SD-WAN導入だけでは時代遅れ? ~SD-Branch×AIOps×ゼロトラストセキュリティによるネットワークの最適化~

重要Silver Peakは買収されて今はAruba傘下となります。 詳細はこちら

広域ネットワークを仮想化し、ソフトウェアで制御できるSD-WAN。現在は単体での導入ではなく、クラウドセキュリティやゼロトラストセキュリティ、AIOps(Artificial Intelligence for IT Operations)などと組み合わせて、ネットワーク最適化をより進めるのが主流となっている。マクニカネットワークスはHPE社の製品を擁し、そのようなソリューションを顧客に提供している。

ゼロトラスト/アイデンティティ型の流れが加速

SD-WANは2016年に登場した後、一時期低迷したものの、2018年にはハイブリッドWANやインターネットブレイクアウトなどの技術で再度注目度が高まった。2020年からは、拠点間のL3ルーターをSD-WANに変更して通信を最適化したり、特定のSaaSの通信をインターネットブレイクアウトして、拠点から直接アクセス可能にするなどの用途で導入の流れが強まった。

同時に2020年はコロナ禍の影響で、主流はSD-WAN化からゼロトラストネットワークに移っていると松本氏は指摘した。従来は拠点のみの通信制御が主流であったが、コロナ禍に伴うリモートワークの増加を背景に、社外も同等の制御が必要になった。

「拠点と社外の両方を考慮したうえで、ネットワークトポロジーやセキュリティを決めるのがポイントです。例えば、拠点のSD-WAN化にプラスして、今までデータセンターに設置していたセキュリティ機器をクラウドへ移行するなどです」

セキュリティの方向性は、今までは社内といった境界の内部はトラスト、外部はアントラストと定義し、境界で防御する境界防御型であった。これからは社内のみならず、あらゆる場所、デバイス、ネットワークから自社の情報資産にアクセスする時代である。

「社内外にかかわらず、全てアントラストと定義したゼロトラストのセキュリティが求められます。情報資産にアクセスする共通のコントロールポイントとして、アイデンティティを境界に置くアイデンティティ型のネットワークへの流れが加速しています」

SD-WANはSASEに不可欠な要素

次に松本氏は「ゼロトラストによってもたらされる大きな変化は、“3つの通信の境界”のクラウド移行です」と語った。1つ目は、拠点からデータセンターやIaaSという社内間の通信が、従来のルーターからSD-WANに移行することだ。

2つ目として、社外のPCやスマートフォンからデータセンターなど社内への通信が、従来のSSL-VPNによるリモートアクセスから、ZTNA(Zero Trust Network Access)に置き換わる。3つ目は、従来はデータセンターにあった全てのオンプレミスのセキュリティ機器のクラウド移行である。クラウドアプリケーションを可視化し、データプロテクションやガバナンスを実現するCASB(Cloud Access Security Broker)をはじめ、SWG(Secure Web Gateway)やDLP(Data Loss Prevention)などのクラウドセキュリティが担う。

「SD-WAN、ZTNA、クラウドセキュリティの3つを総称したのが、次世代のネットワークとセキュリティの考え方/フレームワークである『SASE』(Secure Access Service Edge)です。SASE化こそ、ゼロトラストによる大きな変化の核心です」

SASEによって、ネットワークとセキュリティがクラウド統合される。アクセス元は社内外で区別せず、同一の経路でデータセンターやSaaSなど社内の情報資産、およびWebなど社外にそれぞれアクセスする。異なる通信を一元的に集中管理可能とする。

このようなゼロトラストの先にあるのがBest of Breed型のゼロトラストだ。SASEに加え、SIEM(Security Information and Event Management)やUEBA(User and Entity Behavior Analytics)による高度なログ解析、SOAR (Security Orchestration, Automation and Response)による運用自動化なども用いる。また、デバイスはエンドポイントセキュリティで、ユーザーはIDaaS(Identity as a Service)でセキュリティを確保する。

「データに基づき振る舞いベースで監視・制御する現在のゼロトラストから、ユーザー/アイデンティティに基づき、リスク・信頼ベースで制御する真のゼロトラストへと中長期的に発展させていきます」

ここで松本氏はゼロトラストを踏まえ、改めてSD-WANの役割や位置づけを「SASE化に不可欠なコンポーネントという新たな価値が加わった存在です」と強調した。そして、SD-WANの導入はセキュリティのクラウド移行と同時、または移行後に実施すると述べた。

