リファレンスアーキテクチャ...4 aper フォーティネットのセキュア sd-wan...

フォーティネットのセキュア SD-WANリファレンスアーキテクチャ

WHITE PAPER

2

概要デジタルトランスフォーメーション（DX）を推進する新テクノロジーやソリューション、低コストの接続オプションの登場を背景に、多くの企業がレガシーWANの近代化に取り組んでいます。データのデジタル化と、SaaS（サービスとしてのソフトウェア）アプリケーションの採用といったパブリッククラウドの登場に伴い、WANアーキテクチャは再設計の必要に迫られ、特に支社、エッジネットワーク、セキュリティアーキテクチャの再設計は不可欠となっています。SD-WANソリューションは、企業WANとマルチクラウド接続を活用することで、支社サイトのネットワークエッジで優れたアプリケーションパフォーマンスを実現します。

本書では、WANから SD-WANアーキテクチャへの進化と、ネットワークインフラストラクチャの近代化がもたらすメリットについて解説します。また、セキュア SD-WANソリューションをデータセンターから支社へと実装する際のセキュリティ要件やヒントも併せてご紹介します。

レガシーWANアーキテクチャ図 1は、一般的なレガシーWAN接続モデルを示しています。このモデルは、単一のハブサイト（データセンターや本社）と、単一のスポークまたは支社で構成されます。

従来型のハブ &スポークWANアーキテクチャのルーティングは、最もシンプルな特徴を持っています。各スポークサイトは、最終的な宛先に関係なく、ローカル以外のトラフィックをすべてハブへとルーティングしなくてはなりません。一般的に、このアーキテクチャには単一の静的ルートがあればよいのですが、複数の回路を介した冗長接続を追加すると、格段に複雑になってしまいます。レガシーのハードウェア / ソフトウェアソリューションで構成される従来のWANアーキテクチャでも、接続機能、パフォーマンス、セキュリティを提供することは可能です。

ところが、支社ユーザーがレガシーパスでパブリックインターネットに接続する場合はどうでしょうか（図 1）。Webサイトに到達したパケットは、まずWANを横断し、セキュリティスタックを経由してからWebサイトに到

達します。このアーキテクチャは最小限の支社インフラストラクチャで実現できますが、ユーザー体験という点ではまったく十分とは言えません。自宅のブロードバンド接続に慣れているユーザーにとって、レガシーWANアーキテクチャはニーズを満たすものではないのです。

レガシーセキュリティアーキテクチャには、分散エンタープライズ全体を一元管理するセキュリティスタックが実装されています。図 1aの例では、複数のソリューションに複数の機能が存在しています。支社サイトには、MPLS

回路に接続する簡単なルーターがあり、すべてのトラフィックがまずWANを横断しなければならないため、高度なセキュリティスタックを各支社に分散させるよりも、データセンターに集中させる方が合理的です。このような中央集中型のスタックアーキテクチャでは、WAN帯域幅が輻輳する傾向があり、最終的にトラフィックを伝送できなくなります。

図 1：レガシーWANのハブ &スポークアーキテクチャ

図 1a：

セキュリティスタックの例

支社

MPLS

データセンター（本社）

マルチクラウド

インターネット

ファイアウォール / VPN

Webプロキシ

ウイルス対策

Webフィルター

サンドボックス

SSL インスペクション

侵入防止（IPS）

3

WHITE PAPER | フォーティネットのセキュア SD-WANリファレンスアーキテクチャ

SD-WANの基盤

SD-WANの近代化では、古くなったハードウェアとソフトウェアのみならず、古くなったビジネスソリューションの入れ替えも必要です。企業が DXを推進する理由の 1つは、ビジネスユーザーによるテクノロジーの使用方法が変化したことにあります。クラウドの採用、デバイスの統合、接続コストの削減は、インフラストラクチャの大々的な進化の推進要因となっています。テクノロジーリーダーにとって、ユーザー体験と生産性の向上は、WANトランスフォーメーションプロジェクトを推進する大きな動機です。

SD-WANソリューションは、コントロールプレーンとデータプレーンを使用して、インターネットや企業WANへの接続ポイントを複数持つ支社を活用し、個々のアプリケーションに最適なパスを決定します。データは最適なパスで伝送されるため、パフォーマンスは向上し、可用性は最大限まで高まります。

SD-WANは、WANパスフェイルオーバー、リンクアグリゲーション、リンク修復、アクティブパスのパフォーマンス評価指標を活用することで、企業WANや複数のクラウド環境に接続するインターネット全体でアプリケーションの可用性とパフォーマンスを確保します。特定のアプリケーションで求められるパフォーマンス要件を満たす最適なパスの特定と、そのWANパスに対するパケットやセッションの割り当ては、SD-WANの基本的な機能です。

ネットワーク機能の改善

SD-WANソリューションの実装によるWANエッジの近代化は、大きなメリットをもたらします。

SD-WANのコア機能：n マルチパスコントロール

n アプリケーションの識別

n 動的なアプリケーション

ステアリング

図 2：SD-WANアーキテクチャの近代化

図 2で示すように、SD-WANを持つ支社には複数の接続が実装されています。この例では、企業のWAN MPLSネットワークはそのままですが、単一のブロードバンド接続で、支社からのダイレクトインターネットアクセスに対応しています。また、ブロードバンド接続でデータセンターへのセキュアな IPsecトンネルを確立することで、データセンターとマルチクラウド環境の両方に接続するマルチパス環境が構築されています。

