クラウドファースト時代にネックになる通信経路、SD-WANが課題解決:SD-WANの今が分かった
専用線とデータセンターを前提とした企業のWANが姿を変えようとしている。きっかけはクラウドサービス(SaaS)の浸透と、モバイル端末などを利用したインターネットアクセスだ。ネットワーク構成を幾度となく素早く変更しなければならない場面が多発している。このような課題に役立つのがSD-WANだ。Dell EMCが主催し、2019年4月19日に開催したセミナーでは、Dell EMCの他、SD-WANソリューションに定評があるVMwareやVersa Networks、トレンドマイクロが登壇し、SD-WANの最新動向や各社のソリューションについて語った。
ローカルブレイクアウトを実現しやすいSD-WAN
企業の情報システムの設計や移行を検討するとき、まずクラウドサービスを第一に検討する「クラウドファースト」は、もはや当たり前ともいえる昨今、再度注目の的となっているのが「SD-WAN」(ソフトウェア定義型の広域ネットワーク)だ。
複数の拠点がある企業では従来、一度データセンターにアクセスを集約してからインターネットに接続するという構成を採っており、セキュリティポリシーを一元的に適用していた。しかし、業務アプリケーションやファイル共有、ビデオ会議など、あらゆるサービスがクラウドサービス(SaaS)として提供されるように変化した結果、データセンターを経由させてクラウドサービスにアクセスする構成では、膨大なトランザクションへの対応や回線コストの負担がのしかかり、アクセス効率も悪くなる。
この結果、クラウドサービスにアクセスする際には、セキュリティポリシーを適用した上で拠点から直接インターネットに抜ける「ローカルブレイクアウト」と呼ばれる手法が注目を集めている。このようなニーズを実現するためにも、WANをソフトウェア化して統合管理し、運用の負荷も減らしたい。このような要望にうまくはまるのが、SD-WANだ。
Dell TechnologiesのSD-WAN
最初に登壇したのはDell TechnologiesでGlobal Transformation Office Client Principalを務める重松隆之氏。SD-WAN市場をリードするVeloCloud Networks(VMwareが買収)やVersa Networks、Viptela、Nuage Networksなど、2012年に創業が集中し、2014年に開催された展示会で一気にSD-WANが注目を集め、北米で採用企業が増えていった経緯など、SD-WANの歴史をひも解くことから始めた。
「北米では専用線が主流で、通信コスト削減に直結するSD-WANの提案がはまった」と説明する重松氏は、日本では低コストかつ高品質な回線が利用できるため、コスト削減だけではSD-WANの提案があまり響かなかったと述べた。
だが、クラウド化やIoT採用の波を受けた後は状況が変わってきたという。複数の回線を組み合わせたハイブリッドWANが構築しやすいことや、ゼロタッチプロビジョニング、アプリケーションの種類を識別した制御、マルチテナント対応、直接インターネットに抜けるローカルブレイクアウトなど、SD-WANならではのメリットに再度スポットライトが当たり、採用が本格化しているという。
Dell Technologiesは、企業のユースケースに合わせて、必要なネットワーク機器を汎用プラットフォーム上で提供する「オープンネットワーキング」を提唱しており、その取り組みの中で3系列のハードウェア「Virtual Edge Platform(VEP) 1400/4600」「インテル® Xeon® スケーラブル・プロセッサー搭載PowerEdge R640」を提供する。VEP 1400は2019年内提供開始予定で、通常のデスクトップ環境にそのまま配置、自動設定ですぐにSD-WANが利用できるようになる。
VEP上では、「VMware SD-WAN by VeloCloud」「Versa NetworksのSD-WANソフトウェア」「Trend Micro Virtual Network Function Suite」の全てが動作し、エッジネットワークに最適なプラットフォームだとした。
同社自身もVEPシリーズを導入している。1万人以上の社員を抱える拠点が複数ある同社では、18カ月ごとに倍増するWANトラフィックに悩まされていた。VEPシリーズでSD-WAN(VMware SD-WAN by VeloCloud)を採用したところ、プロビジョニングの自動化やSLA(Service Level Agreement)監視で運用を大幅に効率化できたという。
VMware SD-WAN by VeloCloudの実力
