この記事は、エンタープライズ ネットワーキング担当シニア バイスプレジデント、エンジニアリング Anand Oswal によるブログ「Securing the Cloud Edge with SD-WAN」(2018/11/13)の抄訳です。
Cisco SD-WAN テクノロジはすでに、分散型企業を一体化させるファブリックに、ブランチ、コロケーション、データ センター、およびクラウド リソースを効率的に接続することでネットワークを強化しています。しかし、ネットワーク、クラウドとセキュリティの交差点であるクラウド エッジでは、より大きなセキュリティ リスク、不安定なアプリケーション パフォーマンス、および増大する複雑性という問題に直面します。
ブランチからクラウドに直接接続され、インターネット上でビジネスに不可欠なアプリケーションを実行するにつれ、トラフィックが企業のファイアウォールにバックホールされる従来の WAN の保護手法は、非効率的で費用も高額です。それは従来の WAN プラットフォームが、ブランチを(クラウドではなく)データ センターに直接接続することを前提に設計されているためです。複数のクラウド プラットフォームへの同時接続や、最も効率的でコスト効率の良いルートの自動選択などに対応する柔軟性がありません。
そのため、WAN を保護しながら分散したネットワーク管理を簡素化して接続コストを削減できる、包括的で柔軟なソフトウェア定義型アーキテクチャが必要です。これには、すべての WAN デバイスを ソフトウェア定義型でセキュアなものにする必要があります。シスコはこうした需要に応えるため、重要なエッジ セキュリティの課題を解決する機能を備えた、新しい高度な SD-WAN セキュリティ スタック を発表します。IT 部門の管理、導入、保守を簡素化し、SD-WAN が誇る高い効率性と、スケーラブルなセキュリティを提供します。これにより企業は安心して希望するクラウド サービスを使用できるようになります。Cisco SD-WAN はデバイスやユーザーをどのクラウドにもシームレスに接続し、優れたアプリケーション エクスペリエンスを提供しながら、ブランチからクラウドへの一貫した統合型の脅威保護も備えます。
Cisco SD-WAN は 4 つのレベルのセキュリティをエッジで提供します
従来のクラウド エッジでのセキュリティ方式は、すべてのトラフィックを、SaaS アプリケーションまたはパブリック クラウド サービスに送信する前に、検査、分析、およびフィルタリングのために企業データ センターに戻していました。企業にとってこれは一般に、データセンターのセキュリティ層の規模と複雑さを増加させ、追加費用を発生させる MPLS 回線の設置を意味します。分散したブランチ間でトラフィックが増えると、MPLS 接続が増え、データ センターのセキュリティを管理するコストと複雑さは一層増大します。
新しい Cisco SD-WAN セキュリティ スタックは、エッジのブランチ ルータで動作する完全なシールドを提供します。また、ネットワークとセキュリティ管理の両方の集中制御も可能になります。組み込みセキュリティ機能は、ブランチのビジネス システムとクラウド プラットフォームを行き来するデータを保護します。Cisco SD-WAN セキュリティ スタックは、特にブランチに関係する、次の 4 つの主要なトラフィック プロファイルに焦点を当てています。
- コンプライアンス:ブランチとクラウドでの、保管中および転送中のセンシティブ データの保護。
- ダイレクト インターネット アクセス:ネットワーク ポートをダイレクト インターネット接続に開いた時に拡大してしまう、外部ソースからの潜在的なアタック サーフェス。
- ダイレクト クラウド アクセス:クラウド リソースおよび SaaS アプリケーションへのダイレクト アクセスを備えることでバイパスされてしまう、エンタープライズ ネットワークおよびデータ センターに組み込まれている既存の集中管理セキュリティ(DMZ、ファイアウォール、侵入検知)。
- ゲスト アクセス:個人のデバイスからローカル Wi-Fi へのゲスト アクセスを有効にしながら、ビジネス トラフィックおよび機密性の高いネットワーク サービスのゲスト トラフィックからの完全な分離。
シスコの新しいセキュリティ イノベーションが、SD-WAN アーキテクチャによるコスト削減を実現しながら、これらのトラフィック プロファイルにより拡大する攻撃経路を緩和する仕組みについてご紹介します。
コンプライアンス
すべての組織は、個人識別情報(PII)や支払カード情報(PCI)などのセンシティブ データ セットを承認、保管、処理しています。アプリケーション認識型ファイアウォールを使えば、センシティブ データを承認済みアプリケーション/人物以外による不正アクセスから保護します。Cisco SD-WAN セキュリティは、ブランチ ルータに組み込みアプリケーション認識型ファイアウォールを追加します。このファイアウォールは、どのアプリケーションが PCI などのセンシティブ データにアクセス可能であるかを学習し、ルールを適用します。次に SD-WAN ファブリックは、センシティブ トラフィックをセキュア VPN 経由で、エンタープライズ データ センターやマルチクラウド プラットフォーム内のアプリケーションにルーティングします。シスコ インテントベース ネットワーク内では、「センシティブ データの PCI のみを IPsec VPN で送信」といった動作を Cisco vManage でプログラムすることで、ネットワーク全体に自動的に適用されます。Cisco vSmart Controller により、セキュリティ ポリシーで定義されたとおりにトラフィックはインテリジェントにセグメント化されます。