トラフィックルーティングの方法が 1つしかないレガシーのシングルパスアーキテクチャ（図 3）と比べると、SD-WANの普及が進んでいる理由は明らかです。

図 3：レガシーのシングルパス

セキュア SD-WAN

しかし、支社にダイレクトインターネットアクセスを導入することは、激しく変化する脅威環境に直接接続することを意味します。したがって、支社に SD- WANを導入する場合、ネットワークエッジに高度なセキュリティ機能を配備することが不可欠になります。単に SD-WANでダイレクトインターネットアクセスを提供するだけでは不十分なのです。そこで必要になるのが、脅威対策が組み込まれたセキュア SD-WANです。支社のエッジは、企業WANを経由せずサービスに直接アクセスしますが、セキュア SD-WANはこのようなエッジにセキュリティスタックを実装します。

MPLSベースのWANに適用されるダイレクトインターネットアクセスは、冗長接続アーキテクチャという特性を持っています。データセンター接続の場合、重要度の高いアプリケーションは通常MPLSネットワークのみを横断しますが、ブロードバンドがこのようなアプリケーションの代替パスとなります。同様に、MPLSネットワークは今後もインターネットへの接続パスとして使用されると考えられますが、現在ではインターネットブロードバンド接続に置き換わっています。

支社

MPLS

データセンター（本社）

マルチクラウド


ブロードバンド

4


マルチパスコントロール

図 2で説明した SD-WANのコア機能からも、マルチパス制御が必要であることは明らかです。SD-WAN仮想リンクは、MPLS接続（青）、ブロードバンド接続（オレンジ）、IPsecトンネル（オレンジの点線）の 3つで構成されます。セキュア SD-WANソリューションがソリューションの機能をフ

フォーティネットは、アプリケーションステアリングの主な戦略として、最高品質と最低限品質という 2つの SLA（サービスレベル合意）を採用しています。最高品質とは、選定した評価指標をベースに、パフォーマンスが 10%以上高いパスを特定するものです。複数のパスが特定され、その差異が所定のしきい値内である場合には、優先度の高いリンクが選択されます。

また、別の SLA戦略を選択することも可能です。FortiGateは、SD-WANポリシーに含まれる各パスについて、パフォーマンス SLAで定義された指標を評価します。プライマリパスが所定の SLAしきい値を満たしていない場合、FortiGateはトラフィックを代替パスに切り替えます。しきい値を満たすパスがない場合には、FortiGateは優先度の最も高いパスを選択します。アプリケーションステアリングを支援する機能に、アクティブパス評価指標があります。ユーザー定義の SLAと組み合わせることで、SD-WANポリシーエンジンは、個々のアプリケーションのトランスポー

トに適したパスを特定します。

SD-WANのルーティングはレガシーアーキテクチャよりも複雑ですが、静的ルーティングを使用することも可能です。セキュア SD-WAN機能は、動的なアプリケーションステアリングポリシーに基づいてルートやパスの選択を制御します。

WANアーキテクチャの要件ここでは、WANアーキテクチャの近代化プロジェクトで求められる主な要件を定義します。要件はどれも馴染みのある内容かもしれませんが、IT

責任者や ITチームのメンバー以外の要件も盛り込む必要があります。

支社のユーザー体験の向上

エンドユーザー体験を測定し向上するには、支社のビジネスがどのような方法で行われるのかを理解することが重要です。IT / セキュリティには検討すべき項目が数多く存在しますが、セキュアSD-WANの設計を決定づけるビジネス推進要素も存在します。ビジネス部門の責任者やエンドユーザーと対話し、新テクノロジーが及ぼす影響を把握することは、IT / セキュリティプロジェクトのリーダーに大きなメリットをもたらします。

セキュア SD-WANプロジェクトでは、支社でアプリケーションがどのように使用され、アプリケーションサーバーがどこにあるか（データセンター、マルチクラウドなど）を把握することが鍵となります。その関係を図やマップで作成したら、パフォーマンスベースライン評価指標をアプリケーション毎に測定および特定し、それに基づいてビジネス部門にアプリケーションの優先順位付けを実施してもらいます。音声 / ビデオアプリケーションは、リアルタイム通信の要件を満たす上で優先度が高くなる傾向がありますが、これ以外にも、ビジネス目標を達成する重要なアプリケーションが存在します。評価指標の高いユースケースへの対応は、WANアーキテクチャ近代化の検証において大きな役割を果たします。

図 4：SD-WAN仮想リンク

ルに活用するには、複数のアプリケーションを識別しなければなりません。セキュア SD-WAN

は、アプリケーションの識別とマルチパス環境の制御によって動的なアプリケーションステアリングを行い、パケットやセッションを企業WANやマルチクラウド環境へとつながるパスで伝送します。

運用コスト（OpEx）の削減

契約の更新や、シンプルなWAN接続機能の採用によって、OpExの月次支出を抑えることができます。企業は、MPLS回路の代わりに、低コストで高帯域幅のブロードバンド接続を活用することが可能になります。

また、デバイス統合も、OpExや CapEx（設備投資）を節減する方法の 1つです。ダイレクトインターネットアクセスを既に確立している企業も、SD-WANの採用による近代化を進めています。一部の企業は、複数のネットワーク / セキュリティベンダーが提供するまとまりのないソリューションを支社エッジに実装していますが、これはコストのかかるインフラストラクチャアプローチです。セキュア SD-WANデバイスは、ベンダーやソリューションを統合することで、OpEx

