SD-WAN:ソフトウェア定義型WANとは?
SD-WAN:ソフトウェア定義型WANとは?
SD-WAN(ソフトウェア定義型WAN)は、ユーザーとアプリケーションを安全かつ効率的に接続するためにWANに構築される仮想的なWANです。この技術ソリューションにより、ネットワーキングに比類のないアジリティがもたらされ、コストを削減できます。SD-WANにより、従来のマネージドMPLSサービスよりも低コストかつ短時間で、より応答性および予測可能性の高いアプリケーションを提供できます。数分で拠点に導入または拠点を即座に再構成して、MPLS、DIA(専用線アクセス)、ブロードバンド、ワイヤレスなど、すべての利用可能なデータサービスを利用し、ITのアジリティを大幅に高めることができます。
SD-WANは、ポリシーベースの仮想オーバーレイにより、基盤となるネットワークサービスからアプリケーションを分離します。このオーバーレイは、基盤となるネットワークのパフォーマンス特性をリアルタイムで監視し、各アプリケーションに最適なネットワークを設定ポリシーに基づいて選択します。
SD-WANの機能?
SD-WAN(ソフトウェア定義型WAN)は、従来のWANに関連する、多くの課題を解決します。SD-WANは、ネットワーキングレイヤーを抽象化し、LTE、MPLS、ブロードバンドインターネットなど、さまざまな接続タイプをWANで利用できるようにします。 この抽象化により、ネットワークの帯域幅、パフォーマンス、冗長性を向上させて、一元管理やオーケストレーションを実現できます。
SD-WANは、暗号化されたトンネルで接続されるSD-WANアプライアンスのネットワークとして機能します。すべてのトラフィックが、WANの各拠点にある独自のSD-WANアプライアンスを経由します。すべてのアプライアンスを一元管理して、組織全体を通じて一貫したネットワークポリシーを適用できます。SD-WANアプライアンスは、アプリケーショントラフィックのタイプを判断し、既存のポリシーおよびさまざまなネットワークリンクの可用性とパフォーマンスに基づいて、トラフィックを転送先にルーティングします。
従来のSD-WANは完璧とはいえません。SD-WANには、セキュリティが統合されていない場合が多いため、ブランチロケーションに独自のスタンドアロンセキュリティ製品を導入する必要があります。また、各エンドポイントでSD-WANアプライアンスの導入が必要なため、クラウドやモバイルのトラフィックに使用することが困難または使用できない場合もあります。SD-WANは多くの場合、公共のインターネットに依存しているため、信頼性に疑問があります。 SASE(セキュアアクセスサービスエッジ)プラットフォームは、これらの問題の多くを解決します。
SD-WAN技術とは?
SD-WAN技術は、新たな方法で広域ネットワークを管理および最適化します。クラウドコンピューティングやモバイルデバイスの増加による、企業ネットワークの利用方法の変化に対応することを目的としてます。SD-WANは、MPLSよりも柔軟なソリューションです。分散したテレワークをより適切にサポートし、VPNベースのWAN以上に信頼できる拡張性を提供します。
SD-WANは、暗号化されたトンネルで接続されるSD-WANアプライアンスのネットワークとして機能します。各SD-WANアプライアンスは、一連のネットワークサービス(通常はMPLSと一部のインターネットサービス)に接続され、各サービスの現在の可用性とパフォーマンスを監視します。SD-WANアプライアンスへのトラフィックは、アプリケーションに基づいて分類され、一元管理される優先度に従って順位付けされた後、利用できる最適なネットワークリンクを介して転送されます。
新しい拠点への接続にコストと時間がかかるMPLSを、SD-WANに置き換えることができます。また、セキュリティ機能をネットワークの境界線に分散することで、すべてのトラフィックをクラウドサービスに転送する前に、データセンターを介してスキャンする必要がなくなり、レイテンシーやパフォーマンスを向上させます。
SD-WANは、ネットワーキングとセキュリティ機能の統合により、コストが高いポイントセキュリティ製品のブランチロケーションへの導入を不要にします。SD-WANは、グローバルに分散されているPoP(ポイントオブプレゼンス)の大規模なネットワークにより、一元管理と可視化を提供する高性能かつ安全なネットワークを実現できます。
SD-WANとSDNの違い?