SD-BranchとAIOpsとゼロトラストを同時に実現

松本氏は今後のSD-WANに主要なトレンドに、SASE統合をはじめとする7つを挙げ、講演ではSD-BranchとAIOpsを取り上げた。前者はSD-WANとSD-LANを一元化したネットワーク、後者はAI/MLによるネットワーク運用自動化である。

マクニカネットワークスはSD-WANに黎明(れいめい)期から注力してきた実績を持ち、HPE社(2020年に傘下入りしたSilver Peak社含む)の製品・サービスを擁したソリューションを顧客に提供している。HPEでは①Unified Infrastructure、②AIOps、③ゼロトラストセキュリティの3つのソリューションを組み合わせて、「Edge Service Platform」として提供している。

SD-Branchを実現するのが①Unified Infrastructureだ。「他社との差別化要因は、ファイルサーバーやVDI通信を高速化する点、幅広いクラウドセキュリティベンダーと深く連携できる点です」。

②AIOpsについては、長年グローバルに展開してきたHPEの強みが生かされている。「HPEのネットワーク機器は世界中で様々なお客様に採用されています。それらのログなどの情報をHPEのセンター(Aruba Central )に集約し、機械学習の教師データに用います。新規のお客様はその結果を生かして、予兆検知などを導入後すぐに行えます」。

さらにSD-Branchも組み合わせて、SD-WANトンネルダウンやWi-Fiパフォーマンス低下などの異常を、WANからLANまで包括してAIで自動検出する。ログ収集やトラブルチケット生成までも自動で実施し、より高度な運用自動化に貢献する。

また、BYODやIoTが広まるなかデバイスが多様化しており、エージェントを入れられない機器が今後増え、全て安全に保つことは困難になる。HPEの③ゼロトラストセキュリティでは、その課題をRBAC(Role-Based Access Control)で解決する。例えば、あるユーザーが端末を接続すると、管理サーバー側にてユーザーIDや端末ベンダー、接続の日時やAP、認証方法などから端末を識別し、ポリシー(ロール)を適用する。

「ロールに基づきSD-WANでアクセスを制御します。これによって、従来型のVLANやIP単位ではなく、デバイスごとにユーザー/アイデンティティに基づいたアクセス制御が可能となります」

将来を見据えたゼロトラストの導入ステップ

続けて松本氏は、SD-WANおよびゼロトラスト化の例を3つのステップで解説した。最初のステップはSD-WAN化のみであり、ブレイクアウトとIaaS/PaaS簡易ダイレクト接続を行う。従来、拠点からデータセンター経由でIaaS/PaaSやクラウドサービスにアクセスしていた形式から、拠点のルーターをSilver PeakのSD-WANルーターに置き換え、特定のクラウドサービスのみブレイクアウトする。

「加えて、IaaS/PaaSに拠点から直接接続するために、仮想版のSD-WANルーターをIaaS/PaaS側に設置します。そして、拠点との間のインターネットでVPNを張ることで、セキュアに最短経路でダイレクトにアクセス可能となります」

2つ目のステップからゼロトラスト化を進める。まずはデータセンター側にもSD-WANルーターを設置し、拠点間通信を最適化する。「次にデータセンターにあるオンプレミスのセキュリティ機器をクラウドに移行します。拠点からも社外からも、全て同一のセキュリティポリシーで情報資産にアクセス可能なネットワーク構成にします」と話す松本氏。なお、先にセキュリティのクラウド化を行い、その後にSD-WANルーターを導入しても構わない。

最後のステップはより中長期的な視点に立ち、Best of Breed型ゼロトラストもしくはデバイスドリブン型ゼロトラストのいずれかに移行する。Best of Breed型は場合によっては、全通信がSASEのPOP折り返しで逼迫することや、SPOF(単一障害点)となってしまう。しかも端末数が多いと、エージェント導入が難しくなる。

「そのようなケースなら、デバイスドリブン型をおすすめします。SASEとともに、LAN側にてNAC(Network Access Control)型ソリューションを組み合わせ、拠点内の端末全てをロールごとにアクセス制御することで健全性を担保します」

最後に松本氏は「SD-Branch(SD-LAN+SD-WAN)とSASEをすべて完璧に提供・サポート可能であり、実績も豊富なベンダーはマクニカネットワークスだけです。ネットワークまわりで何かお困りごとがあれば、ぜひご相談ください」と講演を締めくくった。