を節減します。

MPLSから SD-WANへの移行が

もたらす削減効果 1

10倍

SD-WAN

5


WANアーキテクチャのセキュリティ要件

完全に統合された NGFW（次世代ファイアウォール）がなければ、支社向けのセキュア SD-

WANソリューションは実現できません。サードパーティにセキュリティサービスを依存すると、オンプレミスとクラウドのいずれにおいても OpExを低減することはできません、また、コア

のセキュリティアーキテクチャとエッジのセキュリティアーキテクチャは、同じものではありません。SMB（中小規模の企業）の保護において何十年もの実績を誇る UTM（統合脅威管理）デバイスは、大企業の保護でも威力を発揮します。

図 5：セキュリティ要件

UTMは、分散した企業支社サイトに十分なセキュリティ機能とサービスを提供できます。これには、NGFW、IPS（侵入防止システム）、SSL（Secure Sockets Layer）、Webコンテンツフィ

ルタリング、マルウェア対策ゲートウェイ、高度なルーティング機能などがあります。複数のデバイスを単一の包括的なセキュア SD-WANソリューションに統合することで、図 5で示す要件を満たすことができます。

主な要件のまとめn 既存のWANアーキテクチャと、それがどのようにビジネス目標の達成を支援しているか把握する

n WANアーキテクチャの更新を通じて達成したいビジネス成果をリストアップする

n WANアーキテクチャの再設計がセキュリティに及ぼす影響を理解する

n 既存のWANアーキテクチャに費やしているコストを特定する

n 改善の計画と達成に向けてパフォーマンスベースラインを確立する

既存WANアーキテクチャの考察

既存アーキテクチャを正確に文書や図にまとめる作業の重要性は明らかですが、見過ごされるケースもあります。セキュリティアーキテクトは修正作業に追われることも多く、WANアーキテクチャを詳細かつ正確にまとめた文書を作成することは困難です。適切な近代化プロジェクトを提案するには、WANアーキテクチャを理解することが極めて重要です。

フォーティネットのセキュア SD-WANソリューションアーキテクチャフォーティネットのセキュア SD-WANソリューションは、複数のコンポーネントで構成されています。その構成コンポーネントには、FortiGate、FortiManager、FortiAnalyzer、FortiDeployがあります。

FortiGateは、セキュア SD-WANソリューションの中核である FortiOSを実行します。FortiManagerは、オーケストレーションと管理を行います。FortiAnalyzerと FortiDeployは、ソリューション全体を統合し、他のベンダーには真似できないソリューションを実現します。

図 5a：セキュア SD-WANアーキテクチャのコンポーネント


コンテンツフィルター

IPS ボットネット対策

アプリケーション制御

レピュテーション

ウイルス対策






ウイルス対策

セキュリティプロセッサ

CIO• デジタルトランスフォーメーションの実現• アプリケーションの耐障害性と復旧• 統合セキュリティインフラストラクチャ• エッジデバイスの統合• CapEおよび OpExの低減

CISO• 攻撃対象領域の可視化• 複雑さの軽減• レスポンスに要する時間の短縮• コンプライアンス状態の可視化• D&Rの自動化• セキュリティフレームワークの連携

複数のトランスポート手段

アプリケーションの識別

ゼロタッチ展開アイデンティティ / アクセス管理

Fortigate次世代ファイアウォールの機能

トランスポートオーバーレイセキュリティサービスネットワークとセキュリティの運用

マルチクラウドのアプリケーションステアリング WANエッジ統合

セキュア SD-WANへのニーズ

Ethernet スイッチブロード

バンドMPLS FortiExtender

VLAN

IPsecFortiGuard

LabsFortiSandbox セキュリティ

レーティングサービス

FortiManager

FortiAnalyzer

FortiSIEM

FortiGate

FortiDeploy

FortiManager

FortiAuthenticator

FortiSSOルーター NGFWSD-WAN IPS FortiGate

6


セキュア SD-WANは、アーキテクチャや、企業のさまざまな職務責任者（CIOやCISOなど）のニー

ズを満たすことを通じて、ビジネス成果を達成する必要があります。また、FortiExtenderやFortiAuthenticatorといった他のフォーティネットソリューションが SD-WANの枠を超えて拡張する方法を理解することが重要です。これにより、支社全体を網羅するフォーティネットセキュリティファブリックを構築することが可能になります。

管理プレーン、コントロールプレーン、データプレーン

拠点数が 1 ～ 3の小規模な展開では、導入した FortiGateはそれぞれ管理 / コントロール / データプレーンとして機能します。一般的に、セキュア SD-WANコンポーネントの機能が充分に活用されるのは分散型の環境です。このような環境では、図 6で示すように役割が分割されます。

図 6：セキュア SD-WANアーキテクチャのコンポーネント

IPv6をサポートするセキュア SD-WAN

あらゆるロードバランスモード、ヘルスチェック、ソースアドレス / ソースユーザー / ソースグループ / 宛先アドレスのサービスルールをサポートします。

FortiGateは、オペレーティングシステムである FortiOSと同様に、セキュア SD-WANソリューションの基盤となるコンポーネントです。スタンドアロンで動作し、NGFW、高度なセキュリティ、SD-WANをはじめとするさまざまな機能を提供します。あらゆる役割を果たす FortiGate