SD-WANは、SDN(ソフト定義ネットワーキング)の原理を拠点間の接続に導入します。SDNは当初、データプレーンとコントロールプレーンを分離してネットワークを拡張することを目的として、データセンターに導入されました。ポリシーとルーティングインテリジェンスを単一または複数のサーバー(「コントローラ」)で実行して、パケット転送するネットワーキング要素(スイッチやルーター)を指示します。
SDNは、ローカルネットワーク全体にわたってオーバーレイを作成し、効率とアジリティの可能性を広げます。SD-WANは、広域ネットワーク全体にわたってオーバーレイを作成し、効率とアジリティを大幅に向上させます。
SD-WANが必要な理由?
クラウドと高度なモビリティが、今日のネットワークの使用方法を先導しています。一方で、WANは物理的な拠点間を接続することが重視された時代に設計されています。旧式のアプローチで新しいニーズに対応すると、グローバル接続や複雑なトポロジーに高いコストがかかり、広範にわたって分散される「ポイント製品」の保守および保護が困難になります。
パッチ適用、更新、アップグレードなど、繰り返される煩雑なサイクルに必要なスキルを備えた技術者の数はますます不足しています。特に憂慮すべきことは、このような複雑さに起因する、設定ミス、ソフトウェアの脆弱性およびその他の攻撃対象が増え、サイバー犯罪の格好の標的になることです。
レガシーWANが現状に対応できなくなっている、いくつかの理由があります。以前のアプローチの中枢であったMPLSは、コスト高となっており、新しい拠点への導入に長いリードタイムが必要です。レガシーWANは、安全なWebポータル(通常はデータセンター)でのみインターネットに接続します。これにより、Webデータ通信がネットワーク間を行ったり来たりする「トロンボーン」現象が発生します。その結果、インターネットのトラフィックが増加し、MPLSリンクが浪費され、遅延時間が増します。専用線アクセスによるブランチへの接続は、高額なコストがかかり、基礎となるブランチのハードウェアを上回る可能性があります。またWANは、オフィスやデータセンターなどの物理的な資産を接続することを重視して設計されています。つまり、刻々と変化する、新しい時代には適していません。
SD-WANの制限?
SD-WANには多くのメリットがある反面、制限もあります。SD-WANをクラウドに拡張するには、クラウドプロバイダーのデータセンターまたはその近隣にSD-WANが必要です。これは不可能ではないにしろ、複雑さを伴う課題です。モバイルユーザーは、SD-WANに接続できません。
また、トラフィックは暗号化されますが、マルウェア、フィッシングメールやその他の攻撃の脅威にブランチがさらされます。ブランチでセキュリティアプライアンスを導入すると、それに伴う購入コスト、サイジング、メンテナンスが継続的に発生します。トラフィックの増加に伴い、アプライアンスのアップグレードやIT部門による全面的なセキュリティ機能の適用が必要となります。また、根本的な原因を突き止めるために、ネットワーキングコンソールとセキュリティコンソール間を行き来する必要があるため、トラブルシューティングがさらに困難になります。これにより、効率が悪化し、エラーが生じ、問題に関する目前の情報を見落とす可能性があります。
クラウドベースのSD-WANサービスは、これらの課題に対処します。
新たなオプションとして、セキュリティとネットワーキング機能のクラウドスケールのソフトウェアへの統合があります。インターネットやWANのすべてのトラフィックが、ソフトウェアを実行するプロバイダーのPoP(ポイントオブプレゼンス)で送受信されます。PoPは独自のバックボーンで接続するため、インターネットのコアネットワークに起因するパフォーマンス問題を回避できます。このアプローチは、SD-WAN as a ServiceまたはSD-WAN 3.0と呼ばれています。
重要なポイントは、ブランチでネットワーキングとセキュリティ両方のスタックを実行する課題を緩和できることです。SD-WANデバイスは、軽量で簡素化された拠点(シンエッジ)で構成されています。SD-WANデバイスが実行する主なタスクはパケット評価、つまりインターネット、MPLSリンクあるいは他のロケーションのいずれに送るべきかの判断です。コアセキュリティとネットワーキングのプロセスをクラウドで行うことで、SD-WAN as a Serviceは、トラフィック量や有効化されている機能に関係なく、回線速度でトラフィックをチェックし続けることができます。
SD-WANサービスとは?
