD-WANソリューションを探す場合、企業はセキュリティを最優先することをお勧めします。そして、無駄のない管理を支持する包括的なSD-WANセキュリティを備えた新しい統合アプローチを探す必要があります。

SNSでもご購読できます。

コメントを残す

*