ダイレクト インターネット アクセス
SD-WAN の登場前、組織はセキュリティ機能が常駐するデータセンターへのブランチからの接続において、安全ではあるものの高価な MPLS 回線に主に依存してきました。組織がブランチ サイトのアプリケーションやデバイスをインターネットに直接アクセスできるようにすると、従来の集中管理されたセキュリティはバイパスされるようになります。その結果、ブランチはあらゆるタイプのインターネット トラフィックに公開され、その過程で、エッジでのアタック サーフェスが増大します。
これらの脅威に対抗するために、SD-WAN セキュリティ スタックは、アプリケーション認識型ファイアウォール、侵入検知と防止、および Cisco Umbrella の DNS クラウド セキュリティ層で構成される、組み込みセキュリティ機能の組み合わせを提供します。Cisco SD-WAN ファブリックは、SecOps ポリシーに従って、ブランチ間でのトラフィックをインテリジェントにルーティングします。Web セキュリティは、安全な URL のローカル キャッシュを保持し、最新のセキュリティ脅威レポートに追従するために、これを定期的に更新します。
ダイレクト クラウド アクセス
ダイレクト クラウド アクセスは、クラウドおよび SaaS アプリケーションのアプリケーション Quality of Experience(QoE)を向上させ、ダイレクト インターネット アクセスで見られるような類似のリスク プロファイルを導入します。Cisco SD-WAN セキュリティは、最も攻撃的な DoS、フィッシング、マルウェア、および SaaS やクラウド アプリケーションで使用されるインターネット接続やオープン ポートにピギーバックする可能性があるランサムウェア攻撃を防ぐために、侵入検知と併せて DNS セキュリティ層を活用します。さらに、これらの組み込みセキュリティ機能は、世界で有数の高度な商用脅威インテリジェンス組織の 1 つである Cisco Talos チームが提供する現在の脅威データを活用します。
ゲスト アクセス
小売店など、カスタマー エクスペリエンスに重点を置く組織は、顧客とのインタラクティブな関係を持つために、そのブランチの Wi-Fi をオープンにしておこうとします。しかし、ブランチ Wi-Fi でゲストを許可することで、ビジネス アプリケーション、データ、およびサービスもゲストに公開される可能性があります。このような場合、ゲスト アクセスをセグメント化するセキュリティ ポリシーの設定がセキュリティ向上の最初のステップになります。インターネット アクセスを許可していても、ビジネス ネットワークの他のすべてのセグメントを「立ち入り禁止」にするのです。組織はさらに、ブランチ ネットワークに感染する可能性があるマルウェアをゲストが不意にまたは故意にダウンロードすることを防止する必要があります。Cisco SD-WAN セキュリティは、Web フィルタリングや侵入検知/防御機能を提供して、インターネット感染からゲスト デバイスを保護し、ネットワークを守ります。さらにセグメンテーションにより、従業員をゲスト ネットワークから隔離し、ビジネス データはすべて IPsec VPN トンネルを通すようにします。
SD-WAN によりセキュリティ管理を簡素化する
新しいセキュリティ スタック機能をサポートして管理を簡素化するために、Cisco SD-WAN はクラウド管理コントローラ vManage を使用して GUI ベースのワークフローを提供します。ゼロ タッチの Cisco ISR/ASR および vEdge ルータは、ブランチの技術担当者以外の人が電源を入れ、リモートで事前定義されたビジネスの意図に基づいて設定したり、ビジネスのニーズに合わせてカスタマイズしたりできます。エッジ ルータは、トラフィック パターンを継続的に監視し、優先ビジネス データに適応し、クラウドおよび SaaS アプリケーションの QoE を維持し、セキュリティ上の脅威にプロアクティブに対応するように接続を自動的に調整します。
Cisco SD-WAN ポートフォリオによるこれらのイノベーションは、今日の企業が直面している実世界のセキュリティ上の課題の解決に役立ちます。さらに、SD-WAN にはシスコの DNA Essentials ライセンスが付属しているため、ライセンス交付は単純です。ブランチ オフィスの企業、マルチクラウド、および SaaS アプリケーション プラットフォームへの接続や保護をさらに優れたパフォーマンスで促進し、接続の総コストは削減する、シスコのエンジニアリング チームからのさらなるイノベーションに期待してください。
Cisco SD-WAN 機能の詳細については、私の以前のブログ記事「 Cisco IOS XE ソフトウェア定義型アーキテクチャによる WAN の変革 」 をお読みください。さらに当社の SD-WAN ページもご覧ください。