セキュア SD-WAN の威力:ネットワークとセキュリティの統合によるメリットを生かす
2023年3月23日、Stefan Schachinger
バラクーダがネットワークセキュリティの状況について調査した結果、過半数の企業がソフトウェア定義型広域ネットワーク(SD-WAN)を導入しているか、導入する予定であることが判明しました。このタイプのネットワークは、分散したネットワークに伴うパフォーマンス、セキュリティ、その他の課題に対するソリューションとして人気があります。SD-WAN のごく基本的な定義は、「広域ネットワークの管理を簡素化するソフトウェアベースのネットワークへのアプローチ」です。
SD-WANの基礎知識
SD-WAN の当初の目的は、支店を本社やデータセンターのサーバーリソースに安価に接続することでした。SD-WAN によって、企業は高価でしばしば低速な MPLS 接続をシンプルなインターネット接続に置き換え、なおかつ企業が専用線を使っていたときよりも高いレベルのセキュリティと信頼性を達成することができました。
- サイト間 VPN 接続の暗号化により、費用対効果が高く、セキュリティの高いインターネット接続が可能になりました。この機能ではセキュリティのために高価な専用線を使用する必要はありません。もっとも、リモートデスクトップの接続やその他のアプリケーションで、遅延を可能な限り低く抑えることが要求される場面では高価な専用線が引き続き必要でしょう。
- 冗長性は、複数のプロバイダーを設定し、携帯電話ネットワークのようなフォールバック機構と組み合わせることで実現できました。複数の公衆インターネット接続のほうがしばしば、専用回線よりも安価な場合が多かったのです。
- クオリティオブサービス(QoS, Quality of Service)を備えたアプリケーションベースのルーティングにより、管理者はネットワーク帯域幅を最大限に活用できました。適切な設定により、SD-WANは最も重要なネットワークトラフィックに必要な帯域幅を確保することができます。
初期の SD-WAN の構成は、ほとんどの企業にとってもはや十分ではありません。ここ数年の要件の変化により、ソフトウェアベースのネットワークを一から見直す必要があります。支店のロケーション接続はまだ有効なユースケースですが、ロケーション間の VPN トラフィックは大幅に削減されました。Slack、Microsoft 365、Salesforce といったソフトウェア・アズ・ア・サービス(SaaS)アプリケーションは、ほとんどの社内コミュニケーションをパブリッククラウドに移行させました。多くの企業が、会社のほかの拠点より、外部リソースへのアクセスを優先しています。
この外部アプリケーションへのシフトは、セキュリティ意識の転換を必要としました。従来型の SD-WAN は、サイト間の VPN 接続を保護しますが、ほかのセキュリティ機能が欠けていることが多いのです。ここでの解決策は、セキュア SD-WAN と呼ばれる新しいモデルです。複数のユースケースを組み合わせたソリューションで、直感的な操作と使いやすさを重視した統合管理のメリットは圧倒的です。従来の分離型ソリューションは、まもなく消えるでしょう。
SASE とセキュア SD-WAN
セキュア SD-WANは、ガートナーが2019年に定義したクラウドネイティブなセキュア・アクセス・サービス・エッジ(SASE)アーキテクチャに含まれます。SASE(発音は「サシー」)は、ソフトウェアベースのネットワーキングとネットワークセキュリティサービスを組み合わせ、企業のリソースへの動的なセキュアアクセスを提供します。セキュリティ機能を追加することで、セキュア SD-WAN を実現しています。
SaaS アプリケーションやリモートワークの導入に伴い、企業は分散したリソースへの安全なアクセスをサポートできる俊敏なネットワークを必要としています。ユーザーやデバイスは、主にクラウド上にあるリソースにどこからでも接続できると同時に、オンプレミスでもアクセスできる必要があります。このようなハイブリッド化に対応するのに、サイト間接続に特化して設計されたネットワーキング・ソリューションではもはや十分ではありません。SaaS アプリケーションやその他のクラウドワークロードは、企業ネットワークに安全に接続する必要があります。セキュア SD-WANはこのニーズに応え、さまざまなパブリッククラウドに拡張できます。
ファイアウォール・アズ・ア・サービスとゼロトラスト・ネットワークアクセス