は、WANエッジソリューションを単一の包括的なデバイスへと簡単に統合できます。また、ルーティングプロトコル（RIP、BGP、OSPFなど）をサポートし、スポークまたはハブとして VPN

を組み合わせることもできます。プロトコルの最適化によるWAN最適化、バイト / オブジェクトキャッシングを行い、アクセスレイヤーコントローラとして機能することも可能です。さらに、FortiGateはパケットの優先度付けにより、輻輳時にはビジネスクリティカルアプリケーションを優先的に処理します。

FortiGateのフォームファクター

分散型の環境向けの FortiGateは、物理アプライアンスである FortiGate 30E ～ 500Eなどから、仮想マシン実装の FortiGate VM01 ～ VM16まで、幅広いフォームファクターで提供されています。Wi-Fi、3G、4G、LTEオプションに対応した小規模支社向けのアプライアンスも提供されており、支社ソリューションをさらに統合することができます。

最も多くの採用実績を誇る支社向けデバイスは、FortiGate 60Eモデルです。図 7は、FortiGate

60Eの仕様を示しています。

新たにリリースされた FortiOS 6.2は多数の新機能が追加され、既存の SD-WAN機能を改善

新機能：n オーバーレイコントローラ VPN

n 帯域幅監視サービス

n FEC（前方誤り訂正）

n BGP追加パスサポート

n SLAログ管理

n 複数の IPsecトンネルを単一のインタフェースでサポート

管理プレーンコントロール / データプレーン


MPLS

オーケストレーション

分析

プロビジョニング

支社 1

プライベートクラウド 1

プライベートクラウド 1

支社 2

7


図 8は、FortiGate 60Eシリーズアプライアンスのパフォーマンスデータを示しています。

図 8：FortiGate 60Eシリーズの技術仕様

ほとんどのセキュア SD-WAN支社環境では、IPsecトンネルを導入することで、支社サイト間、支社とデータセンター間、支社とクラウド間で発生するパケット伝送を保護します。一般的な支社の導入要件を考えた場合、2 Gbpsの VPNスループットで、多くの支社で必要になる帯域

幅を十分提供できます。パケットのアプリケーションレイヤーを検証するアプリケーション制御を実行しても、それによって低減するスループットはわずか 890 Mbpsなので、支社の帯域幅ニーズをサポートできます。SSL（Secure Sockets Layer）/ TLS（Transport Layer Security）インスペクションと IPSの対応で、135 Mbpsが必要になります。

FortiGate 60Eシリーズアプライアンスがこのように優れたパフォーマンスを発揮できる理由は、フォーティネット独自の SOC3（System on a Chip）にあります。またこのほど、SD-WANの

高速化を目的に設計された唯一の専用設計プロセッサである最新の SOC4が登場しています。

現行の SOC3は、FortiGate 60Eシリーズセキュリティアプライアンスを高速化し、トップクラスのスループット、セキュリティおよびネットワーク機能の統合を実現しています。SOC3は、セキュアなネットワークパフォーマンスを、競合他社のセキュリティソリューションに搭載されているエンタープライズクラス CPUの 2倍以上に高めることができます。FortiGate 60Eシ

リーズは、分散型エンタープライズファイアウォールのセキュリティとパフォーマンスをかつてないレベルにまで引き上げました 2。

SOC4のリリースフォーティネットは先頃、SOC4プロセッサをリリースしました。このプロセッサは、FortiGate 100Fシリーズに搭載されています。SOC4は、SD-

WAN機能の高速化を目的に設計された業界で唯一の専用プロセッサです。

世界初の SD-WAN ASIC：n 最速のアプリケーションステアリング

n WANオーバーレイの

アクセラレーション

n トップクラスの

セキュリティパフォーマンス

n セキュリティ拡張のアクセラレーション

図 7：FortiGate 60Eの仕様

システム性能

ファイアウォールスループット（1518 / 512 / 64バイト、UDP) 3 / 3 / 3 Gbps

ファイアウォールレイテンシ（64バイト UDPパケット） 3 μ s

ファイアウォールスループット（パケット / 秒） 4.5 M pps

ファイアウォール同時セッション（TCP） 130万

ファイアウォール新規セッション / 秒（TCP） 30,000

ファイアウォールポリシー 5,000

IPsec VPNスループット（512バイト） 2 Gbps

ゲートウェイ間 IPSec VPNトンネル 200

クライアント - ゲートウェイ間 IPSec VPNトンネル 500

SSL-VPNスループット 150 Mbps

同時 SSL-VPNユーザー（推奨最大値、トンネルモード） 200

SSL インスペクションスループット（IPS、avg. HTTPS） 135 Mbps

SSL インスペクション CPS（IPS、avg. HTTPS） 135

SSL インスペクション同時セッション（IPS、avg. HTTPS） 75,000

アプリケーション制御スループット（HTTP 64 K） 650 Mbps

CAPWAPスループット（HTTP 64K） 890 Mbps

仮想 UTM（VDOM：標準 / 最大） 10 / 10

FortiSwitchサポート数 16

FortiAPサポート数（合計 / トンネルモード） 30 / 10

FortiTokenサポート数 500

FortiClientサポート数 200

高可用性（HA）アクティブ /アクティブ、アクティブ /パッシブ、クラスタリング

8


図 9：FortiGate 60Eと業界平均の比較

技術的なヒント

FortiGateのモデル名における数字の違いは、アプライアンスに搭載されているストレージの容量の大小を表しています。例えば、FortiGate 101Fには 480

