SD-WANと、その先にあるセキュリティ対策について 1

SD-WANとは

「SD-WAN」という言葉を聞いたことがあるでしょうか。

SD-WANの製品やサービスはバラエティに富んでおり、しかも動的に変化している。これを踏まえて、あえてSD-WAN製品・サービスを一括りで表現し、「定義」に近いものとして提示するとすれば、「企業WANの『仮想化』『抽象化』により、通信サービスの個別利用や、特定通信関連技術の利用に関わる制約から解放し、ビジネス視点で柔軟に運用する手助けを目指す製品・サービス」ということになる。
参考:http://www.atmarkit.co.jp/ait/articles/1608/03/news043.html

SD-WANというのは、WANを対象としたSDN、あるいはSDNの中でWANに関連する部分ということができます。WANというのはワイドエリア・ネットワークの略で、遠隔地のLANを相互接続したものです。企業の本社と支社にそれぞれLANがあり、それを通信回線でつないで一体化したようなものが典型的なWANと言えます。また、SDNは「ソフトウェアで定義されたネットワーク」という意味で、オフィス内の小規模LANから通信回線で結ばれた巨大ネットワーク、クラウドサービス、SNSのように膨大な人がアクセスするサービスまで、多種多様なサービスが複雑に絡まって存在しています。言い換えると、国内・海外ネットワークや複数にまたがるプライベートネットワークを集中管理することすることです。
シングテルのグローバルSD-WANサービスを利用することで、企業は複数にまたがる国内・海外ネットワークをグローバルなオーバーレイネットワークを形成し、1つのグローバルWANとしてシングテルが提供するSDNコントローラで集中管理することができます。
シングテルのグローバルSD-WANサービスは、グローバルICT専門スタッフによって提供されており、安心してご利用いただけます。メリットやサービス内容などについては、こちらからご確認ください。

SD-WANの特徴

SD-WANが革新的な技術と言われる理由として、独自のコントローラーを用いることで、ソフトウェア上の様々な設定を行うことができ、国内外の拠点を問わず様々な形態のネットワーク環境や端末の設定を一元管理することが可能になるという点があります。従来のネットワーク環境では、企業ネットワーク設定をするのが大前提でした。そのため、ネットワーク上でのセキュリティが担保されないインターネットやセキュリティが担保された専用回線等を利用し、拠点間での通信を行う必要がありました。また、拠点間通信を行うため、即時対応や柔軟な対応、適切なネットワーク選択などが発生し、結果的に従来のWANを利用した元では、企業規模が拡大するほど企業全体の通信環境を管理する担当者に多大な負荷をかけることになり、想像以上のリソースとコストがかかっていました。しかし、SD-WANをもってすれば、運用の負荷軽減はもちろん、グローバル企業に必須な事業場の拠点間接続をより柔軟に構築・変更・運用することができるようになるのです。

SD-WANには様々な技術的要件があるとされています。これは、Open Networking User Group(ONUG)というユーザーコミュニティで議論されており、SD-WANは注目のキーワードです。

SD-WAN製品で、最も注目されてきたのは「ハイブリッドWAN」機能だ。これによって、専用線をはじめとするプライベートWANサービスの利用料金を、積極的に減らせる可能性が生まれる。

これまでの「WAN最適化」製品では、専用線などの高価な通信サービスを通るトラフィックのデータ圧縮、キャッシング、送信処理効率化などを通じて、アプリケーション単位のQoS確保や帯域幅の有効利用を図っていた。SD-WANでは、アプローチを変えて、「企業向けIP接続サービスなどのパブリックWANサービスに、相対的な重要度の低いアプリケーションのトラフィックを積極的に逃がす」手段を提供している。

具体的には、企業の各拠点に専用のネットワーク機器(あるいは仮想マシン)を置き、遠隔拠点と本社(あるいは企業データセンター)間の通信を、アプリケーションに応じて振り分ける機能を提供(振り分けの粒度などについては、製品間で違いがある)。これによって、例えば重要な社内業務アプリケーションへのアクセスはプライベートWANサービスを通すが、各拠点から社内ファイルサーバやクラウドサービスへのアクセスは、パブリックWANサービスを通すといったことができる。この仕組みを導入することにより、ユーザー組織は自社におけるプライベートWANサービスの利用状況を確認しながら、契約帯域幅を絞ることができる。
参考:http://www.atmarkit.co.jp/ait/articles/1608/03/news043.html

