SD-WANとは
SD-WAN (Software-Defined Wide Area Network)は、ネットワークをソフトウェアで制御するSDN (Software-Defined Network)の技術を使って、地理的に遠く離れた拠点やクラウドへの接続を拡張し、柔軟なネットワーク構成や通信の制御を実現するソリューションです。SD-WANは、インターネット回線やMPLS網、5G回線、仮想回線などの速度や安定性、セキュリティ、コストが異なる複数の通信経路を柔軟かつ自動的に使い分けます。その結果、世界中のさまざまな拠点にいるユーザーに、企業アプリケーションやクラウドサービス、社内リソースへの安定したアクセスが提供されるので、ユーザーは場所の違いを意識することなく作業できます。SD-WANにより、ネットワークのユーザーエクスペリエンスの向上や運用管理の負荷軽減、ネットワーク全体のコスト削減を実現できます。
具体的に「SD-WANソリューションを利用するとどのような効果を得られるべき」とされているのでしょうか。ネットワークのオープン化を目的としたユーザーコミュニティであるONUG (Open Network User Group)のSD-WANワーキンググループが「SD-WANの利用で期待される成果」として以下の10の要件を挙げているので、これが指針となるでしょう。
- 複数の通信経路のActive-Active利用
- 物理もしくは仮想で提供するCPE(SD-WANエッジ機器)
- アプリケーションやパフォーマンスに応じた通信経路の動的制御
- 回線やアプリケーション識別にもとづく通信の可視化
- 複数の通信経路の高信頼性・高回復性
- スイッチやルーターへの相互接続
- サイト、アプリケーションVPNパフォーマンスのダッシュボードとレポートの提供
- ログ転送
- ゼロタッチプロビジョニング
- FIPS140-2準拠
さらにONUGは2019年に「SD-WAN 2.0」として以下の5つの要件を追加しました。これはクラウドの利用増など、ネットワークやセキュリティ分野の世相を反映しての変更です。先の10の要件に加えたこれらの要件が、現在のSD-WAN採用により期待される効果といえます。
- インターネットブレイクアウト
- マルチクラウドへの接続
- 通信経路上でのセキュリティ検査の提供
- SD-WANとクラウド間のAPI連携
- リモートユーザーからのアクセス
パロアルトネットワークスのSD-WANソリューション
パロアルトネットワークスは本稿執筆時点で大きくわけて4つの形態のSD-WAN関連ソリューションを提供しています。次世代SD-WANとして高度な可視化や経路制御を実現可能なPrisma SD-WAN、パロアルトネットワークスの代表的な製品である次世代ファイアウォールPA-Seriesにアドオンとして追加できるPAN-OS SD-WAN、ネットワークとセキュリティの機能を包括的にクラウドから提供するSSE (Security Service Edge)ソリューションのPrisma Access、そして1つめの Prisma SD-WANと3つめのPrisma Accessを統合して利用するソリューション、Prisma SASEです。
以下、それぞれの概要を説明し、4つのソリューションの選び方を見ていきます。
Prisma SD-WAN
Prisma SD-WANは、従来のSD-WANを進化させた次世代型SD-WANソリューションです。従来のSD-WANは、SD-WANエッジがエッジ機器間でレイヤー3レベルの通信の情報(レイテンシー、パケットロス、ジッター等)を計測し、可視化や通信経路の決定を行っていました。ただしこの従来の方法には弱点があり、拠点間や拠点・データセンター間、クラウド間などの計測範囲内の回線状況は把握できるものの、データセンターやクラウドの先の状態は経路の制御に反映されません。したがって、ユーザーが業務アプリケーションを利用するさい、本当に最適な回線が選択されるとは限りません。
Prisma SD-WANの場合、IONデバイス(図1)と呼ばれるSD-WANエッジ機器がアプリケーションを識別し、そのアプリケーションに対する実際の通信の状態を監視しています。つまり、レイヤー3レベルの情報に加え、アプリケーションのセッション確立の成功や失敗の状況、サーバー応答時間や往復時間、ネットワーク転送時間など、エッジ機器とアプリケーション間のパフォーマンスなど、レイヤー7レベルの情報も詳細に計測・可視化した上で、最適な回線を選択できます。
Prisma SD-WANは、通信経路の冗長化やゼロタッチプロビジョニング、インターネットブレイクアウトにも対応しています。5G回線との直接接続が可能なモデルも提供しており、SD-WANとしても先進的で、機能が包括的です。
Prisma SD-WANは通信の制御に特化した製品、つまりアプリケーションの利用状態の可視化や経路の制御を行う製品で、次世代ファイアウォールとはOSが異なります。したがって、アンチウイルスやIPS、URLフィルター、サンドボックス、DNSセキュリティなどのセキュリティ検査の機能は提供しません。