GBの SSDストレージが実装されています。

支社エッジの要件の特定が完了したら、フォーティネットが提供する豊富な選択肢からニーズにあった製品を選択できます。

FortiGateルーティング

セキュア SD-WANをWANアーキテクチャへと適切な方法で導入するには、パケットがサイト間をどのように伝送されるのかを把握する必要があります。レガシーネットワークでは、静的ルートまたは BGP（Border Gateway Protocol）を使用して、サイト間の動的ルーティングを行ってい

る場合もあります。FortiGateは BGPを完全にサポートし、セキュア SD-WAN環境にも対応します。

図 10：クライアント側のセキュア SD-WANと IPsec VPN

仕様 FortiGate 60E （SOC3 ASIC）

業界平均（この価格帯が基準）

FortiGate 60Eを使用する分散型エンタープライズのメリット

ファイアウォール 3,000 Mbps 630 Mbps 業界平均の 5倍のファイアウォールスループット

IPSEC VPN （AES256および 1,400バイト） 3,000 Mbps 275 Mbps

業界平均の 11倍のスループットを誇る AES254暗号化対応の VPNは、より多くのユーザーがパブリッククラウドアプリケーション安全にアクセスできる環境をサポート

IPSスループット 1,400 Mbps 300 Mbps 業界平均の 5倍の IPSスループットで脅威対策を強化

SSLインスペクション 340 Mbps 45 Mbps業界平均の 8倍の SSLインスペクションスループットで、増加する SSLトラフィックに対応

同時セッション 1.3 M 0.27 M業界平均の 5倍のセッション数でより多くのユーザーに完全なセキュリティのメリットを提供し、生産性を向上

消費電力 5 W 15 W 消費電力を 3分の 1に抑えることで、優れた拡張性を発揮

* 業界平均は、CheckPoint、Dell、Cisco Merakiのソリューションの価格帯別に算出

データセンターの共有ネットワーク


データセンター 1 のネットワーク

データセンター 1

トンネルインタフェーストンネルインタフェース

トンネルインタフェース




支社ネットワーク

支社

トンネルインタフェーストンネルインタフェース

データセンター 2 のネットワーク

データセンター 2

OSPF 領域 OSPF 領域

9


図 10は、プライベート領域内の BGPルーティング環境を示しています。この例では、顧客はインターネットを介した IPsecトンネルを使用してWANに接続しています。AS 65500はデータセンター、AS 65501は支社に割り当てられています。データセンターネットワークは、データセンターエッジの各 FortiGate NGFWを使用し、WANを介して支社に送信されます。たとえば、DCFW 1（図の左上にある FortiGate）は、10.200.1.0/24、10.200.0.0/24、10.200.3.0/24にルート情報を送信します。右上の FortiGateも、10.200.0.0/24と 10.200.3.0/24にルート情報を送信しますが、10.200.1.0/24ではなく、10.200.2.0/24ネットワークに送信します。ネットワークはそれぞれのバックエンドにルート情報を送信し、その他には送信しません。両方への送信も可能で、一部のシナリオで機能します。

BGPと動的ルーティングには、注意すべき点が 1つあります。この例で示すように、複数のホップ（ルーター）からルートを送信されるネットワークを導入するケースがあります。このようなルーティングアーキテクチャでは、非同期ルーティングに注意し、対応する必要があります。特に、ファイアウォール機能でセッション（リバースパスフォワーディング、スプーフィング対策など）を実行するセキュア SD-WAN環境が、これに該当します。

クライアント側からは、FortiGateは 10.0.0.0/24ネットワークにルート情報を送信します。データセンター FortiGate NGFWは、自身のルーターへのルート情報送信に加えて、ルートリフレクターとしての役割も果たします。これにより、他のメンバー（支社）に、メンバーからのルート更新を通知することができるため、各支社が他のすべての支社にルート更新を通知する必要がなくなります。ただし、WAN全体でのルート更新を行うため、不要なオーバーヘッドトラ

フィックや遅延が発生する原因になります。また、実際に問題になることは稀ですが、大規模なネットワークではコンバージェンスに要する時間とメモリ使用量に注意が必要です。

図では OSPF（Open Shortest Path First）が記載されていますが、FortiGateはこのバックエンドのデータセンター間ルーティングスキーマに参加しません（しかしながら、FortiGateは OSPFをサポートします）。セキュア SD-WANプロジェクトの開始にあたり、社内ネットワークアーキテクチャチームは、ルーティングスキーマがサポートされていること、そして適切に設計されていることを確認する必要があります。

管理者とエンジニアは、SD-WAN仮想WANリンクを使用するルートの設定を行う必要がありますが、FortiGateはメンバーインタフェース向けの各ルートをルーティングテーブルにインストールします。これらのルートはそれぞれアクティブで、共通した属性（宛先アドレスとサブセット、距離、優先順位）を持っています。これによって FortiGate NGFWは、インタフェースのダウン時に個々のルートを削除し、すべてのトラフィックを残りのメンバーのインタフェースにリダイレクトすることで、SD-WANメンバーに影響が及ばないようにします。

