SD-WANと、その先にあるセキュリティ対策について 2

前回の続きです。今回は、SD-WANにより、これからのセキュリティ対策がどのような展望を見せていくのかを書いていきたいと思います。

従来のセキュリティとの比較

インターネットVPNを構築済みであっても、拠点からのローカルブレイクアウト(Office 365とHTTPS通信)を許している企業は多くはありません。そこには、これまでインターネットにアクセスする境界をセキュリティ対策により固く守っていくことが重要であるというセキュリティに対する考えがあったからです。また、インターネットとの境界を中央集権型のデータセンターに設置されたセキュリティゲートウェイで守っていました。

SD-WANはこういった従来のセキュリティポリシーとは全く異なります。最近ではインターネット上のセキュリティサービスとの連携が目立ってきていますが、そこにはSD-WAN製品があまりセキュリティを重視した設計にはなっておらず、SD-WAN機器単独でセキュリティを強化していくには限界があるという事情があります。

今後は、SD-WANの導入には分散したユーザーを分散したワークロードに安全につなぐという思想を持ったクラウド系セキュリティサービスの導入が必須となっていく可能性があるといいます。

参考:導入事例から見たSD-WANの利用メリットとセキュリティの課題

SD-WAN導入に関するセキュリティ事例

シングテルでは、前回のブログで少し紹介したViptela(Cisco SD-WAN)の先進SD-WANテクノロジーを採用したSD-WANソリューションに加え、米Zscalerのクラウドセキュリティプラットフォームを組み合わせた統合ソリューションを提供しています。

Zscalerのサービスは、インターネット上に配置した「ZEN(Zscaler Enforcement Node)」と呼ばれる仮想的な統合脅威管理(UTM)機能によって通過するトラフィックのセキュリティチェックを行うものです。この統合ソリューションでは、シングテル(Viptera)の運用管理画面にZscaler関連の機能が組み込まれ、ユーザーは詳細な設定をすることなく任意のトラフィックに対してZENを経由するよう指定できます。

参考:Zscaler™ and Viptela SD-WAN(英語)

ここでの統合の成果として、SD-WANの「ゼロタッチ」というコンセプトに沿って詳細設定が不要という点がメリットになるとのことです。シングテル(Viptera)の運用管理画面を経由することでZscalerのサービスを利用する場合は、利用可能なUTMに対してほぼ全自動で接続設定が行われ、アプリケーションごとにZENを経由するかしないか、あるいは専用線接続を利用するかインターネット経由かなど、任意の経路を指定できます。

これはSD-WANとしての機能ですが、GUIに「Zscaler」が項目として用意されることでZENを経由するかどうかをマウスオペレーションで簡単に指定できます。さらに、シングテル側でトラフィックの遅延情報を把握し、複数のZENが利用可能な場合に最も遅延の少ないZENを自動的に選択して接続する機能も実装されています。

参考:Zscaler and SD-WAN(英語)

また、シングテルでは、前述のViptera(Cisco SD-WAN)とZschalerベースのSD-WANに加え、NFVにウェイトを置いたソリューションとして、米Versa NetworksのクラウドIPプラットフォームを組み合わせたSD-WAN/NFVサービス、『マネージド・ソフトウェア・ディファインド・ブランチ (SD Branch) ソリューション』を提供しています。
参考:Singtel taps Versa for software-defined branch service (英語)

VersaのSD-WAN/NFVソリューションを採用することにより、UTMで提供されるセキュリティ機能のほとんどが提供され、エッジで有効化させることができます。これによって、各サイトに独自のセキュリティ設定を行なうことができ、またハブを経由させる必要が無いため、遅延を削減することができます。また、マルチテナントを実現しているので、サービスプロバイダーも柔軟にサービスを設計することができます。

参考: Versa’s Managed SD-WAN (英語)

シングテルのマネージドSD Branchは、柔軟性に欠けるハードウェア中心のインフラストラクチャを、柔軟かつスケーラブルで管理しやすいソフトウェア・ディファインドの機能に変換することができる仮想化ネットワークを提供します。ルーティング、次世代ファイアウォール、URLフィルタリング、ウイルス対策および侵入防止システムなどの複数のネットワーク機能を、お客様宅内の単一のシングテルNFVデバイスに統合することで、各機器やサービスのインストール、設定、テスト、および保守に必要な、複数の運用コストを削減できます。

また、シングテルのマネージドSD Branchソリューションは、ネットワークセキュリティに対する保護、予防、予測といった包括的な3段階アプローチで、セキュアに設計されたネットワークソリューションです。シングテルの子会社であるTrustwaveのマネージドセキュリティサービスや、業界をリードするセキュリティパートナーのエコシステムによる包括的なセキュリティソリューションのポートフォリオをご用意していますので、安心かつ万全なセキュリティ対策が可能となります。
このように活躍が期待され、実用化の動きが進んでいる革新的技術「SD-WAN」は、クラウドサービスの普及とグローバリゼーションによる多拠点化などにより、ますます重要性が高まっていくと予測されています。