SD-WANマネージドサービスは、通信事業者またはサービスプロバイダー向けのSD-WANサービスです。このサービスは、組織のネットワーク全体にわたって一定レベルのパフォーマンスを保証します。通信事業者はデータを転送し、データセンターやサードパーティのクラウドの物理的および仮想的な技術に接続します。
SD-WANマネージドサービスは、ブランチベースのインターネットアクセスのセキュリティ課題には対応していません。すなわち、同一の技術インフラに対する、異なるビジネスや管理アプローチです。
SD-WANの主な5つのメリット?
従来のMPLSベースのWANに代わる、SD-WAN(ソフトウェア定義型WAN)をMPLSと比較した場合、5つの大きなメリットがあります。
1. WANコストの削減
MPLSの帯域幅はコストが高く、新しいMPLSリンクのプロビジョニングに数週間から数ヵ月要することもありますが、SD-WANでは数日で行うことができます。運用コストとビジネス機会損失の両面で、MPLSはSD-WANを下回っています。
2. WANパフォーマンスの強化
MPLSは、固定された2つの拠点間でのトラフィックのルーティングには極めて有効ですが、クラウドの拡大に伴い、その有用性は低下しています。SD-WANのポリシーベースのルーティングは、基礎となるアプリケーションのニーズに基づいて、ネットワークを介してトラフィックを最適に転送します。
3. WANのアジリティ向上
SD-WANは、MPLSよりもはるかにアジャイルなネットワークを提供します。SD-WANは、ネットワークレイヤーを抽象化して、WAN全体を通じてさまざまな転送メカニズムを利用できます。
4. WAN管理の簡素化
MPLSは、WANの最適化やセキュリティ管理のために、さまざまなスタンドアローンのアプライアンスの導入が必要です。SD-WANは、オペレーションの一元化により、ネットワークの拡張に合わせた拡張性のある管理が可能です。
5. WANの可用性向上
SD-WANは、MPLSと比較して、冗長性と可用性が大幅に上回ります。MPLSは、冗長リンクの追加に高いコストがかかる場合があります。一方、SD-WANは、障害発生時に別の転送メカニズムでトラフィックをルーティングできます。
複数拠点の接続
ブランチへのWAN接続には、安全性、信頼性、価格、企業レベルのネットワーク性能など、さまざまな制約があります。いくつかのソリューションがありますが、その多くに問題があります。
ブランチロケーションを接続する一般的なソリューションは、公共のインターネットでVPNを利用します。VPNは、組織に必要なセキュリティを提供しますが、セットアップが難しく、組織のニーズを満たさない場合もあります。モバイルVPNクライアントは可用性および便宜性に欠け、物理的VPNアプライアンスの導入に時間がかかり、テレワークのニーズを満たさない可能性があります。また、VPNは公共のインターネットに依存しているため、企業が必要とする信頼性を確保できない場合があります。
MPLSは、より信頼性の高い、高性能なネットワーク接続を提供しますが、導入に時間がかかり、帯域幅のコストが高くなります。また、モバイルやクラウドのユーザーには適しておらず、セキュリティ機能も組み込まれていません。
クラウドベースのSD-WAN(ソフトウェア定義型WAN)は、ブランチネットワーキングの課題を解決するソリューションを提供します。SLAで保証されるレイヤー1のネットワーク接続によるクラウド型PoP(ポイントオブプレゼンス)が、高性能で信頼性の高いネットワークを低コストで提供します。クラウドベースのPoPネットワークにより、どこからでも最小限のレイテンシーで接続でき、セキュリティスタックの統合により、ネットワーク全体を通じてセキュリティを確保できます。
SD-WANセキュリティ
MPLSとアプライアンスベースのSD-WAN(ソフトウェア定義型WAN)は、どちらもWANに必要なネットワーク機能を組織に提供します。しかし、多くの場合、セキュリティ面で重大な欠点があります。MPLSには回線を暗号化する機能がない、またはMPLSやアプライアンスベースのSD-WANにセキュリティが組み込まれていない場合があります。そのため、これらのシステムを利用する場合、サイバーセキュリティ保護のために、各拠点にスタンドアロンのセキュリティアプライアンスの導入が必要となります。
