SD-Branchとは何か、そしてそれはSASEとどのように比較されるのか？

ソフトウェア定義ブランチ（SD-Branch）は、各リモートサイトにデプロイされたアプライアンスを持つSD-WANの拡張です。クラウドで管理を集中化する一方で、現地のハードウェアの必要性はコスト、複雑さ、管理のオーバーヘッドを追加します。

セキュアアクセスサービスエッジ（SASE）は、クラウドネイティブなSD-Branchの代替手段であり、クラウドベースのPoPのネットワーク内でセキュリティとネットワーク管理機能を実装します。ハードウェアがないため、非常にスケーラブルであり、管理のオーバーヘッドを削減し、多くの組織がSD-Branchの代替として採用しています。

SD-Branchの理解

SD-Branchは、企業のSD-WAN展開をリモートサイトに拡張し、現地に設置されたLAN/WLAN管理ハードウェアを介して行います。当初、これはレガシールーターとは異なり、LAN/WLAN管理を集中化するため魅力的でした。しかし、このアプローチはアプライアンスの散在、追加の管理オーバーヘッドを引き起こし、スケーラビリティが制限されます。

SD-Branchの動作

SD-Branchを使用すると、企業ネットワークの各支店にはSD-WAN、ファイアウォール、LAN、WiFi用の独自のアプライアンスがあります。企業のポリシーは中央で管理されますが、施行は各支店にローカルです。その結果、各支店は独自のハードウェアを維持する必要があり、管理の複雑さが増します。

強みと制限

SD-Branchは、単一のアプライアンスに多くの重要な機能を統合し、LAN/WLANをサポートしていたため、過去に人気がありました。中央集権的な管理はオーバーヘッドを減少させ、限られたサイトに対してうまく機能します。

しかし、SD-Branchの展開はハードウェアに依存しているため、スケーラビリティが制限され、定期的なハードウェアの更新が必要です。さらに、個別のアプライアンスへの依存はセキュリティのギャップを引き起こす可能性があり、ITインフラストラクチャがクラウド志向の組織に最適化されていないことを意味します。

SASEとは何か

SASEは、クラウドネイティブなアーキテクチャでセキュリティサービスエッジ（SSE）のネットワーキングとセキュリティ機能を統合します。分散したPoPのグローバルネットワークが、支店のハードウェアを必要とせずにネットワークエッジでこれらの機能を実装し、中央集権的なポリシー管理が管理のオーバーヘッドを削減します。

SASEの主要コンポーネント

SASEは、複数のネットワークおよびセキュリティ機能を統合したソリューションとして定義されます。主要なコンポーネントには以下が含まれます：

• ソフトウェア定義WAN（SD-WAN）企業WAN全体のSD-WAN PoP間で、インテリジェントで最適化されたトラフィックルーティングを提供します。
• セキュアWebゲートウェイ（SWG）ウェブトラフィックを監視し、ウェブベースの脅威、悪意のあるコンテンツ、およびポリシー違反から保護します。
• クラウドアクセスセキュリティブローカー（CASB）クラウドサービスとユーザーの間の仲介者として機能し、ポリシーの施行、可視性、および脅威の防止を行います。
• Firewall-as-a-Service（FWaaS）クラウドベースのサービスを通じて次世代ファイアウォール（NGFW）の機能を提供します。
• ゼロトラストネットワークアクセス（ZTNA）企業アプリケーションおよびリソースへのアクセスに対して、ゼロトラストアクセス制御と継続的な検証を施行します。
• データ損失防止（DLP）組織のネットワーク外への機密データの拡散を特定し、防止します。

クラウドネイティブアーキテクチャとスケーラビリティ

SASE PoPは、トラフィックルーティングとセキュリティ施行をネットワークエッジに移動させます。ユーザーのトラフィックは、最も便利なPoPに送信され、そこで検査され、目的地に送られます。

この設計により、SASEはSD-Branchよりもはるかにスケーラブルになり、新しいクラウドネイティブPoPを瞬時に追加できる一方で、新しいSD-Branchサイトはアプライアンスのインストールと設定が必要です。さらに、分散型クラウドエッジは、企業サイトにのみ展開されるSD-Branchアプライアンスよりも高いレジリエンシーと低いレイテンシーを提供します。