セキュリティ検査は、パロアルトネットワークスのSSEソリューション、Prisma Accessを利用することで補完できます。Prisma Accessは、クラウド上のネットワーク機能とセキュリティ機能、つまり拠点間の接続やリモートアクセスVPNに、各種セキュリティ検査の機能を提供する製品です。Prisma AccessはPrisma SD-WANと相性がよく、Prisma SD-WANにはないセキュリティ機能を提供するほか、IaaS事業者の高速回線を利用したグローバルネットワークも提供します。これにより、専用線やMPLS網に頼らずとも、低遅延で国や大陸を超える通信を実現できます。Prisma AccessとPrisma SD-WANはクラウド上のコンソールで一元管理でき、Prisma SD-WANはCloudBladesというサービスを利用してPrisma Accessと容易に接続できるなど、運用管理面でも親和性が高い組み合わせです。
パロアルトネットワークスはPrisma SD-WANとPrisma Accessを統合した最も包括的なSASEソリューションを「Prisma SASE」として提供しています。Prisma SASEにより、SASEが備えるべきSWG、CASB、ZTNA、FWaaS、SD-WANなどの機能をワンストップで利用でき、高い信頼性とセキュリティを備えたグローバルネットワークを構築し、一元管理できます。
PAN-OS SD-WAN
パロアルトネットワークスはPrisma SD-WANのほかにPAN-OS SD-WANというソリューションも提供しています。すでに弊社のアプライアンス版次世代ファイアウォールを利用している場合、そこにThreat Prevention (脅威防御)やURL Filtering (URLフィルタリング)などのサブスクリプションをアドオンとして追加購入できますが、PAN-OS SD-WANもそうしたアドオンによるソリューションの1つです。
PAN-OS SD-WANは、PAN-OS 9.1以降のアプライアンス版・仮想版の次世代ファイアウォールで利用できます。次世代ファイアウォールをSD-WANエッジとして利用することで、ハブアンドスポーク型もしくはメッシュ型のSD-WANネットワークを構築し、レイヤー3レベルの通信データ(レイテンシー、パケットロス、ジッター)を収集・可視化し、これらのデータとアプリケーションの識別結果に基づいて、経路を動的に選択できます。さらに、Panoramaと連携すれば、ゼロタッチプロビジョニング機能も提供できます。
PAN-OS SD-WANは、既存PAN-OSの各種ネットワーク機能やセキュリティ検査機能、リモートアクセスVPN(GlobalProtect)機能をそのまま活かし、そこにアドオンを追加するだけで手軽にSD-WANを始められるソリューションです。
ただしPAN-OS SD-WANで可視化できる範囲はレイヤー3レベルの通信データです。データセンターやクラウドの先のアプリケーションの状態は経路選択には反映されません。また、可視化の範囲や経路選択のベースとなる情報はPrisma SD-WANと比べて限定的です。PAN-OS SD-WANはPrisma SD-WANのような高い可視性を備えた次世代SD-WANではなく、従来型のSD-WANソリューションです。それでも、Prisma SD-WAN単独では提供していない各種セキュリティ機能を利用できること、SD-WANも含めた設定やログ、可視化情報をPanoramaで一元管理できることなど、PAN-OS SD-WAN独自のメリットもあります。なにより、すでに利用中の次世代ファイアウォールにアドオンを追加するだけですむので、これまで通りの操作で運用できるのが大きなメリットです。
Prisma Access
Prisma Accessは、ZTNA (Zero Trust Network Access)、SWG (Secure Web Gateway)、CASB (Cloud Access Security Broker)、FWaaS(Firewall as a Service)を統合的に提供するSSEソリューションです。クラウド上でサービスとして提供されており、2種類の接続方式を利用します。拠点に設置したIPsec装置とPrisma AccessをIPsecトンネルで接続して利用するリモートネットワーク接続と、PCやスマートフォンなどのモバイル端末にインストールしたエージェントで接続するモバイルユーザー接続です。これにより、本社・支社・工場・店舗・クラウドなどの各拠点と、出社・リモートワーク・外出・出張などさまざまな場所の社員のリモート端末とを、Prisma Accessを通じて相互に接続し、各種セキュリティ検査やレイヤー7セキュリティポリシーによる制御を行います。これにより、世界中のあらゆる拠点とモバイル端末が単一ネットワーク内に存在しているかのように安全に接続されます。
ただし、Prisma Accessは厳密にはSD-WANソリューションではありません。クラウド提供型のサービスなので、一般的なSD-WANソリューションが提供するSD-WANエッジ機器は提供されないからです。たとえば、アプリケーションや回線品質にもとづく動的な経路制御、ゼロタッチプロビジョニングなど、SD-WANエッジ機器が負うべき制御は行われません。IPsecトンネルの接続状況や利用帯域など、最低限の可視化は実現できますが、Prisma SD-WANに比べると、可視化できる範囲は狭くなります。
では Prisma Accessはどのようなお客様に向いているのでしょうか。
