限界に達した従来型の広域ネットワーク、「コロナ禍で顕在化した変化」にどう対応するゼロトラスト、SASEに対応するために

企業ITで、今最も緊急を要する課題の一つに数えられるのがネットワークだ。これまでの広域ネットワークの構築、運用手法は限界に達した。では、企業は広域網を根本的に作り替えなければいけないのか。少しずつ新しい仕組みに移行していく術はないのか。

» 2021年12月23日 10時00分 公開
[PR/@IT]
PR

 リモートワークやクラウドの利用が拡大するなか、ネットワークの見直しを迫られるケースが増えてきた。

 従来の企業ネットワークでは、業務アプリケーションやファイルサーバなどを全社データセンターに集約し、他のオフィス拠点からIP-VPNや広域イーサネットなどの閉域ネットワークサービスで接続して利用するという形が一般的だった。社員が社外からクラウドのアプリケーションを利用する場合も、PCやモバイル端末からまず本社やデータセンターのルーター(リモートアクセスサーバ)にVPN接続し、ここからインターネットに抜ける構成をとってきた。

 だが、クラウドサービスの利用やリモートワークが増えたことで、2つのボトルネックが顕在化してきた。1つは各地の拠点と本社との間で閉域網が帯域不足になること、もう1つは全社データセンターのインターネット回線への集中だ。

 「コロナ禍が沈静化すれば、リモートワークが減って問題が解決する」というわけではない。ネットワークの使い方が急速な変化を続けることで、これまでの企業広域網は時代遅れになりつつある。

日本ヒューレット・パッカード Aruba事業統括本部 技術本部 コンサルティングシステムエンジニア 横山晴庸氏

 日本ヒューレット・パッカード(HPE)の横山晴庸氏(Aruba事業統括本部 技術本部 コンサルティングシステムエンジニア)は、現在多くの企業が抱えているネットワークの課題についてこう説明する。

 「SaaSの利用が増加してインターネット回線が逼迫(ひっぱく)し、良好なパフォーマンスを得られなかったり、Web会議では回線帯域が不十分なために、ビデオをオンにせずに利用していたりと、ネットワークに何らかのトラブルを抱えながら運用している企業が増えています。回線や帯域を増強しようにも、通信事業者の対応に時間がかかったり、納期が遅れたりします。通信で問題が発生している場合は原因特定が困難ですし、今後どの程度増強すれば業務に支障が出なくなるか分からないというケースもあります。拠点が分散しているため、ルーターなどのWAN機器を一度に入れ替えることもできず、プロジェクトに1〜2年かかるケースも多いのが現状です」(横山氏)

 こうしたネットワークの課題は、セキュリティの在り方を見直す要因にもなっている。ネットワークに境界を設けて脅威に対抗する境界防御型のアプローチでは十分なセキュリティを担保することが難しくなり、「ゼロトラスト」や「SASE(Secure Access Service Edge)」に代表される新しいアプローチヘの移行が必要になってきた。

 「SASEなどのセキュリティフレームワークに対応するうえでも、ネットワークを新しい形に作り替えていくことが求められてきました。その第一歩となるのが、物理回線サービスを機動的かつ柔軟に使い分け、統合的に管理できるようにするSD-WAN(Software Defined WAN)です」(横山氏)

脚光を浴びるSD-WAN、SASEを実現するための最初の一歩としても期待

 SD-WANは、コロナ禍でリモートワークを主体にした働き方が広がるなかで活用が進んでいる。だが、横山氏によると、これはコロナ禍のための一時的な対策ではなく、今後の企業ネットワークをサステイナブルなものに変化させていく技術として活用すべきだという。

 「閉域ネットワークサービスは回線費用が高価ですし、構成を柔軟に変更することは困難です。そこで、全社データセンターと拠点間の接続に閉域網とインターネット回線を併用し、クリティカルなアプリを閉域網で、帯域を消費しやすいクラウドサービスなどをインターネット回線でといったように使い分けるようにします。これにより、ネットワークの安定性と品質を維持しながら、インターネット回線の機動性を生かすことで、将来を見据えた拡張性も確保できるようになります。その中核技術となるのがSD-WANなのです」(横山氏)

 とはいえ、SD-WANソリューションを導入しさえすれば、今日のネットワーク課題やセキュリティ課題が全て解決するわけではない。アプリケーションやユーザー層にひも付けてローカルブレークアウトしたり、閉域網とインターネットを併用したりといった細かなニーズに対応していく必要がある。

 また、SASEのようなセキュリティ環境を作り上げていくためには、クラウド型のセキュリティサービスなどと柔軟に連携する必要がある。

 さらに、ITシステムが複雑化し、慢性的な人手不足で忙しいIT部門担当者の運用負荷を下げる仕組みも重要だ。各拠点のWAN装置(エッジルーター)についても、いわゆる「ゼロタッチ」の初期導入や優れたグラフィカルインタフェース(GUI)を備えた高い運用管理性が求められる。

 「これらの特徴を兼ね備えたSD-WAN製品が『Aruba EdgeConnect SD-WANエッジプラットフォーム』(以下、Aruba EdgeConnect)です。SD-WANのリーダー企業だったSilver PeakをHPEが買収し、Arubaの認証製品や他社のクラウド型セキュリティサービスと柔軟に連携できるソリューションとして提供するものです」(横山氏)

