ファイアウォールの新たなゼロデイ脆弱性が話題になっています。ファイアウォールやVPNについて不安をお持ちの場合は、Zscalerの特別オファーをご活用ください。

詳細はこちら
Zpedia / SD-WANとは

SD-WANとは

ソフトウェア定義型広域ネットワーク(SD-WAN)は仮想化を利用し、組織のユーザーをマルチプロトコル ラベル スイッチング(MPLS)ノード、VPN、ブロードバンド インターネットやその他の既存のネットワーク インフラなどの複数のトランスポート サービスのワークロードに接続するネットワーク サービスです。トラフィックを最適化するための自動化されたトラフィック ステアリングを備えたSD-WANテクノロジーは、組織がオンプレミスのデータ センターから移行する際に、これまでのWANに代わる効率的な代替手段となります。

eBookを読む

SD-WANの仕組み

SD-WANは、アプリケーションを意識したルーティング プロトコルを使用して、アプリケーションの性能を向上させます。ほとんどのSD-WANソリューションは、暗号化されたトンネルの形式で仮想化オーバーレイを作成し、集中管理機能が利用可能な中で最も効率的な方法で、これらのトンネルを介してWAN全体に渡るネットワーク トラフィックをインテリジェントにステアリングします。トラフィックはビジネス ケースやポリシーによって優先順位が付けられ、サービスの品質(QoS)が最適化されます。

ソフトウェア定義のネットワーク(SDN)テクノロジーはSD-WANに不可欠な要素で、オンザフライのネットワーク管理と構成を可能にし、その時々のトラフィックまたは重要なアプリケーションのアップタイムの維持といった特定のユース ケースのニーズに適合します。

SD-WANは、ユーザーとエンティティーがSoftware as a Service (SaaS)およびInfrastructure as a Service (IaaS)プロバイダーに直接接続できるようにするための安全なトンネルを作成し、これまでのWANまたはハイブリッドWANと比較して、追加のインフラのコストを削減し、接続性とユーザー エクスペリエンスを改善させて攻撃対象領域を削減できます。

SD-WANが重要な理由

これまでのWANアーキテクチャーは、組織がより多くのアプリケーションとデータをパブリック クラウドに移行するにつれて不十分になってきています。セキュリティはかつてないほどに重要になっていますが、MPLSVPNなどのプライベート ネットワークを介してリモート ユーザーや支店からのトラフィックを一元化されたインターネット ゲートウェイにバックホールした後で再びバックホールすると、遅滞を招きユーザー エクスペリエンスが低下します。

ハイブリッドWANはこれらの問題の一部を認識でき、これまでのWAN接続の費用と柔軟性不足を解決する手段として魅力的です。しかし、これらは必ずしもSDNテクノロジーを使用しているわけではなく、その場合にはトラフィックを動的にルーティングして最適なパスを提供できません。これだけでも、ハイブリッドWANはSD-WANと比較して明確に劣っています。

ソフトウェア定義のポリシーを利用して最適なパスを決定することで、SD-WANは、ローカル インターネット ブレイクアウトの確立を容易にし、クラウドベースのアプリケーションやその他のクラウド サービスを可能な限りユーザーの近くに持ってくることができます。さらに、SD-WANとクラウド配信のセキュリティを組み合わせることで、組織はポリシーも可能な限り近くに持ってくることができます。この点については、追ってより詳しく説明します。

WANとSD-WANの比較

SD-WANと従来の広域ネットワークは次のような点で異なります。

従来型のWAN

  • 従来型のデータ センター中心のアプローチ

  • 時間のかかる展開と構成

  • 柔軟性に欠け、複雑で扱いにくいうえで高価

  • SWG、ファイアウォールなどとの統合が困難

  • MPLS接続はプライベートなものの安全ではない

SD-WAN

  • 現代のソフトウェア定義のネットワーク アプローチ

  • 高速かつシンプルな展開と構成

  • 柔軟かつシンプルで、管理も容易で費用も手頃

  • SWG、ファイアウォールなどとの統合が容易

  • 仮想トンネル オーバーレイをエンド ツー エンドで暗号化

SD-WANのメリット

SD-WANは、場所を問わず2つの地点の間に最短のブリッジを形成します。これにより、SD-WANが従来のWANに比べてどのような恩恵をもたらすかが容易に理解できます。