SD-Branch対SASE：並列比較

SD-Branchはリモートブランチを接続するためのハードウェア中心のアプローチですが、SASEはブランチおよびリモートユーザーのためにクラウド中心の接続性とセキュリティを提供します。多くの組織が、スケーラビリティ、TCO、管理オーバーヘッド、および統合されたセキュリティ機能などの考慮事項からSD-BranchからSASEに移行しています。

機能比較：SD-Branch対SASE

機能	SD-Branch	非クラウドネイティブ
ハードウェア展開	各支店の場所に物理的な機器が必要です（ルーター、ファイアウォール、Wi-Fiコントローラー）	支店の機器は不要で、完全にグローバルクラウドサービスとして提供されます
スケーラビリティ	スケーリングは、新しいハードウェアの出荷、設置、維持を意味します	瞬時にスケーラブルであり、新しい機器を展開することなくユーザー、サイト、またはクラウドを追加できます
セキュリティ範囲	制限されたセキュリティスタックであり、FW、IPS、またはSWGのために別の機器に依存することがよくあります	完全なセキュリティスイートが含まれています：SWG、CASB、FWaaS、ZTNA、DLPが1つのプラットフォームに統合されています
管理の複雑さ	複数のデバイスとベンダーがあり、支店ごとにポリシーの施行があります	単一の管理コンソールで、すべてのエッジにわたって中央集権的なポリシーの施行が行われます
クラウドの準備状況	データセンターのバックホールに最適化されており、クラウドおよびSaaSトラフィックには適していません	グローバルに分散されたPoPを使用して、直接クラウドトラフィックのために設計されています
レイテンシ	機器のルーティングに依存しており、トラフィックはしばしばバックホールされます	トラフィックは最寄りのPoPで処理され、SaaSおよびクラウドアプリのレイテンシを減少させます
メンテナンスの負担	各支店での機器の更新、パッチ適用、更新が必要です	ハードウェアのライフサイクルはなく、更新はクラウドでシームレスに提供されます
総所有コスト	機器のための高いCapEx + 管理のためのOpEx	ハードウェアの排除と運用の簡素化により、TCOが低下します。
グローバルバックボーン	該当なし; 公共のインターネットに依存しています。	Cato専用：85以上のPoPを持つプライベートグローバルバックボーンは、予測可能なパフォーマンスを保証します。

SASEがSD-Branchの制限に対処する方法

SD-Branchは、ほとんどのユーザーとデバイスが本社またはリモートサイトにあるネットワーク向けに設計されました。その結果、ハードウェアの散在、限られたスケーラビリティ、クラウドサポートの欠如など、重大な制限があります。

SASEは、現代のクラウド志向のビジネスのニーズに応えるために作られました。そのクラウドネイティブなPoPと集中管理により、従来のSD-WANの制限が排除されます。

ハードウェア依存の排除

SD-WANは、すべてのリモートサイトにSD-WAN、ファイアウォールなどをサポートするためのアプライアンスを展開することを要求します。これにより、展開が遅くなり、CapExが増加し、継続的な管理が必要になります。

一方、SASEはクラウドネイティブなアプローチであり、物理的なアプライアンスの必要性を排除します。これにより、新しいPoPを瞬時に安価に展開でき、支店を数週間ではなく数分でオンボードできます。

実現できます

従来、SD-Branchはネットワーク接続に焦点を当て、スタンドアロンのファイアウォール、SWG、CASB、その他のセキュリティソリューションを必要とします。これにより、アプライアンスの散在が進み、可視性とセキュリティのギャップが生じます。

対照的に、SASEはSD-WAN、SWG、CASB、FWaaS、ZTNAを1つのプラットフォームに統合します。単一のポリシーエンジンと集中管理により、SASEは運用効率を向上させ、管理のオーバーヘッドを減少させます。

クラウドおよびハイブリッドワークフォースのためのスケーラビリティ

SD-Branchは物理的なサイトを中心に構築され、各支店の場所にアプライアンスを展開します。これにより、リモートワークフォースやクラウドベースのソリューションをサポートするのに適していません。

