ネットワーキングの未来
NaaSとSASEを活用した柔軟性と安全性
企業が柔軟であるためにネットワークの最新化は不可欠
従来の企業型ネットワークは物理的なオフィスとデータセンターという融通の利かない制約のもとに設計されたものでした。企業は長年にわたり、オフィスのロケーションに接続するために、マルチプロトコルラベルスイッチング(MPLS)のようなソリューションに依存し、その一方で、雑多で複�雑なセキュリティツールを何層にも積み重ねてきました。さらに、クラウド対応でない従来のネットワーク接続ソリューションが、アーキテクチャーを縛るベンダーロックインやボトルネックを作り出してきました。
そういった複雑さに加え、多くの企業は物理的オフィスが常にデフォルトのまま変わらないという前提で、複数年にわたるネットワークサービスの契約を交わしてきました。働き方が変化している現状、企業はすぐにでも順応できる態勢を整えるためにネットワークの最新化に目を向けるべきです。
柔軟な最新ネットワークとは、次に示す3つの主要な特性で定義できます。
ネットワークの順応性。簡単に容量を増減できる能力。企業はこれによってビジネスニーズの変化に合わせて迅速に対応できます。
内蔵された保護。ご使用のネットワークインフラストラクチャに一体型のセキュリティを組み込むことで、セキュリティの隔たりやパフォーマンスの低下など、何重にも重ねたセキュリティツールに生じる潜在的な危険を回避できます。
クラウド対応。アプリケーションのパフォーマンスに生じるボトルネックを回避するため、ネットワークアーキテクチャにクラウドサービスを統合します。
NaaSとSASEで柔軟なネットワークを構築
企業が柔軟であるために使用する主要なテクノロジーは、サービスとしてのネットワーク(NaaS)とセキュアアクセスサービスエッジ(SASE)の2つです。
企業がNaaSソリューションを導入する場合、企業はクラウドによるネットワーキング機能をプロバイダーから借用します。これにより企業は独自のネットワークインフラストラクチャを維持する必要性から解放され、MPLSや仮想プライベートネットワーク(VPN)などの多数のレガシーツールを置き換えられます。一部のNaaSソリューションには、ネットワークファイアウォール、分散サービス妨害(DDoS)攻撃対策、その他のセキュリティ機能が統合されています。
同様に、SASEソリューションは一つの統合されたプラットフォーム上でネットワークセキュリティ機能とソフトウェア定義済みのネットワーキングを組み合わせます。サービスとしてのネットワークセキュリティを使用することはSASEの基盤といえます。このような理由から、SASEソリューションにとって重要なセキュリティコンポーネントは、セキュアWebゲートウェイ、クラウドアクセスセキュリティブローカー、Zero Trustネットワークアクセス、サービスとしてのファイアウォール(FWaaS)の4つです。
NaaSとSASEが相互排他的でないということは注目すべきです。実際に、一部のSASEソリューションでは接続の基礎としてNaaSテクノロジーが使用されています。
過去のMPLSやSD-WANの制限から移行することで、ネットワークの順応性を洗練させる
MPLSやSD-WANなどの現行の接続手段は、ネットワークの順応性において障害となっています。こうした接続手段はリモートワーカーを受け入れたり、オフィスを統合したりといった変化に、迅速に対応するのを難しくします。
MPLSでの課題
MPLS WANは、SaaSやクラウドの時代に適切なものではありません。MPLS WANとパブリッククラウドサービスを統合することで、組織にはパブリッククラウドプロバイダーへのトンネルを持つハブアンドスポークの作成が強制されます。
この方法ではすべてのサイトトラフィックが集中型ハブを通じてバックホールされるため、パフォーマンスが落ちます。たとえば、ロンドンのユーザ��ーがEメールを送信するときに、Eメールプロバイダーのデータセンターがロンドンにあるにもかかわらず、トラフィックがニューヨークにあるハブサイトへ送信されるような場合です。
さらに、MPLS WANサービスは顧客に複数年の契約を強いるため、容量を迅速にアップグレードまたはダウングレードしにくくなります。これらの契約は高価なことで知られ、新しいWebサイトを追加する際に遅延を引き起こします。
SD-WANでの課題
ソフトウェアによる(SD)WANは、その一方で、従来のMPLSが抱えていたコストや柔軟性のなさといった問題を緩和するために、ブロードバンドインターネットのようなWANオプションを使用します。ところが、SD-WANにもかなりの制限があります。