  1. コストの削減:ほとんどの組織のWANトラフィックはクラウドの使用の増加とともに大幅に急増しており、特により広い帯域幅の需要に対応するために新しいハードウェアを購入した場合にはコストがかさみます。SD-WANはパブリック インターネットなどの費用対効果の高い選択肢を利用可能にすることで、これらのコストを削減します。
  2. パフォーマンスの改善:インテリジェントなトラフィック ステアリングによって、重要なアプリケーションのトラフィック(VoIPやその他のネットワーク サービスなど)を優先します。また、ダイレクト トンネルを作り、バックホールを排除して遅延を短縮し、生産性とユーザー エクスペリエンスを向上させます。
  3. 簡素化の促進:インテリジェントな自動化を用いた最新のSD-WANソリューションにより、ゼロタッチ プロビジョニング(ZTP)を活用でき、事前にデバイスを構成する必要がなくなります。ZTPでは、WAN内の任意のルーターを自動的にプロビジョニングおよび構成できます。
  4. セキュリティの強化:SD-WANは支店の業務を簡素化し、支店を効率的にインターネットに接続し、ローカル ブレークアウトの確立を容易にしますが、接続の保護という問題は引き続き存在します。クラウド ベースのセキュリティは、完全なSASEフレームワークの一部としてこの問題に対して最適です。
  5. セグメンテーションへのゲートウェイ:SD-WANを使用することで、セグメンテーション ベースのネットワーク モデルやセキュリティ モデルを構築できます。これは、基本的に最小特権の原則に基づくものです。このアプローチはゼロトラスト モデルの前身であり、ユーザーに付与するアクセス権を必要なリソースに対するものに限定して、脅威のラテラル ムーブメントを防ぎます。
Zscaler Zero Trust SD-WAN (576)
見る

SD-WANセキュリティとSASE

セキュア アクセス サービス エッジ(SASE)はネットワーク アーキテクチャーのフレームワークで、特にSWGCASBZTNAFWaaSといったクラウド ネイティブのセキュリティ テクノロジーを広域ネットワーク(WAN)機能と組み合わせ、ユーザーやシステム、エンドポイントがどこからでも安全にアプリケーションとサービスに接続できるようにします。俊敏な運用をサポートするため、これらのテクノロジーはクラウドから配信され、一元的に管理できます。

SASEの中核をなすゼロトラストは、どのユーザーやアプリケーションもデフォルトで信頼すべきではないとする原則です。SASEアーキテクチャーはクラウドにゼロトラスト ポリシーを施行して機密データを安全に保護し、Webベースの脅威から組織を保護します。

 

SASEの図

 

では、SD-WANはこのSASEにどのように適合するのでしょうか。SASEフレームワークの中心的な要素として、SD-WANはセキュア デジタル トランスフォーメーションの取り組みをサポートします。エンド ユーザーのデバイスのトラフィックは、セキュリティ機能を目的としてデータ センターにバックホールされるよりむしろ最寄りのポイント オブ プレゼンスで検査され、そこからその宛先に送信されます。インターネットへの接続が効率化され、アプリやデータへのアクセスも改善されるため、分散した従業員やクラウド上のデータを保護するうえで非常に優れた選択肢と言えます。

次世代SD-WAN

SD-WANの最適化には、現在の俊敏で分散された事業運営において多くのメリットがあります。その一方、クラウドの採用は依然として増加傾向にあり、一部の従来型のSD-WANシステムは規模と帯域幅が不十分なために対応に苦戦を強いられます。これにより、次世代のSD-WANの需要が高まっています。

次世代のSD-WANアーキテクチャーでは、ネットワーク セキュリティなどの支店に向けたサービスは、すべて任意のインターネット接続を介してクラウド プラットフォームから提供される可能性があります。機械学習と自動化を活用することで、WANエッジの帯域幅を増幅し、ユーザー エクスペリエンスを改善させつつ優れたセキュリティを提供できます。