SD-WAN選びで注目すべきは「可視化機能」と「連携機能」

 Aruba EdgeConnectは、WANエッジルーターの「EdgeConnect」、コントローラー(ダッシュボード)の「Orchestrator」、WAN最適化機能の「Boost」を基本として構成する。EdgeConnectを各拠点に設置し、Orchestratorで全てのネットワークを統合管理するというイメージだ。WANエッジルーターは、仮想アプライアンスとしてAmazon Web Services(AWS)やMicrosoft Azure、Google Cloud Platform(GCP)などのクラウドにも簡単に展開できる。これにより、クラウドへのアクセスを含めたネットワーク管理が可能だ。

 例えば、ローカルブレークアウト機能では、SD-WAN製品で一般的に見られるDPI(Deep Packet Inspection)ではなく独自のパケット分析を行うことで、特定のアプリケーションを正確にブレークアウトさせることができる。そして大容量のNAT(Network Address Translation)に対応しているため、大規模拠点のブレークアウトに対応できる。また、複数回線を束ねるボンディング機能では、複数回線間に通信をパケット単位で分散でき、さまざまな条件を設定することで各回線を無駄なく使える。

インターネットブレークアウトへのDPIの適用は、ベストな手法ではない(提供:HPE)

 「回線ごとにアプリケーションを指定して帯域を制御することができます。クラウド移行のために大量のデータを送信しているときに、重要なWeb会議で遅延が発生することがないように帯域を制御するといったことが可能です。複雑な設定をする必要はなく、特別なノウハウがなくてもGUIで簡単に運用できます」(横山氏)

 他にもさまざまな機能を提供するが、なかでも2大特徴といえるのが「可視化機能」と「連携機能」だ。

レイヤー4レベルで通信の詳細をリアルタイムに可視化

 まず「可視化機能」は、統計データやログデータ、設定データ、アプリケーションに関するデータなど膨大なデータを収集・分析し、ダッシュボード上で、ネットワークの詳細な状況を一元的に可視化する機能のことだ。

 「取得できる情報の多さは、SD-WANにおいてトップクラスだと自負しています。レイヤー4レベルで通信をリアルタイムに可視化することができますし、ダッシュボードからはアプリケーション単位で回線利用の量などを簡単に把握できます。また、クラウドサービスのIPアドレスなどは日々アップデートされますが、それらの情報もHPEが運営する専用データベースに蓄積され、迅速に反映されます」(横山氏)

Arubaネットワーク製品やクラウドセキュリティ製品とAPI連携し、SASEをスムーズに実現

ユーザーのアプリケーション利用情報で、きめ細かな制御が可能に

 もう1つの2大特徴である「連携機能」では、Aruba製品の認証サーバから認証情報を取得し、EdgeConnectで付加情報として活用することができる。

ユーザー名や機器情報を取り込むと、きめ細かく正確な通信制御ができる(提供:HPE)

 「SD-WAN単体では、IPアドレスやアプリケーション、通信量の監視しかできませんが、認証情報を付加することで、ユーザーのアプリケーション利用をリアルタイムに把握できるようになります。これにより、ネットワーク上のどのアプリケーションでトラブルが起こっているかを素早く把握できるようになり、きめ細かな対応ができるのです」(横山氏)

 さらに連携機能では、SASEを実現するうえで重要になる機能としてAPIを使ったパートナーソリューションとの連携を実現している。具体的には、クラウドセキュリティ製品の「Zscaler Internet Access」「Netskope」「Check Point CloudGuard Connect」などと連携し、SASE実現に必要となるWebプロキシやファイアウォール、マルウェア対策、データ漏えい対策などを提供する。

 連携できるクラウドサービスとしてはネットワーク管理サービスもある。例えば「AWS Transit Gateway Network Manager」と連携して、オンプレミスとAWSの複数VPC(Virtual Private Cloud)を容易に接続することが可能だ。

Orchestratorから簡単な設定でクラウドと連携できる(提供:HPE)

 「自社に合ったクラウドセキュリティ製品を選んでいただければ、それらの製品に対して簡単にトンネルを張り、SASE構成を作ることができます。セキュリティ脅威は日々変化しており、今後、SASEに求められる機能も変わってくることが想定されます。そのようなときもAPI連携を通じてどんな製品とも連携して時代にあったセキュリティを提供していくことができます。Aruba製品とのAPI連携も今のところ認証サーバだけですが、今後さまざまな機能と連携していく予定です」(横山氏)

 昨今のネットワークやセキュリティに求められているのは柔軟性、機動性そして拡張性だ。既存のITインフラやセキュリティのアーキテクチャを一気に変えることは、現実的ではない。だが、SD-WANをベースにした新しいネットワーク管理の仕組みを作り、そのうえでSASE環境を構成していくことは、多くの企業にとってクラウドシフトの現実的なアプローチになるはずだ。

Aruba EdgeConnect SD-WAN関連ワークショップ

Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本ヒューレット・パッカード合同会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2022年1月31日

関連ワークショップ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。