SASE のアーキテクチャコンセプトのセキュリティコンポーネントには、ファイアウォール・アズ・ア・サービス(FWaaS)とゼロトラスト・ネットワークアクセス(ZTNA)があります。それぞれは、他のソリューションと連携することも、独立することも可能です。
FWaaS はその名の通り、サービスとしてクラウド上で動作するネットワークファイアウォールです。ネットワークのほかの部分とシームレスに統合できることが、このソリューションの主な利点の1つです。
FWaaS 単独の導入でも必要なセキュリティは確保できますが、SD-WAN と組み合わせることで、大きなメリットが得られます。クラウドとオンプレミスのソリューションコンポーネントを組み合わせることで、独自のセールスポイントを持つ、強力で管理しやすい導入バリエーションが生まれます。このようにして、会社のすべての拠点は、たとえ一般に公開されていない場所であっても、安全にクラウドに接続されます。それが拠点からの直接接続なのか、中央のハブにバックホールされるトラフィックなのかは、ユースケースによります。
安全なネットワークは、ファイアウォールや安全なサイト間接続だけにとどまりません。多くのネットワークユーザーはリモートで仕事をし、時には公衆無線やその他の安全でないネットワークを使っています。完全なセキュリティソリューションとは、インターネット接続があればどこからでも、クラウドまたはオンプレミスのプライベートリソースに安全にユーザーアクセスできることなのです。こうした安全なアクセスをユーザーに提供するには、ZTNA が最適です。
ZTNA は、ユーザーとデバイスのためのアクセスコントロールソリューションです。ゼロトラスト認証は、「決して信用せず、常に検証する」という原則のもとに成り立っています。VPN 接続とは異なり、ゼロトラスト接続では、ユーザーがネットワーク上で何かを要求するたびに、ユーザーとデバイスの認証を繰り返し行います。VPN が信頼を確立するためにクレデンシャルセットに依存するのに対し、ゼロトラストは管理者が設定したクレデンシャル、デバイス、時間、およびその他のパラメータに依存します。ゼロトラストはまた、「最小特権の原則」を確立し、実施します。
SD-WANとともに、これは最新の SASE アプローチに不可欠な要素であり、理想的には、目的のリソースへの最適な経路を自動検出することで完全に統合的に機能します。しかし、セキュア SD-WAN とユーザーのリモートアクセスを組み合わせることで、セキュリティ機能をエンドポイントまで拡張できるという利点もあります。同時に、デバイス上でセキュリティを実装し、さらに SD-WAN デバイスやクラウド上で疑わしい、あるいは危険なネットワークトラフィックを検査することで、セキュリティレベルを大幅に向上させることができます。
オンプレミスのセキュア SD-WAN
展開に有効なユースケースも存在します。クラウドトラフィックのコスト要因も考慮する必要があります。SD-WAN の場合、根本的な考え方は、MPLS を置き換えることによるコスト削減でした。SaaS アプリケーションとオンプレミスのアプリケーションサーバーの両方を使用している企業は、すべてのトラフィックをクラウド経由でルーティングする必要のない場合があります。このようなハイブリッドネットワークでは、SD-WAN で利用できるインテントベースのルーティングが有効です。最適なソリューションは、クラウドリソースを安全に接続するだけでなく、トラフィックに基づいて最適かつ最短の経路をインテリジェントに決定します。
組み合わせで差がつく
ミックスアンドマッチのソリューションの本当の利点は、組織の既存の展開における要件を満たす柔軟性にあります。業界のトレンドは、特定の製品がより大きなプラットフォーム・ソリューションの機能へと変化していることを明確に示しています。
バラクーダは、ファイアウォール・アズ・ア・サービスとゼロトラストアクセスを完全に統合できる包括的なセキュア SD-WAN ソリューションを提供しています。バラクーダの専門家は、顧客の質問に答え、ソリューションのデモを案内し、顧客の環境に無料トライアルを導入するお手伝いをします。まずは当社のウェブサイトをご覧ください。
原文はこちら
The power of Secure SD-WAN: Harnessing the benefits of integrated networking and security
Mar. 23, 2023 Stefan Schachinger
https://blog.barracuda.com/2023/03/23/the-power-of-secure-sd-wan–harnessing-the-benefits-of-integrate/
No comments yet.