SASEはクラウドネイティブであり、追加の仮想PoPを立ち上げることでスケールや拡張が可能です。これにより、リモートユーザーや支店が最寄りの利用可能なPoPに接続することで迅速に追加できるため、職場の柔軟性が向上します。

Cato SASEと従来のSD-Branch

基準	従来のSD-Branch	Cato SASE
コンプライアンス要件	支店ごとのルーター、ファイアウォール、Wi-Fiコントローラー、SD-WANボックス	支店用のアプライアンスはなく、ネットワーキングとセキュリティはクラウド経由で提供されます。
可視性とポリシーの強制	デバイスごとの強制; 断片的な可視性	単一のコンソールからのグローバルでリアルタイムのポリシー強制
グローバルなフットプリントとレイテンシ	WAN回線と支店のルーティングに依存	85以上のグローバルPoPがレイテンシを最小限に抑え、SaaS/クラウドアクセスを最適化します。
3つの領域に注目することができます	FW、SWG、IPS、CASBのために複数のアプライアンスが必要なことが多い	完全に統合された:FWaaS、SWG、CASB、ZTNA、DLP、脅威防止が1つのスタックに含まれています。
サイト間のスケーラビリティ	新しい支店には、より多くのアプライアンスとITリソースが必要です。	クラウド構成を介してユーザー/サイトを即座に追加でき、ハードウェアは不要です。
ハイブリッド/リモートワークフォース	オフィスの接続に焦点を当てており、リモートアクセスのサポートは限られています。	組み込みのZTNAを使用して、リモート/ハイブリッドユーザーをネイティブにサポートします。
運用負荷	各支店のデバイスごとに頻繁なパッチ適用、更新、トラブルシューティングが行われます。	自動クラウド更新により、運用が簡素化され、集中監視が可能になります。
総所有コスト	ハードウェアの購入と継続的なメンテナンスにより、高いCapExとOpExが発生します。	ハードウェアを排除し、運用を効率化することで、TCOが低下します。

SD-Branchに関するFAQ

SD-Branchとは何ですか？

SD-Branchは、支店オフィスでのLAN/WLAN管理を可能にするSD-WANの拡張です。リモートサイトに展開されたアプライアンスは集中管理されたポリシー管理を持っていますが、個別の展開、構成、ポリシーの適用が必要です。

なぜSD-Branchは今日、効果が薄れているのですか？

SD-Branchは、クラウドの採用とハイブリッドワークの時代の前に設計されており、各リモートサイトにアプライアンスを展開するだけで、組織のアプリケーションとユーザーに対応できました。本社ネットワークやリモートサイトを通じてトラフィックをルーティングするとネットワークの遅延が発生し、アプライアンス中心のアプローチは追加のコストと運用のオーバーヘッドをもたらします。

SASEはSD-Branchをどのように改善しますか？

SASEは、グローバルに分散し、集中管理されたクラウドネイティブのPoPを介してSD-Branchの機能を提供します。このアプローチは、アプライアンス管理に関連するオーバーヘッドを排除し、新しいPoPを必要に応じて展開できるため、柔軟性とスケーラビリティを向上させます。さらに、SASEはSD-Branchよりも深いセキュリティを提供し、インラインの高度な脅威保護、ゼロトラストセキュリティの適用、統合された高度な脅威保護を含みます。

SD-Branchは完全に時代遅れですか？

一部の組織では、SD-Branchは小売サイトやレガシー環境をサポートする移行ソリューションとして使用されています。しかし、業界アナリストは、企業がよりコスト効率が高く、スケーラブルでクラウドに優しいオプションを求める中で、SASEが最終的にSD-Branchを完全に置き換えると予測しています。

SD-WAN、SD-Branch、およびSASEの違いは何ですか？

SD-WANはWAN最適化に焦点を当てた技術です。SD-Branchは、LAN/WLANのハードウェアベースのサポートを通じてSD-WANを支店レベルのネットワーキングに拡張します。SASEは、完全なクラウド提供のセキュリティとSASEを統合するクラウドネイティブなソリューションです。