SD-WAN対応を挙げているベンダーは既に20を超えています。これらベンダーは様々な要件を意識しながら、各社独自のコンセプトにより、製品開発を行っています。ただ、各社の機能の差もすぐに埋まってしまい、カタログ上では大きな違いを確認することは難しくなっています。

SD-WANには主に3つの基本コンポーネントが連携し、動作しています。

オーケストレータ(コントローラ):SD—WANを一元的に制御/管理するシステム。クラウドやオンプレミスでの展開が可能
ダッシュボード:SD-WANの稼動状態や通信状況を一元的に可視化するポータルサイト
エッジ:ユーザ宅やクラウド上に展開される通信の拠点で・それぞれのエッジはセキュアトンネル(IPSecなど)で相互に接続

 

また、各機能の役割については次のようになっています。

①ハイブリッドWAN
複数の通信パスのパケットロス、揺らぎ、遅延などを監視し、リアルタイムに品質の良いパスを選択していくことで通信品質の安定化を実現します。

②仮想的なエッジの展開
パブリッククラウド等で提供されている仮想サーバのインスタンス提供サービスの上に論理的なエッジを構築できます。これによりユーザ宅内とクラウドとの接続性、親和性を向上させ、パブリッククラウドサービスの利用を加速することができます。

③トラフィック制御
エッジ上にDPI(Deep Packet Inspection)エンジンを搭載し、アプリケーションなどの通信の状態をモニタした上で、通信先を柔軟に変更したり、QoS機能を動作させるなど通信をより細かく分類して、快適な通信環境を実現することができます。
また、制御のためにモニタをしているので、ダッシュボード上で通信状況を可視化し、ユーザ自身で分析、カスタマイズを行ったり、非常時の緊急避難的に特定の通信を制御したりすることも可能です。

④NFV
SD-WANの特徴的な機能の一つです。シングテルも、ネットワーク機能を利用したグローバルなNFVサービスを提供しています。
これまでオンプレに導入していた機能をサービス提供者が仮想アプライアンスとしてプライベートクラウド上などに用意し、ユーザは必要な時に必要なモノだけ利用できるようにすることで、コスト最適化と対応の迅速化、また常に最新の状態を維持することによるセキュリティ強化にも貢献します。また、複数の機能を同時に利用することも可能です(サービスチェイニング機能により実現します)。
シングテルの場合、企業の海外拠点の複雑な機器設定や導入、保守管理の負荷を軽減することが可能になり、初期投資コストを抑えることができます。詳しいサービス内容については、こちらからご確認ください。

なおNFVの実現方法は一般的には分散配備型と集約配備型そしてハイブリッド型の3つの方式があります。
これらの違いは、
1) 分散配備型は拠点に配備されたエッジ上にNFVを配備するもので
2) 集約型はキャリア網内にNFVを配備するものです。
3) ハイブリッド型は、1) 2)の組み合わせです。

⑤ダッシュボード
従来の方法ではそれぞれの機器毎にCLIなどで確認しなければならなかった情報を一元的に管理することが可能になり、運用稼働の省力化が可能です。また、これまで様々なツールを導入してトラフィック傾向を解析、制御していたユーザもSD-WANを利用することで、簡単かつ追加のコストを掛けずに企業ネットワークの通信状態を詳細に把握でき、管理を強化できます。

⑥ノースバンドAPI
ノースバンドAPIはSD-WAN(を含むSDx環境下)において非常に重要なAPIです。
SD-WANアーキテクチャでは、オーケストレータと、ネットワーク上で実行されるアプリケーションやサービスとの連携に、ノースバウンドAPIを使用します。このAPIは、SD-WANの効率的なオーケストレーションと自動化を可能にし、様々な外部システムやアプリケーションの要求に応えることができます。

⑦ゼロタッチプロビジョニング(ZTP)
各ベンダが様々な手法で開通時の現地作業を軽減する方式を実現していますが、代表的な方法は、DHCPによりIPアドレスを取得後、インターネット上のオーケストレータに自動的にアクセスし、設定ファイルを取得後、正規のVPNネットワークに参加するものです。一連の動作は、基本的に現地の人手が掛からないように設計されています。ただ、全てのアクセス環境でZTPが実現できるわけではなく、利用形態によっては現地での作業が必要な場合もあります。

今回はシングテルもサービス提供している革新的技術であるSD-WANについて説明をしました。次回はこのSD-WANによって、どのようなセキュリティ対策へとつながっていくのかについて書いていきたいと思います。シングテルのグローバルSD-WANサービスグローバルNFVサービスは、グローバルなセキュリティに対応しています。ぜひ、ご検討ください。