SD-WAN - ソフトウェア定義型WANとは?

SD-WANのユースケース

SD-WANテクノロジーは、通常、トランスポートに依存しない仮想オーバーレイを作成します。 これは、インターネットブロードバンド、ファイバー、ロングタームエボリューション(LTE)、ワイヤレス、マルチプロトコルラベルスイッチング(MPLS)など、基盤となるパブリックまたはプライベートWAN接続を抽象化することによって実現されます。 SD-WAN オーバーレイは、組織が独自の既存の WAN リンクを引き続き使用するのに役立ちます。 SD-WANテクノロジーは、ネットワークの制御を一元化し、コストを削減し、既存のリンク上でリアルタイムのアプリケーショントラフィック管理を提供します。

最も一般的なSD-WANのユースケースは、次のカテゴリに分類されます。

• 地理的な拡大:企業が新しい地理的地域に進出したり、合併や買収を実行したりする場合、SD-WANを活用して、1つの統一されたポリシーと制御インターフェイスを使用して、新しい場所で既存のネットワークサービスを使用できます。
• WAN容量をより有効に活用:パブリック・ネットワーク・サービスとプライベート・ネットワーク・サービスを組み合わせたデュアル接続戦略を使用します。 SD-WANは、パブリックインターネットサービスを使用して一部のプライベートネットワークトラフィックをオフロードし、ビジネスクリティカルなアプリケーションや低遅延を必要とするアプリケーションのためにプライベートネットワーク容量を予約できます。
• WANの耐障害性の向上:同じサイトへの複数のネットワーク接続を持ち、アクティブ/アクティブ構成で動作するハイブリッド・ネットワーク環境を構築します。 通常の状況では、トラフィックはサービス間で分散できますが、1 つの接続が失われた場合、トラフィックは別のサービスにフェールオーバーできます。
• クラウド移行 - さまざまなアプリケーションをクラウドに移行することで、デジタルトランスフォーメーションを実現します。 SD-WANはアプリケーションベースのルーティングをサポートしているため、各アプリケーションは、クラウドに展開されているかオンプレミスに展開されているかにかかわらず、ニーズに最適なワイドエリアサービスを使用できます。

SD-WANのアーキテクチャとコンポーネント

SD-WAN は、次の 2 つの部分で構成される抽象化されたネットワーク アーキテクチャを使用します。

• コントロールプレーン:中央の場所から操作されるため、ITスタッフはオンプレミスにいなくてもWANリソースをリモートで管理できます。
• フォワーディング プレーン:トラフィック フローを管理し、コントロール プレーンによって設定されたポリシーに従ってネットワーク リソースを動的に設定します

SD-WANアーキテクチャは、次のコンポーネントで構成されています。

• エッジ:クラウド、オンプレミスのデータセンター、またはブランチオフィスに展開されたネットワーク機器で構成されます。
• コントローラ:一元管理を提供し、オペレータがネットワークを視覚化および監視し、ポリシーを設定できるようにします。
• オーケストレータ:トラフィックを監視し、コントローラによって定義されたポリシーとプロトコルを適用する仮想化ネットワーク管理コンポーネント。

SD-WANの概念

SD-WANの実装では、次のような幅広いテクノロジーが活用されます。

コントローラ

SD-WAN デプロイメントを管理する一元化されたコントローラー。 コントローラは、セキュリティとルーティングのポリシーを適用し、仮想オーバーレイ、ソフトウェアアップデートを監視し、レポートとアラートを提供します。

ソフトウェア・デファインド・ネットワーキング(SDN)

仮想オーバーレイ、集中型コントローラ、リンク抽象化など、アーキテクチャの主要コンポーネントを有効にします。

広域ネットワーク (WAN)

地理的に離れた施設または複数のLANを、無線または有線接続を使用して接続する責任があります。

仮想ネットワーク機能 (VNF)

ファーストパーティまたはサードパーティのネットワーク機能 (キャッシュ タスクやファイアウォールなど)。 VNF は通常、物理アプライアンスの量を減らす目的、または柔軟性と相互運用性を向上させる目的で使用されます。

コモディティ帯域幅

SD-WANテクノロジーは、複数の帯域幅接続を活用し、トラフィックを特定のリンクに割り当てることができます。 これにより、従来のコストのかかるMPLS回線から低コストのコモディティ帯域幅接続にトラフィックを移行することで、ユーザーはより多くの制御が可能になり、コスト削減が可能になります。