「SD-WANとは」のセクションでもお伝えしたように、SD-WANソリューションは10個(+5個)の要件を満たす必要があります。ですが「一部の要件だけあればよい」というお客様もじつは少なくありません。たとえば、日本国内で提供されている回線は諸外国と比べておおむね高品質なので、通信経路冗長化などの耐障害性が高ければ、アプリケーションや回線品質による動的経路制御の効果は高くありません。さらに、SD-WANエッジ機器で可視化を行わなくても、Prisma AccessのDEM (デジタル エクスペリエンス管理)オプションを使えば、端末にインストールしたエージェントが回線やアプリケーションの品質可視化を行ってくれるため、回線品質の可視化を代替できます。Prisma Accessへのリモートネットワーク接続用に拠点に設置するエッジ機器は専用機器でなくてもよいため、拠点に導入済みのIPsec装置をそのまま利用できる柔軟性もメリットです。そしてPrisma Access単体でも、拠点間接続の冗長化やセキュリティ検査、国を超えた高速回線接続など、さまざまな効果を得られます。
Prisma SD-WANのセクションで紹介したように、Prisma AccessとPrisma SD-WANを組み合わせて利用するPrisma SASEであれば、たしかに最も包括的で効果の高いSD-WANを実現できます。エッジ機器による高度な通信の可視化や経路制御、ゼロタッチプロビジョニング、セキュリティ検査、リモートユーザー接続など、すべての機能を最大限に活かせる環境や要件があれば、高い可視性と最適な経路制御を実現するPrisma SASEは最善の選択肢といえます。ですが、必ずしもSD-WANの満たすべき要件すべてを必要としていないお客様であれば、Prisma Access単体でもじゅうぶん効果的なネットワークを実現できるでしょう。
要件に応じたSD-WANソリューションの選び方
結局のところ、弊社製品で SD-WAN の導入を検討する場合は何を基準に選べばよいのでしょうか。前のセクションでは弊社のSD-WANソリューションを個別に紹介しましたので、主な違いがわかりやすいよう、以下の表に整理しました。
厳密には細かい差異までじっくり考慮すべきですが、大まかな目安として以下の 4 形態とその要件を考えるとよいでしょう。ここでは上記3つに加え、Prisma SD-WANとPrisma Accessとを統合して利用するPrisma SASEを加えた4つについて、最適なソリューションを選択するポイントをまとめます。
Prisma SD-WANが最適なお客様
- 最高の可視性と最善の経路制御を求めている
- 多数の拠点が既に存在するか、今後も拠点の増加が予定されている
- 次世代ファイアウォールやUTMなどセキュリティ検査のソリューションを既に各拠点に導入済みか、データセンター集約型のネットワーク構成を採用している
- クラウド管理版のPrisma Accessを既に導入済みか、将来的にPrisma Accessの利用を検討している
PAN-OS SD-WANが最適なお客様
- 最低限の可視化と経路制御を行えればよい
- 次世代ファイアウォールを既に各拠点に設置している
- 単一拠点内の通信の可視化や制御を行いたい(マイクロセグメンテーション)
- Panoramaを既に利用しており、Panoramaで一元管理したい
Prisma Accessが最適なお客様
- 端末単位での可視化が行えればよい
- 動的な経路制御は不要で、通信経路の冗長化が行えればよい
- 将来的にSD-WANの利用を検討している
- 国をまたぐ通信の高速化が必要
- 統合的なセキュリティ検査の機能が必要
- 既存のIPsec装置を活用したい
Prisma SASE(Prisma SD-WAN+Prisma Access)が最適なお客様
- 最高の可視性と最善の経路制御を求めている
- 部分更改ではなく、ネットワーク全体の刷新、再設計を計画している
- 国をまたぐ通信の高速化が必要
- 統合的なセキュリティ検査の機能が必要
- 既に多数の拠点が存在するか、今後拠点の増加が予定されている
- Prisma Accessのクラウド管理版を既に利用しており、一元管理を行いたい
以上を弊社のSD-WANソリューション選びの目安として使っていただければと思います。「もっと細かい差異まで知りたい」、「現在と将来でかなり要件が違うことになりそう」など、この条件だけでは選びきれない場合は、パートナー様や弊社までご相談いただくこともできます。
さいごに
本稿では、弊社の提供するさまざまなSD-WANソリューション、それらの違い、選択上のポイントをご紹介しました。ネットワークにおけるユーザエクスペリエンス向上、運用負荷軽減、コスト削減などを目的にSD-WAN導入を検討されている場合、ぜひ本稿を参考にしてください。
今回は弊社の提供するソリューションに絞ってご紹介しましたが、SD-WANソリューションを提供するベンダーは多数存在しますので、それらのソリューションとの比較資料としてもお役立ていただければ幸いです。
Prisma SD-WANについてさらに詳しくは、弊社公式サイトのPrisma SD-WANの製品紹介ページや次世代SD-WANの解説ページを合わせてご参照ください。また、Prisma SASEの紹介はこちらを、PAN-OS SD-WANの紹介についてはこちらを、Prisma Accessの紹介についてはこちらもご参照ください。
SD-WAN技術そのものについてのご質問も大歓迎です。お気軽にお尋ねください。