SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

【Cato Networks】SASEの最短実現方法

ゼロトラスト
2021.07.28

今回はSASE(Seure Access Service Edge)についての投稿です。 長らくゼロトラスト観点で記事を書いてきましたが、ゼロトラストとSASEは非常に密接な関係です。 過去はどちらかというとオンプレミス型のゼロトラストにフォーカスを当てて記事を書いていましたが、SASEを使ったゼロトラストの方法というのもあります。

本記事で紹介するのは、"Cato Networks"の紹介です。細かいところは今後シリーズブログなどで順次お伝えできればと思いますが、初回はCato Networks/ケイトネットワークス(以下Cato)のどんなものなのか、個人のネットワーク・セキュリティに対する思いです。

ベースのテクノロジーはSD-WAN

SD-WANというと、数年前までは個人的に少し懐疑的なテクノロジーでした。技術的にというより、需要の面で日本のようにインターネット回線品質が良い環境だと、拠点間VPNにおいても、ファイアウォールやUTMを使った拠点間VPNでもとても安定したパフォーマンスを提供することができるため、あえて高価なSD-WAN製品を選定する理由がなかったという印象でした。

そのため、当初SD-WANの基本機能である、拠点間VPNにおけるトラフィックの最適化という意味では、あまり国内では需要が高くなかったよう気がします。

SD-WANが注目されだしたのは、Microsoft365やWeb会議の普及により、インターネットの帯域やセッションを多く使うアプリケーションが一気に普及したことにより、拠点間通信とSaaSの通信を分けるという目的でインターネットブレークアウトと呼ばれる技術が多様されるようになりました。多くのUTM製品からインターネットブレークアウトのことを含めてSD-WANと定義されていることも多く見られます。

もちろん"拠点間通信の最適化"も"インターネットブレークアウト"もどちらもSD-WANにとっては重要な機能です。そのため最近のSD-WANソリューションでは機能も充実してきていて、メーカー間の競争はますます激しくなっていると思います。特にSD-WANメーカーというと大手の印象が強く、Cisco、VMware、HPE/Aruba、Fortinetといった超大手のネットワークメーカーの名前が上がってくると思います。

CatoもベースはSD-WANのカテゴリに分類されるメーカーだと思います。ただ、Catoが他SD-WANのメーカーと大きく異なるのは、"自社のバックボーン"を持っているということです。この自社バックボーンを持つことによって、SD-WANからネットワークとセキュリティの領域をクラウドの機能を統合へとてもスムーズに進んでいるメーカーの1つだと考えています。

バックボーンがある、バックボーンのないSD-WAN

本来SD-WANのソリューションの競合先としては、MPLSといった高価な専用線だと思います。専用線は安定性と安全性が特徴ですが、帯域幅も狭く、とても高価です。そのためSD-WANのソリューションを用いて、安価なインターネットVPNをベースに高度なWANをソフトウェアで定義することで、回線品質を下げることなく、安全で快適な拠点間接続が可能です。

多くのSD-WAN製品は拠点間の接続においては、既存のインターネット回線をベースに、装置間で自前でVPNを張るという部分で独自の管理機能が提供されるケースが多くあります。その多くがオーケストレーターと呼ばれる機能を使って、クラウドや管理サーバーから、拠点に設置されたルータ(SD-WANの終端装置)を一元的に管理し、VPNトンネルを構成・管理します。

つまり、SD-WANは仮想的なバックボーンをソフトウェアで構成することで、プロバイダーに依存せずに、自社で管理することができるわけです。

【SD-WANによるネットワーク構成図】

SD-WAN.png

一方CatoのSD-WANは明らかな違いがあります。それはCatoには予め用意された独自のバックボーンに通信を引き込むという構成になっているという点です。

【SASEによって構成されたSD-WAN】

Backbone.png

図を見ていただくとわかりやすいと思いますが、一般的なSD-WANは拠点間をダイレクトにインターネット回線を使って接続します。もちろん国内の高品質なインターネット回線であれば、低遅延で広帯域をベースに、SD-WANによってトラフィックが最適化されるという仕組みです。特に拠点に設置された終端装置間の通信によって、回線状況のモニタリング、WAN最適化、アプリケーションの可視化、QoSなどが実装されています。

Catoは"ソケット"と呼ばれるルータ(終端装置)から出る通信はすべてCato Cloudへ暗号経路(DTLS)を通ってCato Cloudへ転送されます。拠点間の通信は実際には、直接VPN接続しているわけではなく、Cloud上に用意されたバックボーンを経由して、目的の拠点へ運び込まれるという仕様のようです。

クラウド上のPoP間は独自のバックボーンで接続されており、この間の通信はSD-WAN機能によって、回線モニタリング、TCP最適化、アプリケーションの可視化、QoSが提供されるようになっています。

どちらを選ぶかは、ユーザーの環境次第というところですが、バックボーンがあるSD-WANというのがどういうものかはこの図で見ると明らかだと思います。

インターネットブレークアウトとはローカルブレークアウトのことでしょうか?

