アジェンダ
前編
(1) 本記事の説明範囲と目的
(2) SD-WAN が求められる背景
(3) SD-WAN 用語
(4) QUANTUM SD-WAN の特徴
(5) QUANTUM SD-WAN ライセンシング
(6) QUANTUM SD-WAN ユースケース
(7) QUANTUM SD-WAN 制限
後編
(8) SD-WAN インストールワークフロー
✓Management Server側での設定
✓Gateway側での設定
✓Wizardを使ったSD-WANの設定(SD-WAN Policy, Steering Behavior, WAN Link Mapping, Publish & Enforce)
(9) SD-WAN POLICY RULE BASE
(10) WAN LINKS
(11) WAN LINK MAPPING
(12) STEERING BEHAVIOR
(13) MONITORING
(14) EVENTS
(15) LOGS
(1) 本記事の説明範囲と目的
本記事の説明の対象範囲と記事の目的についてご説明させていただきます。先ず本記事の目的についてですが、SD-WANが求められる背景やSD-WANのメリットや特徴、それから SD-WAN 特有の用語など、SD-WANの概要をざっと網羅させていただき、読者の方に理解していただくこと、それからCheck PointのSD-WANソリューションから典型的なオプションのインストールのワークフローをご紹介させていただくことで、インストールの流れを把握・理解いただき、各機能に関する画面についても知っていただくことを目的とさせていただきます。
前編と後編の2記事構成とさせていただき、前編では、アジェンダの(1)章から(7)章までをご紹介し、後編では、アジェンダの(8)章から(15)章をご紹介させていただきます。
(8)章のSD-WANのインストールワークフローのご紹介に関しましては、Check PointのSD-WANをお使いの場合、下記のようにいくつかのオプションがありますが、
本記事では、QuantumとSecurity Management Serverを使った管理サーバーの組み合わせで、Check Point SD-WANを実装する場合について、説明をさせていただきます。
(2) SD-WAN が求められる背景
昨今は、AWS, AZURE, GCPなどのIaaSはもちろん、PaaSやSaaSなどの利用も非常に増えている状況で、クラウドへの移行というのがSD-WAN検討の大きなモチベーションの一つになっています。従来側のMPLSをベースにしたWANネットワークは、インターネットへの出口を、データセンターや本社といった企業のメイン拠点に設けますが、その場合、小規模拠点からインターネットへの通信に関しても、このメイン拠点へバックホール(迂回)して外部に出ていくことになります。そして、このメイン拠点のインターネットへの出口にトラフィックが集中してボトルネック化することで、パフォーマンス/ユーザーエクスペリエンスの低下といった問題が顕著になっています。
こういった問題への対策として、ローカルブレイクアウトも含むより柔軟なトラフィック操作・制御が必要になってきています。また、リモートワーク・ハイブリッドワークへの対応や、ゼロトラストの導入といったセキュリティ面向上の必要性なども、大きなモチベーションになっています。
それから、キャリアによっては通信品質が想定よりも低く、高いコストを支払っている割には、ユーザーのエクスペリエンスが高まらず、コストパフォーマンスが低下している場合が有ります。そういった場合でも、SD-WANと、複数のプロバイダーのインターネット回線を併用し、パフォーマンスルーティングを活用することで、コストに比較して、良好な通信品質を実現することも出来ることから、通信におけるコストパフォーマンスを非常に高めることが出来る点も大きなモチベーションの一つと言えると思います。
クラウドといいますと、手軽に素早く、安価にリソースを使えるという点がメリットかと思いますが、現在のユーザーを取り巻く状況を見ますと、例えばカーシェアや、音楽や映画のサブスクなどのシェアリングエコノミーや、フリーマーケットなどの安価な商品購入機会の拡大といった背景もあり、よりコスト効果の高い・コスパの良いソリューションが求められるということも、SD-WANが求められる背景に、無関係では無いかと思います。
(3) SD-WAN 用語
SD-WANには特有の用語が有ります。ここでは、それらのSD-WAN 用語についてご紹介いたします。
ASSET
ASSETはオンプレミスの管理サーバーまたは Smart-1 Cloud で設定したオブジェクトのことです。これらのオブジェクトには、セキュリティゲートウェイ、クラスタ、ホスト、ネットワーク、サービス、グループ、アドレス範囲、セキュリティゾーン、動的オブジェクトなどのタイプがあります。これらのオブジェクトは、SD-WAN ルールの送信元列と宛先列で使用できます。これは、後ほどワークフローで説明しますが、管理サーバーとInfinity PortalのSD-WANの機能を接続することで、これらのオブジェクトをInfinity PortalのSD-WANのところで、扱えるようになります。これをASSETと呼びます。
ZONES
ZONESはSD-WANで使用するゾーンを定義するオブジェクトです。ZONEは複数のアセットの集合のことです。使用可能なZONEには、(1)SD-WAN, (2)Internet My VPN Domain & Peer VPN Domain, (3)Anyの3つが有ります。
APPLICATIONS
APPLICATIONSは、Infinity Portal に存在するアプリケーションの種類を定義する、定義済みオブジェクトです。これらのオブジェクトは、トラフィックを生成する様々なアプリケーション(Zoom、Gmail、Facebook など)を表します。Check Point は、Infinity Portal 内のこれらのアプリケーションのリストを更新します。セキュリティゲートウェイは、これらのアプリケーションの更新された識別情報を取得します。
SERVICES