ヴイエムウェアでソリューションビジネス本部 ネットワーク&セキュリティ技術部 リードシステムズエンジニアを務める濤川慎一氏が次に登壇し、SD-WANに対するニーズが高まった背景として、拠点に配置する「ブランチルーター」の置き換えを挙げた。
クラウドファーストな現代においてはブランチルーターでの管理・運用には課題がある。一般にはネットワークエンジニアがコマンドライン(CLI)操作によってセットアップを進めてきたものの、この手法では開設までに時間やコストがかかり、素早く変更の多い展開が求められるクラウド時代にはそぐわない。また、多数の拠点になればなるほど手間とコストは比例して上昇していく。これまではネットワークエンジニアを現場に派遣するコストや、人的リソースに限界があるために管理しきれず、可視性や統制を得られない拠点が出てくることも珍しくなかった。こうした課題を解決するために次世代のブランチルーターとして期待が高まっているのが、SD-WANだ。
SD-WANを採用すると、新設の拠点に対してネットワークエンジニアの手を介することなく、ものの数分でプロビジョニングが可能になる。拠点数や規模を問わず全てを簡潔に接続し、可視性と一括制御を提供、閉域網からブロードバンドインターネット、およびクラウドまで積極的に活用できる基盤を構築できる。「この20年間、技術刷新がなく連綿と続いてきたブランチルーターに、初めてテクノロジーのリフレッシュメントが発生している」と述べた濤川氏は、新たな時代の始まりに立ち会う興奮を会場と分かち合った。
ヴイエムウェアは、「エッジ」「オーケストレーター」「コントローラー」の3層で構成する次世代WANソリューション「VMware SD-WAN by VeloCloud」を提供する。エッジとはSD-WANを構成する次世代型ブランチルーターのことで、技術者が現場に出向く必要が全くなくゼロタッチで拠点に導入でき、SD-WANに素早く組み込むことが可能な専用ハードウェア、およびクラウドや仮想基盤上で動作するソフトウェアインスタンスの総称だ。
エッジを一元管理するのが、オーケストレーターとコントローラーで、クラウドベースのマネジメントポータルから、ビジネスポリシーに基づいてアプリケーションを制御し、設定と監視を実施することが可能になる。さらには別途オプションで、VMwareもしくはTier-1/Tier-2のサービス事業者によるフルマネージドサービスのクラウド接続用のアクセスポイント(同社はゲートウェイと呼ぶ)も用意する。特にSaaSアプリケーションに対して高い通信品質を求めるユーザーに向くという。
エッジ間は単純に暗号化したVPNでつなぐだけではなく、オーバーレイネットワークによる物理環境の抽象化を行う。物理的な環境制約に縛られずに拠点間をソフトウェアでつなぐことで、可視性と接続性を提供し、必要に応じて環境補正機能などを駆使しながら、クラウドアプリケーションに最適化されたWANを構築できる。もちろんマルチクラウド対応で、Microsoft Azure、Google Cloud、Amazon Web Services(AWS)などの主要なクラウドとの容易な接続と管理の統合も可能だ。
バックホール接続の課題については、指定したアプリケーションだけをデータセンターではなく拠点から直接インターネットに接続するローカルブレイクアウト、もしくは前述のゲートウェイ経由の通信とさせることで解決できる。「VMwareでは3000以上のアプリケーションを自動識別でき、バックホール接続によるボトルネックのない柔軟な接続環境を簡単に実現できる」と、濤川氏は強みの一つを述べた。
既存資産を活用可能なVersa Networksのソリューション
ローカルブレイクアウトの課題は、Versa Networksでリージョナルセールスディレクターを務める中島隆行氏も強調した。Versa Networksは2018年から国内展開を開始したばかりだが、2012年創立組の一社だ。同社のSD-WANは既に700以上の大企業で導入されるなど、実績も豊富だという。国内のガートナーの調査でも、3種類の典型的なユースケースではトップ3に入ることをアピールした。具体的には、50拠点未満で国内WANを利用する中規模ネットワークと、250から1000拠点でグローバルWANを利用する大規模ネットワーク、数百から数千拠点を抱えるガソリンスタンドや銀行などのネットワークだ。