インターネットブレークアウトは非常に有益な機能です。最近のルータやファイアウォールにはDPIエンジンが搭載されることで、アプリケーションを分類できるようになっているものも多くあります。またメーカーによっては、主なサービスの宛先の情報をデーターベース化することで、宛先ルートベースでブレークアウトする手法などがあります。こちらの方式を一旦わかりやすくするために、"ローカルブレークアウト"という呼び方にします。

このローカルブレークアウトは原則アウトバウンドの回線が2つ以上ある場合に有効な手段です。一方でプライオリティの高い通信を出しながら、もう一方の回線に帯域を消費するアプリケーションを出すことで、回線自体をボンディングして回線効率を上げることが目的です。回線が複数存在するので、万一片側の回線が停止しても、冗長性が担保されます。

このローカルブレークアウトで注意しておきたいのは、パケットを分類する際、場合によっては暗号化された通信を復号化する必要があることです。SSLインスペクションという方法で、ユーザーからのパケットをゲートウェイ装置で分析しないと、詳細なアプリケーションの動きが見えないため、ローカルブレークアウトができないケースがあります。これを実装するか否かによって、ゲートウェイに設置する装置のサイジングへ大きく影響します。

Catoはローカルブレークアウトではありません。拠点に設置された"ソケット"はすべてのトラフィックをすべてCato CloudのPoP(Point of Presence)へ転送します。音声データ、動画データ、SaaSのオフィスデータに関わらず、すべてのトラフィックをCato Cldouへ転送します。原則、"ソケット"ではトラフィックに手を加えることはせず、PoPまでの通信に必要なルーティングとトンネリングを行います。

ローカルブレークアウトに比べて、一見非効率のように見えます。しかしこれがまさにSASEにつながる最大のメリットだと思います。Catoの仕組みはとてもシンプルです。拠点間通信、インターネット通信、ソケットの利用回線に関わらず、クラウドに用意されたファイアウォールで処理することができるということです。

ブレークアウトの観点で見ると、多くのSD-WAN製品の場合はローカルブレークアウト方式です。Catoの場合はクラウド上のPoPを使ってブレークアウトが行われます。ブレークアウトに必要なリソースはクラウド上に存在するということです。

さらにゼロトラスト観点見ると、ローカルブレークアウトのように、負荷の高い特定の通信はセキュリティチェックから除外するというバイパス処理は看過できないです。あらゆる通信が検証によって証明されるというゼロトラストの世界においては、すべての通信はファイアウォールを経由させて、制御対象としロギングをすることが重要です。そのため、ローカルブレークアウトより確実なインターネットブレークアウト方式も検討に入れるべきだと思います。

拠点間接続の非効率的な運用からFWaaSへ

拠点間VPNはなくてはならない機能です。多くの拠点を抱える企業では、ダイナミックルーティングを多用して、メッシュ化された拠点間を各ローカル側のルータやファイアウォールのACLを使ってアクセス制御をします。そのため、ルータの設定、VPNの知識、ルーティング、セキュリティかつ、プロビジョニングの知識というのが必要です。特に厄介なのがプロビジョニングの知識で、これは経験値を積むことが難しく、熟練のエンジニアが必要になってくると思います。

Catoが提供する拠点間通信の制御におけるメリットは唯一のファイアウォールだけで制御するということです。バックボーン上に用意されたファイアウォールによってメッシュ化された拠点間の通信ルールを一元的に管理できます。Cato Cloudに接続された拠点間はソケットによってローカルネットワークが互いに通知されあうため、WANの部分でダイナミックルーティングを使わなくても良いのです。(バックボーンの裏で使っていると思いますがそれはユーザー管理ではありません。)

SD-WAN製品が普及することで、拠点間のWAN管理がシンプルすることが目的ですが、SD-WAN自体の機能が複雑すぎて、習得まで時間がかかってしまっては意味がありません。

私がCatoをトライアルした限り、正直拍子抜けするほど拠点間接続があっという間に終了しました。もちろん高機能な製品であるため、すべての機能を網羅するためには時間がかかりますが、私ぐらいの中級のネットワークエンジニアであれば、複数の拠点が合ったとしても、1つの拠点のファイアウォールを管理するような感覚で操作できます。

Cato接続.png

これが、FWaaS(Firewall as a Service)というやつです!

すべての端末のゲートウェイを集約する

SASEは今まで行われていた、ローカルの分散型ネットワーク・セキュリティモデルから、クラウドへ集約することで、安全性と利便性そして可用性を高めることができる手法がSASEということです。拠点からの通信、リモートワーカーの通信、そしてIaaSやSaaSへの通信はこれらすべてがインターネットを介在するところにCato Cloudがあることで、デバイスはCato Cloudまで最短で、安全経路を使ってアクセスするだけで、セキュリティ機能をクラウドへ転嫁することです。

SASEを経由することによって、ユーザーはより安全で快適なネットワークを利用することができるのため、セキュリティによって縛られるということではありません。

昨今のSASEメーカーとしては、単一のセキュリティ機能だけをクラウド化したものから、ローカルの機器とクラウドの管理機能を分けて提供するメーカーなど、現状さまざまな製品がありますが、Catoは"バックボーン"を持っているために、ネットワークにおける要件(主にSD-WAN)と、セキュリティにおける要件(コンテンツセキュリティ)のバランスがとても良くできていると思いました。

まとめ

一言でCato Networksを表現すると"バックボーン"を持っているSASEソリューションです。 バックボーンを持っているからこそできることとして

  • SD-WAN機能においてシンプルに管理が可能です
  • ローカルブレークアウトのように例外処理する方法ではなく、全ての通信をクラウドへオフロードします
  • 拠点間、拠点から、リモートユーザーのゲートウェイを1つにまとめます
  • SASEとして必要な機能の多くをCatoで対応できる

今回はCatoを使った印象として、とりあえず伝えたかったことを個人的な思いとして書かせていただきました。Catoについては機能が豊富にあるために、次回以降、機能にフォーカスして記事を書きたいと思います。

ゼロトラストのブログが始動開始

著者紹介

SB C&S株式会社
ICT事業本部 ICT事業戦略・技術本部 技術統括部 第3技術部
宮本 世華

釣りが好きです。