このアプローチでは、拠点を増やすたびに、追加のWANセキュリティアプライアンスが必要になるため、複雑さが増し、拡張性がなく、コストがかかります。これらのアプライアンスを個別に購入、設定、監視、管理する必要があるため、ライフタイム全体を通じて多大なコストがかかります。また、このアプローチは、セキュリティアプライアンスをオンサイトで展開できないクラウドやモバイルには適していません。
クラウドベースのSD-WANは、これらの課題を解決するソリューションを提供します。SD-WANのPoP(ポイントオブプレゼンス)がクラウドのグローバルなカバレッジを実現し、最寄りのPoPを経由して接続することで、レイテンシーの影響を最小限に抑えます。また、セキュリティ機能がPoPに統合されているため、スタンドアロンのアプライアンスを各拠点に導入する必要がなく、企業WAN全体にわたってネットワークとセキュリティを一元化および可視化できます。また、ネットワーキングとセキュリティの統合により、ネットワーキングアプライアンスとセキュリティアプライアンスを最適化し、相互運用を実現してパフォーマンスを向上させることができます。
SD-WANとMPLSの比較:メリットとデメリット?
グローバル組織が増え続けている中、地理的に分散したLANをWANで接続する必要性がこれまで以上に高まっています。組織の競争力を効果的に強化するには、安定した高性能なWANを手頃な価格で利用する必要があります。これを実現する、3つのオプションがあります。公共のインターネット、MPLS、SD-WAN(ソフトウェア定義型WAN)です。
企業にとって第一の選択肢は、社内のトラフィックを公共のインターネットを介してルーティングすることです。このアプローチの主な2つのメリットは、セットアップが容易で、安価なブロードバンドインターネットが広く普及しているため、一般的に手頃な価格で利用できることです。しかし一方で、不安定なパフォーマンス、変動的なレイテンシー、エンドツーエンドの管理の欠如に伴うコストが生じます。
MPLSは、レイテンシー、パケット配信、可用性、高性能がSLAで保証された、信頼性の高いネットワーク接続を提供することを目的としています。しかし、この高性能な接続には、高額なコストが必要であり、導入に非常に時間がかかります(数週間から数か月)。また、MPLS接続は、トラフィックを転送する前に、中央のアクセスポイントにいったん戻す必要があるため、クラウドコンピューティングには適していません。
ネットワークインフラを抽象化するSD-WANは、両方のメリットを兼ね備えています。SD-WANは、公共のインターネット接続やMPLSリンクから最適なルートを選択して、アプリケーションごとにパフォーマンスとコストのバランスを取ることができます。クラウドベースのSD-WANは、セキュリティの統合、モバイルやクラウドユーザーへの対応、レイテンシーの予測やパケットロスの低減など、さらなるメリットをもたらします。
MPLSの代替手段
MPLSは、高速で信頼性の高いネットワーク接続が必要な企業にとって一般的な選択肢であり、可用性、パケットロスおよびレイテンシーに関するSLAの問題点を解消します。
しかし、企業向けに構築された、この成熟化した技術にはデメリットもあります。MPLSの保証機能は、高コストなMPLSの帯域幅が前提であり、新しい接続の導入に数週間から数ヵ月かかるため、MPLS接続の変更は極めて困難です。これが、新たなブランチロケーションのセットアップや既存拠点の帯域幅の拡張、その他のネットワークの変更に影響を与えます。
SD-WAN(ソフトウェア定義型WAN)は、このような課題を解決する、MPLSの代替手段として設計されています。SD-WANは、複数の転送メディアのトンネルを介して接続される、SD-WANアプライアンスのネットワークで構成され、ネットワークレイヤーを抽象化し、アプリケーショントラフィックのタイプに応じて、さまざまなデータサービスでトラフィックを最適にルーティングします。その結果、ネットワーキングのコストを削減し、迅速な導入を実現します。
しかしながら、SD-WANは全能なソリューションではありません。既存の通信リンクに依存しているため、アプリケーションによってはMPLSが必要であり、セキュリティがSD-WANアプライアンスにデフォルトで組み込まれていない場合もあります。これらの課題に対処し、モバイルやクラウドのユーザーのカバレッジを拡大するには、クラウドベースのSD-WANが必要です。
SD-WANとVPNの比較:どう比較するか?