中島氏が問題視したのは、データセンターにプロキシを置き、そこを通らないと拠点がインターネットにアクセスできないハブ&スポークの構成に企業が縛られている点だ。Office 365をはじめ、利用するクラウドサービスの数が増加し、セッション数が倍増する中で、ハブ&スポークのトポロジーには破綻が見えている。ローカルブレイクアウトを実現するには、この縛りを外す必要があるものの、セキュリティポリシーの変更が必要なことなどから多くの企業ではすぐにアーキテクチャを変更することが難しい。「拡張性や柔軟性を高める上でも、ハブのないWANを目指すべきだ」と主張する中島氏も、「無理なく転換できるようなソリューションを選ぶことが大切だ」と述べた。
Versa NetworksのSD-WANは、データセンターのプロキシを残しながら、特定のドメインをローカルブレイクアウトできる仕組みを提供する。
加えて、オーバーレイネットワーク内で最適な経路が利用できるオプションや、TCPフローを解析して性能を比較、ダイナミックに性能の高い経路を自動選択する機能も提供。結果的に既存のプロキシの負荷をオフロードでき、運用を変更することなく導入できるとした。もちろん、クラウドプロキシと併用することも可能だ。セキュリティでは、IPsec(Security Architecture for Internet Protocol)、次世代ファイアウォール(NGFW)、DoS(Denial of Service Attack)防御などUTM(Unified Threat Management:統合脅威管理)の機能を全て実装。機能を集約することで、運用対象の機器を削減して効率化を図ることが可能だ。
Dell EMCのSD-WANエッジソリューション「Dell EMC Virtual Edge Platform」は、Versa NetworksのSD-WANソフトウェアをサポートしており、SD-WANとセキュリティを統合管理できるメリットは大きい。
トレンドマイクロのハイブリッドセキュリティソリューション
最後に登壇したのは、トレンドマイクロでIoTテレコムビジネス開発部 マネージャーを務める深川佳公氏だ。企業のネットワークはこれまで、使用できるデバイスやアプリケーションが限定的であり、通信経路も固定化されていて、強固なポリシーに基づいて運用される、用途の限られた世界だった。しかし、クラウドやIoTの利活用が広がり、SD-WANによるネットワーク最適化の方向へ進む現在、セキュリティもこうした変化に合わせる必要があると指摘。インターネットとの境界やエンドポイントを守るという発想から、SD-WAN内にセキュリティ機能を盛り込み、動的に分散連携可能なソリューションへと進化する必要があるとした。
トレンドマイクロのSD-WANに最適なハイブリッドセキュリティソリューション「Trend Micro Virtual Network Function Suite」は、こうした新たなセキュリティ要件に応じることが可能だ。汎用ハードウェア上の仮想化レイヤーにインスタンスを立てるイメージであり、侵入防御やWeb脅威対策、アプリケーション制御などのベースとして実績のあるDeep Packet Inspection技術を採用した。スループットなど環境に応じて必要な機能を適宜有効にしながら、最適なセキュリティ環境を構築できるという。
「例えば、拠点側ではアプリケーション制御やURLフィルタリング、デバイス特定などの機能に絞って設定し、データセンターやクラウド側では全拠点に必要なセキュリティ機能を設定。柔軟性の高いハイブリッドセキュリティ環境も実現できる」(深川氏)
2018年11月、インターネットイニシアティブ(IIJ)は、IoTの導入が進む製造業での採用を想定したポリシーベースのネットワークセキュリティ対策を実装するソフトウェア「FSEG(エフセグ)」を開発、発表している。同ソリューションのセキュリティ機能は、Trend Micro Virtual Network Function Suiteを採用したものだ。
「究極は、水道のように簡単、安全で意識せずに使える、まるで水道のようなセキュリティ。これを目標に今後も取り組んでいきたい」(深川氏)
今回のセミナーでは通信経路の課題解決に役立つSD-WANに対して、各社がどのような取り組みを進めているのかが、分かった。Dell EMC Virtual Edge Platformは、VMware SD-WAN by VeloCloud、Versa NetworksのSD-WANソフトウェア、Trend Micro Virtual Network Function Suiteの全てが動き、エッジネットワークに最適なプラットフォームといえるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
関連リンク
提供:デル株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年6月27日