WANパス（SD-WANインタフェース）

FortiGateセキュア SD-WANソリューションの多くは、単一の仮想WANリンクに集約された自律的なアンダーレイ / オーバーレイインタフェースで構成されます。


ベストプラクティスでは、静的なバックホールルートを作成し、宛先を各支社ネットワーク（またはすべての支社を網羅できる規模）に設定します。データセンターの FortiGate NGFWが一時

的に支社ネットワークとの接続を失った場合には、接続が復旧しルートがBGPで集約されるまでの間、支社ネットワーク宛てのトラフィックはバックホールに送信されます。

専門用語の解説

アンダーレイトランスポート一般的に FortiGateデバイスに接続されている回線の物理的なトランスポートです。アンダーレイインタフェースとFortiGateの物理インタフェースの間には、1対 1の関係があります。これには、MPLS、ブロードバンド、Ethernetを介した 4G / LTE接続などがあります。

オーバーレイトランスポートアンダーレイトランスポートを使用する仮想インタフェースです。オーバーレイトランスポートには、1対多（物理インタフェースとオーバーレイインタフェース）の関係があります。これには、IPsecトンネルと VLAN インタフェースなどがあります。

図 11：SD-WANインタフェースのメンバー（オーバーレイとアンダーレイ）

支社

MPLS

MPLSアンダーレイ

ブロードバンドアンダーレイ

オーバーレイ IPSecVPN

マルチクラウドおよびインターネット

プライベートクラウド

ブロードバンド

10


図 11では、固有の 4つのインタフェースが支社の FortiGateで定義されています。物理的には、接続は 2つあります（WAN1とWAN2）。1つは MPLSネットワークへの接続、もう 1つはブロードバンドプロバイダーを介する接続です。ところが、この企業は IPsecオーバーレイインタフェースを 2つ確立しています。それぞれが物理オーバーレイへとトネリングしています。使用可能なインタフェースは合計 4つあり、FortiGate仮想WANリンクのメンバーになっています。この企業は、プライマリ / セカンダリパスの構成や、複数のパスを集約して帯域幅を増強する方法を選択することも可能です。

FortiGate NGFWでは、アンダーレイとオーバーレイにかかわらず、定義されたすべてのインタフェースを SD-WAN仮想WANリンクのメンバーにすることができます。FortiOS 6.xでは、仮想ドメイン（VDOM）はそれぞれ、1つの SD-WAN仮想WANリンクまたは SD-WANインタフェースを持っています。1つまたは複数の支社サイトに VDOMを導入する場合、設計チームは、SD-

WAN機能が複数の外部WANパスを利用できるように VDOM間ルーティングを設計する必要があります。

管理者は、仮想WANリンクメンバーのインタフェースを少なくとも 2つ指定しなければなりません。ファイアウォールポリシーや静的ルートが既に参照しているインタフェースをメンバーインタフェースとして追加することはできないため、FortiGateの初期設定の早い段階で SD-

WANの構成を行う必要があります。


FortiGate内のインタフェースをすべて SD-WAN 仮想 WAN リンクに追加する必要はありません。非参加のインタフェースを除外する方法として、FortiGateは、拒否のための暗黙的ルールの設定をサポートします。これにより、トラフィックが SD-WANインタフェースへのルーティングを意図されない限り、SD-WANポリシーベースのルーティングルールはトラフィックのマッチングを行いません。

図 12：IPsecオーバーレイインタフェース

図 12では、アンダーレイインタフェースが 2つあります（WAN1とWAN2）。この 2つのインタフェースから、支社の FortiGate上に 4つのオーバーレイインタフェースが作成されています。IPsecトンネルを使用するアンダーレイインタフェース間には、フルメッシュ接続が構成されています。この例では、SD-WAN仮想WANリンクに対して、アンダーレイインタフェース 2つとオーバーレイインタフェース 4つ、合計 6つのインタフェースを追加することができます。

FortiGateは、IPsecトンネルとアーキテクチャへの接続として、一般的なハブ &スポーク、部分メッシュまたはフルメッシュ VPNアーキテクチャなど、数多くの接続をサポートします。図 13は、一般的なハブ &スポークの VPNアーキテクチャを示しています。

図 13：ハブ &スポークWAN（VPN）アーキテクチャ

支社

支社

支社支社

支社

本社

プライベートクラウド

仮想プライベートネットワーク接続

VPN接続は、セキュア SD-WANの導入において極めて有効です。VPNトンネルは、複数あるアンダーレイインタフェースのいずれかのレベルに存在することがあり、オーバーレイインタフェースとして機能します。

11


図 15：FortiGate PPP（パラレルパスプロセシング）

このアーキテクチャでは、サイト間パスはハブを経由しています。さらに、レガシーWAN環境では、すべてのトラフィックがハブを通過します。しかしながら、WANエッジの近代化によって個々の支社サイトがダイレクトインターネットアクセスに対応できるようになります。これにより、Secure SD-WANは企業のデータセンターとマルチクラウド環境のいずれのアプリケーションでも、パスの選択を最適化してアプリケーションのパフォーマンスと可用性を向上します。部分メッシュまたはフルメッシュにより、支社サイトには直接的な相互接続が実装されます。FortiGateが備える ADVPN（自動検出 VPN）は、ハブサイトの支援によって、スポークサイト間のダイレクト VPで動的ネゴシエーションをオンデマンドで実行します。一般的に、他のスポークからルートを取得するためにルーティングプロトコルを使用する必要がありますが、FortiGateはハブの役割を果たすことで各スポークのネットワーク情報を保持し、2つのスポーク間の直接接続を可能にしながら、ルートを通知することができます。

