9月18日に開催されたマイナビ主催のセミナー「複雑化したネットワーク管理からの解放~なによりもスピードが求められる今、なぜSD-WANを検討すべきなのか~」に、マクニカネットワークス 第1営業統括部 第2営業部 第1課の小松恭兵氏が登壇。「クラウド時代に不可欠な"正しい"インターネットブレイクアウトとは?」と題して講演した。

  • マクニカネットワークス 第1営業統括部 第2営業部 第1課 小松恭兵氏

    マクニカネットワークス 第1営業統括部 第2営業部 第1課 小松恭兵氏

SD-WAN製品を国内でいち早く展開してきたマクニカネットワークス

「世界の最新テクノロジーを提供し続ける業界のTop Runnerとしてお客様のMost Trusted Partnerでありつづけます」をミッションに、さまざまなIT製品の国内販売を手がけるマクニカネットワークス。SD-WAN製品についても、Viptela、Citrix、Cato、Silver Peak、Arubaといったブランドを他に先駆けて提供してきた。

小松氏はまず、SD-WAN市場の動向についてIDC Japanの最新調査結果を挙げながら「2018年に約18億円だった市場は2019年に約54億円へと大きく成長し、さらに2023年には346億円規模に拡大する見込みです。この数字からも、SD-WAN市場は非常に盛り上がっている状況が分かります」と述べた。

次にSD-WANで何ができるかについて、小松氏は4つのポイントを挙げた。

1つめは、ルータ設定がゼロタッチでできること。電源を指すだけで設定が自動的にダウンロードされるので拠点にいかなくても展開ができるというメリットがある。

2つめは、ネットワークを集中管理できること。1つの管理コンソールから、各拠点ルータの所在や動作状況を一元的に管理できる。

3つめは、アプリケーションレベルでの経路制御が可能なこと。L3ネットワークではIPアドレスなどで経路を制御していたが「Office 365」や「Cisco WebEX」などのアプリを認識して、アプリごとに経路を振り分けることができる。

4つめは、インターネットを積極活用できること。通信回線をみて良い状態の回線に切り替えたり、WAN最適化機能を使って通信を高速化したり安定化したりできる。インターネット回線を専用線に近い品質にまで上げることができる。

WAN増強やWAN高速化では対応できない課題も

こうしたメリットのなかで小松氏がフォーカスして解説したのがアプリレベルの経路制御だ。

「弊社では東京と大阪で毎月SD-WANのセミナーを実施しています。そのなかで実施したアンケートで『SD-WANに期待する導入メリットは何ですか』と聞いたところ、圧倒的に多かったのは『クラウドへの接続』でした。Office 365やG Suite、Boxといったクラウドサービスを利用するとネットワークへの負荷がかかりますが、その対策としてSD-WANが有効だと考えている方が多いということです」(小松氏)

SD-WANでのクラウドへの接続の対策というのは、いわゆる「インターネットブレイクアウト」のことだ。従来のWAN構成でのインターネット接続では、インターネットゲートウェイがデータセンタにしかなく、すべてのクラウド通信がバックホール(迂回)になっていた。

そのため、SaaS導入時には、WANの帯域が増えたり、セッション数が増えたりしてデータセンタ内の機器に大きな負荷がかかっていた。また、インターネットの出口に遠い拠点はネットワーク遅延によりユーザーエクスペリエンスが低下したり、セキュリティポリシーの統一が難しかったりするなどの課題があった。

従来は、こうした課題に対し、WAN回線の増強やADC導入、WAN高速化、ExpressRouteなどの専用線の導入などで対策していたが、コストや管理の手間などが課題になりやすかった。そこで期待を集めているのがインターネットブレイクアウトだ。

「インターネットブレイクアウトとは、SD-WANがアプリケーションを認識し、特定の通信のみを拠点から直接インターネットへ接続するもの。WAN回線の増速やプロキシサーバ、ファイアウォールのアップグレードも不要で、WAN高速化なども機能に包含されています。SaaS対策で特に有効な対策として大きな期待が寄せられているのです」(小松氏)

