SD-WANとVPNの比較:どう比較するか?

SD-WANとVPNの比較:どう比較するか?

ユースケースに適したネットワークソリューションを選択することが、ビジネスに多大な効果をもたらすことは、インターネットベースのVPN(仮想プライベートネットワーク)からクラウドベースのSD-WANへ移行したBioIVT社の事例から得られる教訓のひとつといえます。同社は、新しい拠点のプロビジョニングにかかる時間を数ヵ月間短縮することができるようになりました。

インターネットベースのVPNは、IPsecトンネル(または同様の暗号化方式)と物理的または仮想的なVPNアプライアンスによるWANとして複数の拠点を公共のインターネット上で安全につなぐことを可能にします。これは、長年にわたってエンタープライズWANの定番となっています。インターネットベースのVPNは、信頼性や性能面で多少の難点はありますが、帯域幅のコストを削減できるため、一部のWAN接続のユースケースにおいてMPLS(マルチプロトコルラベルスイッチング)に代わる手段となっています。

インターネットベースのVPNとMPLSの比較が論議された時期もありましたが、最近のWAN技術は進化しています。一方で、この間にSD-WANが、MPLSやインターネットベースのVPNでは実現できない、コスト効率、機動力、クラウド対応を兼ね備えたエンタープライズWAN接続ソリューションとして現れてきました。特にクラウドベースのSD-WANは、信頼性とセキュリティ機能を組み合わせており、その革新性が証明されています。

インターネットベースのVPNとSD-WANのどちらが貴社のユースケースに適しているのかを、どのように判断すればよいのか? その疑問についてお答えします。

SD-WANとVPNの比較:メリットと制約

WAN接続ソリューションの比較では、コスト、性能、信頼性、構成/メンテナンスなどが重要な検討事項です。これらについて、SD-WANとVPNを比較してみましょう。

SD-WANとVPNの比較:コスト

インターネットベースのVPNとSD-WANは、低コストの公共のインターネット帯域幅を利用します。小規模な導入の場合、VPNはいくつかの拠点およびとシンプルなWANトポロジーの低コストなソリューションです。例えば、シンプルな拠点間接続であれば、汎用サーバーとOpenswanなどのオープンソースソフトウェアで対応できます。しかし、BioIVT社の事例で見られるように、VPNベースのネットワークを拡張することで生じてくる複雑さや課題が、初期のコスト削減を大幅に上回る可能性があります。

SD-WANとVPNの比較:パフォーマンス

インターネットベースのVPNのパフォーマンスは、本質的に公共のインターネットと結び付いています。VPNベースのWANでは、アクセスの集中時に起こる輻輳がパフォーマンスに影響を与えるだけでなく、地理的に長距離の転送で一般的にレイテンシーが悪化します。

また、VPNにはダイナミックパスの選択、QoS(Quality of Service)、アプリケーションを意識したルーティングなど、パフォーマンスを最適化する機能がないため、VoIPやテレプレゼンスなどのアプリケーションに必要なレベルの効率を提供できません。SD-WANは、これらの機能を提供し、クラウドベースのSD-WANでは地理的にかなり離れている場合でもレイテンシーに支障が生じません。CatoのSLAで保証されているグローバルプライベートバックボーンは、世界各地の70+ 以上のPoP(プレゼンスポイント)で構成されています。トラフィックが最寄りのPoPにルーティングされ、Catoの高速バックボーンを経由するため、公共のインターネットに起因するミドルマイルにおけるパフォーマンス問題を回避できます。

SD-WANとVPNの比較:信頼性

SD-WANとMPLSの比較を考える前に、よく言われるようにアプライアンスベースのSD-WANおよびVPNともに、公共のインターネットのためSLAがないことです。今企業に求められているのは、予測可能で信頼性の高いパフォーマンスです。VPNは依然として公共のインターネットに依存していますが、CatoのSLAで保証されたグローバルバックボーンは、世界中の複数のTier-1プロバイダーで接続されています。これにより、Cato SASEクラウドは、MPLSと同等以上のレベルで予測可能なサービスと信頼性を提供しています。

SD-WANとVPNの比較:設定と保守

VPNの設定には、多くの手作業が必要です。IPsecトンネル、IKE(インターネット鍵交換)、NAT-T(ネットワークアドレス変換トラバーサル)を安全に設定して拡張するには、ハイレベルな専門知識が必要です。WANに接続する拠点数が増えるほど、ネットワークの維持が困難になります。結果的に、パフォーマンスに支障が生じ、WANインフラが分断されます。

Paysafe Financial Services社は、VPNの拡張に伴う障壁を身をもって経験しています。いくどかの合併や買収を経て、Paysafe社には、MPLS回線とインターネットベースのVPN接続で構成されたバックボーンが残されました。インターネットベースのVPNにより、真のメッシュネットワークを構築するには、210のVPNトンネルが必要であり、多大な時間とリソース投資が必要でした。Paysafe社のインフラストラクチャーアーキテクト、スチュアート・ガル氏も、特にVPNが同社のWANの難点だったと述べています。VPNの接続性について、同氏は次のように語っています。「常に別の拠点への転送が必要なため、再プロビジョニングのプロセスが伴います。これには承認などもすべてを含めて、数週間かかることもありました」