エンタープライズWANの構築にあたっては、インターネットベースのVPNとクラウドベースのソフトウェア定義WAN(SD-WAN)という2つのオプションがあり、どちらもMPLSに比べてはるかに低コストで、柔軟性も高まります。SD-WANとVPNを比較する場合は、コスト、パフォーマンス、信頼性、構成・保守が重要な検討事項となります。
エンタープライズWANに関連するコストは、必要なハードウェアやソフトウェアの取得に関連するコストと、そのデプロイ、構成、保守、監視にかかるコストに整理されます。SD-WAN用のハードウェアの取得には一定の費用がかかりますが、その運用と保守は比較的低コストで行うことができます。VPNの場合、ソフトウェアは安価で、無料の場合さえありますが、VPNベースのWANの保守はかなり複雑になる可能性があります。
VPNのパフォーマンスは使用する公衆インターネットの制約を受け、長距離接続では大幅な遅延が生じることがあります。他方、プライベートバックボーン上で運用されるSD-WANは、接続距離にかかわらず高いパフォーマンスを発揮します。また、VPNは公衆ネットワークに依存するため、信頼性の面でも不利で、予期せぬ形で回線が切断される可能性があります。SLA(サービス品質保証)に裏打ちされ、Tier-1のプライベートリンク上で運用されるクラウドベースのSD-WANは、はるかに高い信頼性を誇ります。
最後に、VPNベースのWANは、P2P接続用に暗号化されたトンネルを個別に作成する必要があって複雑なため、構成と保守に相当なコストがかかる可能性があります。また、接続状況を一元的に確認・監視することができないため、セキュリティ対策も複雑になります。クラウドベースのSD-WANは、各拠点へのデプロイも容易で一元管理ができ、構成と保守にかかるコストを最小化することができます。
SD-WAN as a Service
SD-WAN as a Service extends the core capabilities of traditional SD-WAN. It converges the WAN edge, a global backbone and a full network security stack into a unified cloud-native platform. Known as SASE (or the Secure Access Service Edge) it is built to optimally connect and secure all enterprise resources; physical locations, cloud datacenters, and the mobile workforce. By integrating SD-WAN into SASE, enterprises can gradually transform their WAN to address the full WAN transformation journey, without deploying multiple point solutions.