1つには、SD-WANでは、企業が独自のネットワークを構成し、セキュリティツールや負荷分担などの他のサービスの層を作成するよう求めます。つまり、セキュリティサービスを提供するために、SD-WANでは依然としてハブアンドスポークアーキテクチャに依存することとなり、その結果、パフォーマンスのボトルネックが生じることを意味します。
また、SD-WANはエンドツーエンドのパフォーマンスを管理しません。これは、プライベートリンクやネットワークとは異なり、SD-WANは主にエッジテクノロジーであり、「ミドルマイル」を管理しないためです。(ミドルマイルはローカルのネットワークをより大きな外部のネットワークに接続します。たとえば、インターネットまたは他のネットワークサービスプロバイダーなどで、エンドユーザーの逆側に位置します。)ミドルマイルを管理できなければ、インターネットに頼る企業は、輻そうの影響を受けやすくなり、全体のパフォーマンスに影響が及びます。
NaaSとSASEがネットワークの順応性を生み出す方法とは
NaaSとSASEでは企業がソフトウェアを使用して自社のインフラストラクチャを管理できるので、容量を遅延なく簡単にスケールアップ/ダウンすることが可能です。
さらに、トラフィックのバックフォールがなくなれば、従業員がクラウドアプリケーションへアクセスする際にパフォーマンスは改善され、生産性の障害を減らせます。
一体型の保護を組み込む
企業は世界のあらゆるロケーションで従業員の安全と、従業員が働ける環境を確保しなければなりません。そのためには、複雑さやセキュリティの隔たりを排除する全体的なセキュリティ戦略が不可欠です。
しかしながら、多くの企業は複数のアプライアンス型セキュリティソリューションに頼っており、それが原因で柔軟性のなさや複雑さが生じています。1つには、VPNコンセントレータ、セキュアWebゲートウェイ、ネットワークファイアウォールなどの異なるソリューションの使用は、複数のポリシーと断片化された脅威情報を作り出します。このアプローチは高価であるだけなく、アプリケーションのパフォーマンスや従業員の生産性を損なう「難所」となる場合もあります。
多くのNaaSソリューションで一体型のセキュリティ機能が提供されている一方で、SASEソリューションはこの概念に基づいて構築されています。ネットワークにセキュリティ機能が組み込まれていれば、企業は一連のセキュリティアプライアンスを通じてトラフィックを送り込む必要はなくなります。これによりホップとセキュリティ検査が減り、アプリケーションのパフォーマンスが改善されます。
また、SASEはネットワークの管理や更新が不要なアプライアンスチームを統合することで、運用コストを削減します。さらに、セキュリティサービスは常に保護情報で最新に保たれ、新しい攻撃トレンドや進化した攻撃トレンドに対し組織が保護されます。一体型のセキュリティサービスはまた、それぞれの脅威インテリジェンスを互いに共有できるので、全体が保護しやすくなります。
クラウド対応のネットワークを設計する
最新のレポートによれば、エンタープライズの92%がマルチクラウド戦略を使用しており、同時に、ハイブリッドのクラウド戦略を使用しているのは82%であることが分かりました。残念ながら、このアーキテクチャに対応するネットワークを作成するのは容易ではありません。
一部、マルチクラウドのネットワークオプションを提供するベンダーもありますが、従来のWANと統合されていないのが大多数です。これにより、企業はパブリッククラウドサービスをネットワークアーキテクチャへと組み込むために、複雑なワークアラウンドを見つけなければなりません。また、一部のクラウドプロバイダーも他のクラウドサービスプロバイダーやオンプレミスのインフラストラクチャへの接続を難しくし、アーキテクチャを制限し、ベンダーロックインを生み出します。
そのため、企業は自社のネットワークとセキュリティアーキテクチャが、クラウド対応で、また、さまざまなクラウドベースのインフラストラクチャとオンプレミスのインフラストラクチャに接続できるようにしておく必要があります。ところが、これはここ最近のニーズであり、この問題にどうアプローチしていくかという新しい戦略は、今後数年、その出現を待たねばなりません。
クラウド対応のネットワークとSASE
多くのSASEソリューションが複数のパブリッククラウドサービスへの接続を提供している一方、組織では��これらのサービスを提供するために使用される基盤のプラットフォームにも注意を払う必要があります。パブリッククラウドサービスへの不適切なネットワーク接続は、トラフィックの相互接続性が限られ、人工的な「難所」を作り出したり、パフォーマンスの頭打ちの原因になったりする可能性があります。