このような状況に対応するために、Paysafe社が探し当てたソリューションがCato SASE Cloudでした。Catoは、ポリシーベース設定の拡張性の高い自動化と拡張性のあるクラウドベースのサービスモデルのメリットをPaysafe社にもたらしました。これにより、Paysafe社は、WANの設定およびプロビジョニングにかかる時間を合理化し、VPNと比較してレイテンシーを45%改善しています。Catoにより、どの程度速くなったのでしょうか? ガル氏は「MPLSやVPNでは、新しい拠点の立ち上げに何週間もかかっていましたが、Cato Socketの導入には、初期設定も含めて30分もかかりません」と述べています。

また、Paysafe社では、以前は個別のセキュリティソリューションを採用していました。Catoに置き換えることで、Catoのネットワークに組み込まれた企業に求められる水準のセキュリティ機能により、NGFW(次世代ファイアウォール)などのセキュリティアプライアンスを追加設定することなく、安全な拡張性を確保しています。

まとめ

上記を踏まえて、SD-WANとVPNについて、どのように判断すべきでしょうか? 少数の拠点を接続する小規模な企業の場合は、インターネットベースのVPNは理にかなっています。しかし、拡張性、性能、信頼性、俊敏な運用を重視するユースケースでは、クラウドベースのSD-WANが有望です。資料上の話としてだけではなく、Catoのお客様であるPaysafe社やBioIVT社が、このことを実際に証明しています。

Cato SASE Cloudが貴社にもたらすメリットの詳細について、今すぐ弊社宛にお問い合わせください。Cato SASE Cloudを実際にご覧いただくには、このデモをご覧いただき、お申し込みください。

SD-WANに関するよくある質問

  • SD-WANとは?

    SD-WAN(ソフトウェア定義型広域ネットワーク)デバイスを企業の拠点にセットアップして、MPLS、LTE、ブロードバンドインターネットサービスなど、基盤となるあらゆる転送サービス全体にわたって、デバイス間に暗号化されたオーバーレイを構築できます。

  • SD-WANのメリット?

    帯域幅コストの削減:MPLSの帯域幅は、高額なコストがかかります。「ビット当たりの価格」で見ると、MPLSは公共のインターネットの帯域幅よりもかなり高額です。正確なコスト比較は、立地条件をはじめとするさまざまな変数によって異なります。MPLSは、単に帯域幅あたりのコストが大幅に高いだけではありません。MPLSリンクのプロビジョニングは、数週間から数ヵ月かかることが多いのに対し、同等のSD-WANの導入は多くの場合、数日で完了します。ビジネスにおいては「時は金なり」です。ボトルネックとなっているWANを排除することが大きな競争力につながります。
    公共のインターネットを信頼性の高いネットワークに転じる:アクティブ/アクティブ構成で実行される複数のデータサービスを使用して、拠点間を接続できます。ダウンタイム時にセッションを別の転送に切り替える、1秒未満のネットワークフェイルオーバーにより、アプリケーション中断を回避できます。
    安全な通信:暗号化された接続により、すべての転送にわたって、実行中のトラフィックを保護します。
    オンデマンドの帯域幅: 帯域幅を即座に増減して、重要なアプリケーションに必要な帯域幅を必要なときに確保できます。
    即時の拠点立ち上げ:MPLSでは数週間から数ヵ月かかる新しい拠点の立ち上げを、わずか数分で完了できます。SD-WANのノードは自動的に構成され、4G/LTEを使用してすぐに展開することができます。

  • SD-WANの採用を推進する主なトレンド?

    これまでは、マネージドMPLSサービスなどのレガシー通信事業者サービスを利用してネットワークが構築されてきました。これらのサービスはコストが高く、サービスを開始するまでに数週間から数ヵ月を要し、簡単な変更でもサービスプロバイダーのサービスが必要です。
    SD-WANは、このような状況から脱却し、ITネットワークにアジリティとコスト効率をもたらします。SD-WANは、複数のインターネット接続を利用して拠点間を接続し、暗号化されたオーバーレイでアグリゲーションを行います。オーバーレイのポリシー、AAR(アプリケーションを意識したルーティング)、動的リンク評価により、基盤となるインターネット接続の利用を最適化できます。

    最終的にSD-WANは、安価な公共のインターネットを利用して企業が必要とするセキュリティと可用性を提供し、適切なパフォーマンスと稼働率を実現します。

  • SD-WANの制限?

    グローバルバックボーンの欠如: SD-WANアプライアンスは、基盤となるネットワークインフラにセットアップされます。つまり、SD-WANアプライアンスだけではなく、パフォーマンスと信頼性の高いネットワークバックボーンも必要です。
    高度なセキュリティ機能の欠如: SD-WANアプライアンスは、最新のネットワーキングの多くのユースケースに対応していますが、セキュリティ要件には対応していません。このニーズを満たすために、多くの場合、さまざまなベンダー(CASBなど)のセキュリティおよびネットワークアプライアンスのパッチワーク管理が必要です。また、各アプライアンスを社内のIT部門やMSPが調達、プロビジョニング、管理する必要があるため、ネットワークのコストと複雑さが増します。
    テレワークをサポートしない: SD-WANアプライアンスは、拠点間の接続用に構築されています。SD-WANアプライアンスは、リモートワークの安全な接続には対応していません。