ポイントはファーストパケット問題、セキュリティ、プロキシ構成

小松氏によると、インターネットブレイクアウトで考えるポイントは3つある。「ファーストパケット問題」「セキュリティ」「プロキシ構成」だ。

まず、ファーストパケット問題は、多くのSD-WAN製品ではDeep Packet Inspection(DPI)のエンジンを使いアプリケーションを認識しているが、仕組み上最初に送信するパケットでアプリケーションを認識することができない。アプリケーションを認識できないと、ファーストパケットがデータセンタ側へ通信されてしまうだけでなく、仮に2パケット目からアプリケーションを認識し、インターネットブレイクアウトを実施しようとしても、送信元IPが変わるため通信自体が成り立たなかったり、アプリケーション側で不正アクセスとみなされパケットがドロップされたりするなど、インターネットブレイクアウトが実現できない。

「弊社では複数のSD-WAN製品を取り扱ってきましたが、アプリケーションを認識するということは非常に難しい技術です。ファーストパケット問題と共に、大手のクラウドサービスは数百から数千のIPアドレスを持ち日々更新されるためSD-WAN側で自動追従する必要があります。そのためDPIの仕組みだけでは"正しい"インターネットブレイクアウトが難しいのです」(小松氏)

2つめのセキュリティは、インターネットブレイクアウトは拠点から直接インターネットへアクセスするが、そのアクセス時のセキュリティの考え方についてだ。

「特定のSaaSのみに限定したインターネットブレイクアウトの場合、正しいアプリを認識することもセキュリティの一つになります。実際にUTMやプロキシを経由せずに、直接SaaSへアクセスさせている例もあります」(小松氏)

3つめのプロキシ構成は、PACファイルなどで明示的にプロキシを指定するような運用では、インターネットブレイクアウトには適さないことだ。そのため、オンプレプロキシからZscalerやSymantec WSSなどのクラウドプロキシサービスへの移行が有効だという。「クラウドプロキシを利用することでPAC運用の手間からも解放され、さらにより細かい制御を実現したり、グローバルでセキュリティポリシーを統一できたりするなど導入のメリットが非常に大きいのです」

こうした課題に対応するためにマクニカネットワークスが提案しているのが、「DPIに依存しないアプリ認識の仕組み」「正確なアプリケーション認識」「クラウドプロキシ」に対応できるSD-WAN製品の選定である。

クラウド時代に生きる、SD-WAN製品「Silver Peak」の強み

マクニカネットワークスでは、「インターネットブレイクアウトのためのSD-WAN」と高らかなキャッチコピーを掲げたSilver Peak Systems社のSD-WANを提供。Silver Peak Systems社は、15年に及ぶWAN最適化/高速化ベンダーとしての実績を持ち、ワールドワイドで1,500社以上にSD-WAN製品を提供。特徴はDPIに頼らない「Fast Packet iQ(特許技術)」による正確なブレイクアウトにある。

あるシステムインテグレータは、Silver PeakにSymantec WSSを組み合わせて導入することで、WANを取り巻く課題を解消しながら、働き方改革実現のためのセキュアなワークスタイルを実現したという。

また、あるWebサービス事業者は、Office 365導入にともなってセッション数の増加や回線帯域が圧迫に直面し、業務に支障がでるようになった。そこでSilver Peakを採用してインターネットブレイクアウトが可能なネットワーク環境に移行。

「ポイントは対向でSD-WANルータを設置せずとも、既存ルータ配下のみにSilver Peakを置くことでインターネットブレイクアウトを実現している点。WANの見直しは時間がかかるが、この構成であれば非常に簡単に導入することができます」

  • ※インターネットブレイクアウト専用用途での実績も多いという

    ※インターネットブレイクアウト専用用途での実績も多いという

「ここ数年でSaaSの全社導入が爆発的に進んでいます。SaaS導入にともなうトラフィックやセッション数の増加対策手段としてインターネットブレイクアウトを導入される企業が増加しています。その際には、ファーストパケット問題、セキュリティ、プロキシの構成の3つに注意し、"正しい"インターネットブレイクアウトが実現できるSD-WANを導入していただければと思います」(小松氏)

マクニカネットワークスではSilver Peak Systems社のSD-WANセミナーを実施中
https://www.macnica.net/silverpeak/seminar_03.html/

[PR]提供: マクニカネットワークス