ラストマイルの制約
MPLSはミドルマイルの信頼性が高いですが、これはラストマイルには当てはまりません。MPLSは帯域幅のコストが高く、ラストマイル接続の冗長化がコスト面の負担となるため、主要な組織は代替ソリューションを求めています。
ラストマイルの信頼性の問題に対処する、早急な2つの方法として、インターネットのバックアップ接続とリンクボンディングがあります。インターネットのバックアップ接続は、MPLSが停止した場合の対処に役立ちますが、フェイルオーバープロセスが遅く、現状の接続が失われることが多々あります。リンクボンディングは、複数のラストマイルの転送サービスのアグリゲーションにより、ラストマイルの信頼性に関する課題を解決します。これは、ラストマイルの帯域幅と信頼性にはプラス効果がありますが、ミドルマイルには当てはまりません。
SD-WAN(ソフトウェア定義型WAN)は、リンクボンディングのコンセプトをさらに推し進めています。SD-WANは、ネットワークを抽象化して、さまざまな転送オプションをアプリケーションへの単一のパイプで提供し、バックグラウンドでトラフィックルーティングを行うことができます。
このように、SD-WANはエンタープライズWANに数多くのメリットをもたらします。ポリシーベースのルーティング、ハイブリッドWANのサポート、アクティブ/アクティブリンク、パケットロスの低減、QoS(アップストリームおよびダウンストリーム)により、ラストマイルを最適化できます。クラウドベースのSD-WANは、ミドルマイルをプライベートティア1バックボーンで構成しているため、ミドルマイルを最適化してミドルマイルのネットワークの信頼性とパフォーマンスに関して、MPLSを上回ります。
SD-WANの歴史
SD-WAN(ソフトウェア定義型WAN)は、SDNの抽象化をWANにもたらしていますが、これはWANの一連の最新のトランスフォーメーションです。
1980年代、WANの初期段階では、さまざまなLANの接続にポイントツーポイント(PPP)回線が使用されていました。1990年代の初めに導入されたフレームリレーにより、この接続のコストと効率が改善されました。フレームリレーは、通信相手間のダイレクトPPP接続を必要とせず、サービスプロバイダーの「クラウド」に接続して、ラストマイルリンクの帯域幅を共有し、比較的安価なルーターハードウェアの使用を可能にしました。
次の段階で導入されたMPLS(マルチプロトコルラベルスイッチング)により、音声、映像、データを同一ネットワーク上で伝送するIPベースの手段が提供されました。MPLSは、SLAで保証される信頼性の高いネットワーク接続を提供しますが、コストが高く、プロビジョニングに時間がかかります。
2013年に導入されたSD-WANは、MPLSに代わるコスト効率の高いソリューションとして、WAN技術を次の段階に推し進めています。SD-WANは、ネットワークレイヤーを抽象化し、一元的に定義および管理されたポリシーに基づいてトラフィックをルーティングして、さまざまなタイプのアプリケーショントラフィックのルーティングおよび優先順位付けを最適化できます。また、SD-WANは柔軟性が高く、クラウドやモバイルのユーザーのニーズにも対応できます。SD-WANの使用が一般的になりつつある中、多くの組織への導入が予想されるのは当然のことです。
SD-WANの進化
SD-WAN 1.0:帯域幅の課題
SD-WANは、初期段階では、可用性とラストマイルの帯域幅の問題を解決することに重点を置いていました。最新のMPLSリンクはコストが高く、プロビジョニングに時間がかかり、障害発生時にのみインターネットのバックアップ接続が使用されます。初期のSD-WANは、リンクボンディングにより、複数のタイプの接続をリンクレベルで組み合わせ、ラストマイルの帯域を改善しました。
SD-WAN 2.0:SD-WANスタートアップの台頭
リンクボンディングの制限は、ラストマイルのパフォーマンスでのみ改善されます。WAN全体を通じてパフォーマンスを向上させるには、パス全体を通じてルーティングを意識する必要があります。初期のSD-WANソリューションは、仮想化によるフェイルオーバー/フェイルバックとAAR(アプリケーションを意識したルーティング)を提供しました。AAR(アプリケーションを意識したルーティング)により、SD-WANは、MPLSリンクに完全に依存することなく、アプリケーションのタイプに応じてトラフィックを最適にルーティングできるようになりました。
SD-WAN 3.0:展開
SD-WANの進化における最新段階では、ブランチロケーションのネットワーキングの範囲を超えることが重視されています。企業リソースのクラウドへの移行が増え続ける中、SD-WANは、クラウド展開をエンタープライズWANに安全に接続するソリューションを提供しています。