この方法には、次のようなメリットがあります。

  1. パケット中心ではなくアプリケーション中心のセキュリティにより、分散型の環境におけるセキュリティを強化。
  2. 必要とされる介入が最小化され、DevOpsおよびAPI管理のより俊敏なアプローチを実現。
  3. クラウドからのリアルタイムのオーケストレーションと施行を活用。

ZscalerによるSD-WAN

Zscaler Zero Trust SD-WANは、クラウドへの直接接続アーキテクチャーによって、拠点やデータ センターからインターネットやプライベート アプリへの高速かつ信頼性の高いアクセスを提供し、強力なセキュリティと簡素な運用を実現します。ユーザーやIoT/OTデバイスからアプリケーションへの接続を、Zscaler Zero Trust Exchange™プラットフォームを介して行うことで、脅威のラテラル ムーブメントを防止します。

拠点からのトラフィックはすべてZero Trust Exchangeに安全に直接転送されます。ここでポリシーを適用し、拠点やデータ センターからの通信に対して、完全なセキュリティ検査とアイデンティティーベースのアクセス制御を行います。信頼されたアプリケーションのトラフィックは、インターネット ブレイクアウトを使用してインターネット経由で直接送信されます。

SD-WANパートナーシップ

Zscalerは、世界をリードするSD-WANベンダーと連携し、インターネットに直接接続する支店のユーザーに対して、総合的なセキュリティ、可視性、制御、データ保護を提供しています。これと合わせて、Zscalerは支店を対象とした安全なローカル インターネット ブレイクアウトを実現することで、ハブ&スポーク型ネットワークからクラウド アーキテクチャーへの簡単な移行をサポートします。

Zscaler Internet Access™と大手SD-WANサービス プロバイダーを活用することで、以下が可能になります。

  • トラフィックをローカルかつ安全にルーティングするコストと複雑さを軽減
  • 支店業務の簡素化によって効率やユーザー エクスペリエンスを改善
  • ユーザーの接続場所や接続方法を問わず同一の保護を提供
  • ビジネス ニーズに合わせて展開を簡単かつ瞬時にスケーリング

ZscalerはAruba、Cisco、Juniper、VMwareなど、12社を超える大手SD-WANプロバイダーとシームレスに統合しており、場所やデバイスを問わず安全で信頼性の高いアクセスを提供します。

CienaにおけるSD-WANおよびクラウド セキュリティによるネットワーク トランスフォーメーション(581)
見る

ZscalerのゼロトラストSD-WANの詳細はこちら

SD-WANベンダーとの提携に関する詳細は、こちらをご確認ください。

おすすめのリソース

よくある質問

SD-WANとMPLSの比較

MPLSは専用回線である一方、SD-WANは仮想オーバーレイを提供します。SD-WANは、利用ごとのプレミアムを請求することが多いMPLS接続よりも費用対効果が高くなります。SD-WANは柔軟性も高く、さまざまな種類のネットワーク接続を活用できます。

SD-WANとVPNの比較

VPNとは異なり、SD-WANは複数のトランスポート メディアでネットワーク トラフィックを最適化します。従来のWANをクラウド プラットフォームに拡張することにより、SD-WANはVPNよりもよりシームレスで柔軟な接続を提供します。

SD-WANを採用すべき理由

SD-WANは、クラウドの時代に安全なアクセスを提供するより柔軟な方法であり、トラフィックの流れを最適化して遅延を最小限に抑えます。ゼロタッチ プロビジョニングを採用することで、運用コストの削減と展開の大幅な迅速化が実現できます。

SD-WANがセキュリティを向上させる方法

Zscalerは、バックホールすることなくインターネットへの直接接続の安全を確保し、それぞれの場所にハードウェアのセキュリティ スタックを重複して配備することによるコストや複雑さを排除します。ZscalerとSD-WANサービス プロバイダーによってMPLSコストを削減でき、高速かつ安全でアプリケーションを意識したアクセスを実現できます。