主要なパブリッククラウドサービスすべてへの充実した相互接続性を備えたグローバルプラットフォームで提供される最新のSASEソリューションは、お客様のアプリケーションとエンドユーザーの間で、高速かつ安全な接続を確保します。
ネットワーク最新化のためのロードマップ
SASEが最終目標ではありますが、一夜でそれを実現できる組織はほとんどないでしょう。しかし、組織がその目標に向けてすぐにでも実践できるステップがいくつかあります。
ステップ1:インターネットブレイクアウトを追加し、保護する
インターネットは引き続きネットワーク戦略において重要な要素となるでしょう。そして、SaaSの供給業者は今後も、インターネットを介して利用されるアプリケーションを最適化していきます。安価なインターネットブレイクアウトを追加することで、企業は支社に存在する可能性のある旧WANから一部のトラ�フィックを移動できるようになります。直接、SaaSのトラフィックをインターネットへ直に移動することで、アプリケーションのパフォーマンスが改善されます。
インターネットブレイクアウトは、SD-WANエッジテクノロジーと組み合わせることもでき、そうすることで使用可能なネットワークオプション間で、トラフィックをインテリジェントに変更できます。ただし、SD-WANでは現状、「ミドルマイル」でのパフォーマンスが保証されず、サイトとパブリッククラウドサービスを相互接続するためにハブが必要となります。ハブアンドスポークから移動するには、ブランチデバイスの各所でポリシーの強制を実行したうえで、新しいセキュリティモデルが必要になります。
ステップ2:NaaSへの対応
NaaSはたいていのデータセンターでますます利用しやすくなり、オフィスビルへと拡大しています。NaaSはエンドツーエンドのパフォーマンス管理を備えた、柔軟でプログラム化できるネットワーク接続を提供します。容量の増減、Webサイトの追加は、NaaSでの方が容易です。さらに、NaaSサービスは、GREやIPSecなどの、標準ベースのテクノロジーを使用して、インターネットを介した仮想接続でセットアップできます。
また、NaaSソリューションは、直接接�続やクロス接続を使用して、パブリッククラウドサービスに相互接続しやすくします。NaaSは短期的にアプリケーションのパフォーマンスを改善し、長期的には、ネットワークコストを大幅に削減します。
ステップ3:Zero Trustセキュリティへの対応
最新のZero Trustソリューションは複数の接続オプションと機能し、ユーザーが自宅や任意のオフィスで作業をするときにユーザーを保護します。ハイブリッド型の勤務スタイルがニューノーマルとして定着しようとしている現在、これは非常に大きな利点です。Zero Trustはインターネット上の脅威からユーザーを保護するだけでなく、ランサムウェア攻撃中に見られる、マルウェアの水平感染をも阻止します。
すべてのサイトがインターネットブレイクアウトおよび/またはNaaSを介して接続され、すべてのアプリケーショントラフィックが新しいネットワークへ移行されたら、従来のMPLS WANを廃止しても安全です。こうした移行への準備は、契約期間が切れる前に開始するのが最適です。
ネットワークを最新化
Cloudflareは企業が最新かつ柔軟なネットワークを作成できるよう、統合クラウドプラットフォームを構築しました。
Cloudflare Magic WANは従来のWANに代わりCloudflareネットワークを使用し、ネットワークファイアウォール、Zero Trust Network Access(ZTNA)などのさまざまな内蔵セキュリティ機能を提供しています。Magic WANは、NaaS機能とZero Trustのセキュリティ機能を単独の総合プラットフォームへ統合したSASEソリューションであるCloudflare Oneの接続基盤です。
これらのソリューションを併用すれば、企業は容量の簡単なスケールアップ、スケールダウン、セキュリティ内蔵のネットワーク保護、主要なパブリッククラウドプロバイダーやオンプレミスインフラストラクチャへの接続などにより、ネットワークを最新化できます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
この記事を読めば、以下が理解できます。
企業が変化するビジネスニーズに対応するためのカギを握るのが、ネットワークの順応性である理由
内蔵ネットワークセキュリティがセキュリティの隔たりを削減
クラウド対応ネットワークを設計することの重要性
自社ネットワークを最新化するために企業が実践できるステップ