図 14：セキュリティ要件

支社エッジにおいて SD-WANとセキュリティ機能を完全に提供し、コストの高い帯域幅を節約する FortiGateセキュア SD-WANは、抜群の低コスト、高パフォーマンス、高度なセキュリティ機能を誇ります。SD-WANおよびWANエッジの近代化においては、FortiGate NGFWの主な機能のアーキテクチャをぜひご検討ください。

すべての FortiGateアプライアンスが提供する最大の価値は、SOC3によってもたらされます。この専用設計のセキュリティプロセッサは、パフォーマンスと拡張性を大幅に向上することで、最速のネットワークセキュリティアプライアンスを実現しています。急増を続ける帯域幅ニーズに常に対応でき、セキュリティがネットワークパフォーマンスに影響を及ぼすこともありません。フォーティネットのセキュリティプロセッサは、パケット処理とコンテンツスキャン機能の特定領域を高速化します。このカスタマイズされたテクノロジーは、パフォーマンスを低下させることなく、複数のセキュリティアプリケーションを実行します。SD-WANと高度なセキュリティ機能を同じアプライアンスで実行すると同時に（統合）、これまでと同じコストを維持することができ（OpExの節減）、パフォーマンスが低下することもありません。


FortiOS 6.2では、FEC（前方誤り訂正）を IPsec VPNメンバーに追加することで、ビジネスクリティカルなアプリケーション（音声とビデオなど）のパケットロス率を低減します。

FortiGate IPsecトンネルの構成が完了したら、SD-WAN仮想 WANリンクのメンバーとしてインタフェースを追加します。これによって、FortiGateは SD-WAN仮想WANリンクの一部としてパフォーマンス SLA、SD-WANポリシー、セキュリティポリシー、優先順位を活用できるようになります。

統合型 NGFW

フォーティネットのセキュア SD-WAN最大のメリットは、NGFW機能の統合です。他のソリューションアーキテクチャ（サードパーティへのオフロード、クラウドへのトンネリングなど）も実用的ではありますが、SD-WANはWANエッジの制御と最適化に重点を置いています。このため、限られた予算の中でエッジでの制御を最大限に強化できます。FortiGateは、制御とコストのいずれの要件も満たしており、ユーザーの期待を上回るソリューションです。






ウイルス対策

次世代ファイアウォールの先進機能

パケット処理

コンテンツインスペクション

ポリシー管理最適化

12


図 15では、セキュリティプロセッサを使用することで、パケットサイズにかかわらず、ファイアウォールスループットが 1 Gbpsから 1 Tbpsへと拡張されています。フォーティネットのパラレルパスプロセシング（PPP）アーキテクチャは、パケットフロー内で使用可能な高性能ハードウェア / ソフトウェアリソースを最適化することで、レイテンシを極めて低く抑え、スループットを最大化します。

FortiGateは、その中心で動作するステートフルなパケットフィルター（ファイアウォール）を備えており、支社エッジからのセキュアなセッションベースの接続を実現します。FortiGateは、支社エッジでセキュリティとWANパスコントロールを提供する包括的なセキュア SD-WANソリューションです。

ファイアウォールポリシーとは、アイデンティティベースのきめ細かいセキュリティポリシーを適用する機能です。SD-WANの導入では、FortiGateセキュリティポリシーを簡単に実装できます。ポリシー内で SD-WANインタフェースを識別することのみが必要で、仮想WANリンクメンバーで個別にルールを設定する必要はありません。このポリシーはすべてのメンバーに適用されるため、FortiGateや FortiManagerを区別せず、SD-WANとセキュリティ機能を 1つのインタフェースに統合できます。支社エッジに高度なセキュリティ機能を実装できることに加えて、きめ細かい認証やアクセス制御が可能になります。

アプリケーション制御は、SD-WANの動的なアプリケーションステアリングにおいて不可欠な機能ですが、セキュリティにおいても重要な役割を果たしています。たとえば、Dropboxなどのクラウドリポジトリからのファイルダウンロードは許可するが、アップロードは許可しない企業のケースを考えてみましょう。この場合、SD-WANインタフェースで、SSLインスペクション、アプリケーション制御、セキュリティポリシーを組み合わせる必要があります。

SSLインスペクションがないと、デバイスはセッションのアクティビティを特定できません。アプリケーション制御がなければ、エッジデバイスはアプリケーションを迅速に特定できないため、セッションをルールに割り当てることができなくなります。アプリケーションとユーザーのアクティビティを識別できたとしても、ファイアウォールルールベースがなければ、きめ細かいアイデンティティベースのセキュリティポリシーを適用することは不可能です。つまり、この 3つの機能を組み合わせることで、WANパスの正確な制御だけでなく、IPS、マルウェア対策、URLフィルタリングといった高度なセキュリティ機能を利用できるようになるのです。

さらに、FortiGateはファイルのサンプルを FortiSandboxにオフロードし、ゼロデイマルウェア対策を講じます。FortiGateは、完全な単一のセキュリティスタックを提供します。

図 16：スタンドアロンと FortiGateセキュリティアーキテクチャの比較

スタンドアロンの支社エッジ戦略には、多額のコストがかかります。フォーティネットは、この 7つの機能をすべて 1つの FortiGateフォームファクターに統合します。競合他社を凌ぐパフォーマンスを実現し、フォーティネット独自の FortiGuard Labsのグローバルな脅威リサーチおよびレ