ラストワンマイル技術

SD-WANテクノロジーは、複数のトランスポートリンクを使用するか、複数のリンクを同時に使用することで、既存のラストマイル接続を改善できます。

SD-WANのベストプラクティス

パブリックインターネットを選択的に使用する

SD-WANは、すべてのミドルマイル伝送にパブリックインターネット接続を使用できるため、これは非常に費用対効果が高いですが、お勧めできません。 トラフィックがどのリンクを通過するかを知る方法がないため、セキュリティとパフォーマンスの懸念が生じます。

可能な限り、特に機密性の高い通信やミッションクリティカルな通信の場合は、プライベートネットワーク経由でSD-WANトラフィックを送信することをお勧めします。 一部のSD-WANプロバイダーでは、独自の安全なグローバルネットワークを使用できます。 パブリック インターネット容量は、重要で機密性の低いワークロード、またはプライベート ネットワークがダウンしたときのフェールオーバー シナリオ用に予約します。

デプロイメントプロセスを関係者に伝える

SD-WANプロジェクトに着手するときは、デプロイメントプロセスについて関係者を教育し、SD-WANが既存のネットワークインフラストラクチャへの追加であることを説明します。 経営幹部は、SD-WANを従来のネットワークテクノロジーの単なるドロップイン代替品と見なすべきではありません。

既存のテクノロジーを維持し、新しいSD-WANへの投資と統合する必要があることを明確にします。 技術的な背景とデプロイメント方法をよりよく理解することで、より良いリーダーシップのサポートが得られます。

SD-WAN サービスのテスト

SD-WANソリューションは、自動化とゼロタッチデプロイメントを提供する場合がありますが、期待どおりに機能することを確認する必要があります。 テストは見落とされがちですが、SD-WANプロジェクトの重要な部分です。 実装前、実装中、実装後に広範囲にテストしてください。 一般的なSD-WANプロジェクトでは、 サービス品質(QoS)、スケーラビリティ、可用性とフェイルオーバー、管理ツールの信頼性に重点を置いた3〜6か月のテストが行われます。

SD-WANセキュリティとSASE

SD-WANモデルは、分散型ネットワークファブリックを使用して動作しますが、通常、クラウド内のエンタープライズネットワークを保護するために必要なセキュリティとアクセス制御は含まれていません。

この問題に対処するために、Gartner はセキュア アクセス サービス エッジ (SASE) と呼ばれる新しいネットワーク セキュリティ モデルを提案しました。 SASEは、WAN機能と次のようなセキュリティ機能を組み合わせたものです。

• サービスとしてのファイアウォール（FWaaS）
• セキュアWebゲートウェイ（SWG）
• Cloud access security broker (CASB)
• ゼロトラストネットワークアクセス（ZTNA）

クラウド環境向けに構築されたこれらのセキュリティ機能を組み合わせることで、SD-WANネットワークの安全性を確保することができます。

SASEソリューションは、モバイルユーザーやブランチオフィスに安全な接続性と一貫したセキュリティを提供します。 ネットワーク全体を一元的に把握できるため、管理者やセキュリティチームは、グローバルに分散したSD-WAN全体でユーザー、デバイス、エンドポイントを識別し、アクセスポリシーとセキュリティポリシーを適用し、複数の地理的な場所や複数のクラウドプロバイダーにわたって一貫したセキュリティ機能を提供することができます。

SD-WAN with チェック・ポイント

SD-WANを導入する前は、リモートオフィス接続は企業のデータセンターにバックホールされ、企業のネットワークセキュリティスタックを使用して保護されていました。 SD-WANの出現により、インターネットに直接接続されたクラウドやインターネット接続により、WANユーザーは高度な攻撃にさらされています。

ファイアウォール・アズ・ア ・サービスおよびセキュア・アクセス・サービス・エッジ(SASE)ソリューションは、クラウドアプリケーションやインターネットへのSD-WAN接続を保護します。 チェック・ポイントのSASEソリューションの詳細と、SASEソリューションが組織のWANセキュリティをどのように向上させるかについては、 お問い合わせください。 また、チェック・ポイントのSASEソリューションを実際にご覧いただくための デモをご依頼 いただくこともできます。