スポンスチームに脅威インテリジェンスを提供します。

SD-WANのパケット最適化

レガシーWANアーキテクチャには、QoS（サービス品質）が含まれるのが一般的です。MPLSネットワークには低帯域幅接続が存在するため、支社によっては接続が低速になります。一部の支社には十分な帯域幅が提供されるものの、やはり重要度の高いビジネスアプリケーションを保護するためには QoS機能が必要になります。一般的に、このようなアプリケーションには音声（VoIP）やビデオなどが含まれ、エッジデバイス（ルーター）で識別することによって、WANを介して優先的に伝送されます。さらに FortiGateは、デフォルトの優先バケットや DS（Differentiated

Service）マーキングをはじめとするパケットシェーピング機能も備えています。輻輳によってインタフェースの全体的なパフォーマンスが低下した場合、優先度の高いビジネスアプリケーションは特定の仮想WANリンクメンバーインタフェースを優先的に通過できます。

ファイアウォール / VPN

侵入防止（IPS）

Webプロキシ

ウイルス対策

Webフィルター

サンドボックス


スタンドアロン FortiGate次世代ファイアウォール

高度な脅威検知

脅威の阻止

NGFW

専用設計のセキュリティプロセッサが最高レベルのパフォーマンスを実現

ファイアウォール VPN


侵入防止マルウェア対策

URL フィルタリング

サンドボックス SSL インスペクション

13


管理とオーケストレーションFortiManagerは、セキュア SD-WANの支社エッジデバイスの管理とオーケストレーションを一元化します。FortiManagerは、オンプレミス、プライベートクラウド、パブリッククラウドな

どに設置できますが、場所を問わず、各 FortiGateデバイスへの接続の維持、パフォーマンスSLAの監視、グローバル接続の一元的な可視化を行います。また、セキュリティポリシー設定、SD-WANポリシー設定、パフォーマンス SLAの定義に活用できるテンプレートも提供されています。

セキュアSD-WANの管理者は、FortiManagerだけで環境全体を制御できます。APIとセキュリティ

ファブリックコネクタを柔軟にサポートする FortiManagerは、組織内のワークフローへのシームレスな統合に対応します。

図 17：FortiManagerの地理的な監視

図 18：フォーティネットのゼロタッチ展開プロセス

ゼロタッチ展開

FortiManagerは、ZTD（ゼロタッチ展開）においても重要な役割を果たします。ZTDキーを追加すると、デバイスは ZTDデバイスとしてFortiDeployシステムに登録されます。さらにユーザーは、FortiManagerがルーティング可能な IPアドレスを FortiDeployシステム内で特定します。新規デバイスを接続し、Ethernet経由でインターネット接続すると、FortiGateは自動的に問い合わせを行い、FortiManager IPアドレスを取得して、即座に FortiManagerへの接続を要求します。

デバイスが認証されると、FortiManagerは構成テンプレートを各デバイスにプッシュします。これにより、セキュリティと SD-WAN機能が支社

で完全に設定されます。


サイト間 VPNトンネル（FortiGateまたは FortiManagerを経由）の設定には、IPsec VPNテンプレートを使用します。トンネルネゴシエーションには数多くの設定オプションがあるため、テンプレートを使用することで設定ミスを回避できます。

接続デバイスを接続

問い合わせFortiCloud内の FortiDeployサービスに問い合わせ構成FortiManagerからデバイス全体を構成

支店


まとめフォーティネットは、包括的なセキュア SD-WANソリューションを FortiGateで提供することにより、必要なWANエッジアーキテクチャを簡素化します。FortiOS搭載の FortiGateは、静的プロトコルと動的プロトコルの両方をサポートするルーティング機能を備え、支社エッジにある多数のデバイスを統合します。さらに、FortiGateは SPUを搭載しているため、パフォーマンスを犠牲にすることなく、複数のデバイスで構成されるセキュリティアーキテクチャをリプレースできます。また、SD-WANコア機能では、すでに豊富な実績のあるパフォーマンスと管理性を発揮します。FortiGateは、ネットワークとセキュリティアーキテクチャを 1つに統合し、優れた堅牢性、導入の簡素化、管理の簡素化を実現する唯一のセキュア SD-WANソリューションです。

1 フォーティネットの社内リサーチとテストに基づく。2 同上。

Copyright© 2019 Fortinet, Inc. All rights reserved. この文書のいかなる部分も、いかなる方法によっても複製、または電子媒体に複写することを禁じます。この文書に記載されている仕様は、予告なしに変更されることがあります。この文書に含まれている情報の正確性および信頼性には万全を期しておりますが、Fortinet, Inc. は、いかなる利用についても一切の責任を負わないものとします。Fortinet®、FortiGate®、FortiCare®、および FortiGuard® は Fortinet, Inc. の登録商標です。その他記載されているフォーティネット製品はフォーティネットの商標です。その他の製品または社名は各社の商標です。

〒106-0032東京都港区六本木 7-7-7　　Tri-Seven Roppongi 9 階www.fortinet.com/jp/contact

WP-Secure-SD-WAN Reference-Architecture-201910-R2

リファレンスアーキテクチャ...4 aper フォーティネットのセキュア sd-wan...

Documents