SERVICESは、プロトコルやポートなどのサービス種別が定義された、定義済みオブジェクトとユーザー定義オブジェクトの組み合わせのことです。SERVICEは、プロトコルとポートを経由するトラフィックも表しています。
WAN LINKS
WAN LINKSは、WANのリンクを定義するオブジェクトです。これらのオブジェクトは、セキュリティゲートウェイとインターネットサービスプロバイダー (ISP) のリンクを表します。
WAN LINK MAPPING
WAN LINK MAPPINGは、インターフェース名またはユーザー定義のインターフェースタグに基づいて、WAN リンクと Security Gateway のインターフェースのマッピングを制御するものです。詳細はWAN リンクマッピングを参照してください。
※注 - インターフェースタグは、インターフェースに割り当てることができる別名です。
STEERING (STEERING BEHAVIOR)
STEERING BEHAVIORは、Infinity Portal の設定で、セキュリティゲートウェイが以下の基準に基づいてトラフィックをステアリングする方法を制御する方法です。
✓適用可能なインターネットサービスプロバイダー (ISP)
✓ISP リンクのレイテンシ、ジッター、パケットロス
✓WAN リンクの使用率
詳細は、ステアリング動作の設定をご参照ください。
SD-WAN POLICY
セキュリティ・ゲートウェイが様々なアプリケーションやサービスのトラフィックをインターネットまたは本社へ誘導する方法を制御するステアリングルールのセット。セキュリティ・ゲートウェイがこの順序付きポリシーに一致するものを見つけられない場合、以下の処理が実行されます。
✓暗号化すべきでない接続の場合、セキュリティ・ゲートウェイは Gaia オペレーティング・システムのルーティングを使用してトラフィックを転送します。
✓暗号化されている接続の場合、セキュリティ・ゲートウェイは利用可能なすべての WAN リンクを使用してトラフィックを転送することはできません。
詳細は、SD-WAN ポリシーの設定をご参照ください。
PROFILES
SD-WANの要素を表すPROFILEといものがあります。PROFILEにはQuantum ProfileとSD-WAN Profileの2つが有ります。後ほどワークフローでも説明しますが、前者はQuantum SD-WANをデプロイする際に、Nano-AgentというソフトウェアをQuantum GWにインストールする必要があり、その時に使うQuantumを表すProfileです。後者はSD-WAN Policy Rule上で、GWもしくは複数GWのグループを指定するためのプロファイルです。
PROFILE TOKEN
Quantum Profile タイプのプロファイルは、認証トークンを使用して、Infinity Portal の SD-WAN サービスに接続する SD-WAN セキュリティゲートウェイを識別します。この事前共有秘密ベースのトークンのことをPROFILE TOKENと言います。
AGENTS
セキュリティゲートウェイ上で実行される小さなソフトウェアパッケージ(コンポーネント)。このナノエージェントは、以下の機能を備えています。
✓SD-WANポリシーのインストールと適用
✓ポリシー適用(成功または失敗)のログをInfinity Portalに送信する
✓SD-WANリンクスワップイベントをInfinity Portalに送信する
✓SD-WANリンクのメトリクスをInfinity Portalに送信する
UNDERLAY
アンダーレイは、ネットワークの種類で、物理的なネットワークのことです。MPLS, Fiberなどのブロードバンドネットワーク、それから5Gなどのセルラーネットワークなどのネットワークです。
OVERLAY
オーバーレイは、ネットワークの種類でアンダーレイネットワークの上に論理的に作られるSite間VPNなどの論理ネットワークのことです。アンダーレイという言葉と対の意味になる言葉です。SD-WANを使う場合でも、インターネットローカルブレイクアウトなど、直接Internetに出ていく通信はVPNを張らないので、オーバーレイでは無いです。
(4) QUANTUM SD-WANの特徴
(4-1) アプリケーションとユーザーのルーティングの最適化
このように、採用が増加しているSD-WANですが、Check PointのSD-WANがどうなのかといったことをお話させていただきます。
先ず、Check Point SD-WANでは利用可能な容量を自動的に優先順位付けする機能があるため、ビジネスアプリケーションを保護します。
また、事前定義されたカテゴリに基づいてアプリケーションを自動的に操作する機能を備え、Web会議やリモートサポート接続などの遅延の影響を受けやすいアプリケーションと、ファイル共有やコンシューマーアプリケーションなどのその他のアプリケーションを区別することで、トラフィックを適切に優先順位付けし、利用可能な最適なパスに送ります。
それから、ステアリングポリシー設定用の組み込みウィザードを備えているため、自動的かつ簡易な手順で、複数のアプリケーションやサービスをハンドルするトラフィックステアリングポリシーを実装することが出来ます。
(4-2) リンクの健全性の監視
オーバーレイまたはローカルブレイクアウトネットワークにおいて、アプリケーションレベルでの不安定な接続や障害を継続的に監視し、最適なパスをリアルタイムで動的に選択する機能を備えています。
また、トラフィックの遅延、ジッター、パケットロスを監視し、定義されたしきい値を超えた場合に、リンク間の自動切り替え(リンクスワッピングと呼びます)を可能にします。
(4-3) 高度な分析機能
高度なリアルタイムモニタリングと分析機能を有し、専用のダッシュボードで簡単に利用できます。また、リンクSLAのライブモニタリング、リンクスワップの分析、ネットワーク全体の健全性などが簡単に確認できます。それから、OVERVIEWで、一目でSD-WANの状況を把握出来、必要に応じてドリルダウンして詳細を確認できるため、ネットワークの接続に関して高い可用性を実現します。
(4-4) 1秒未満の高速フェールオーバー
サービスプロバイダー間の接続変更がほとんど意識されることのない、スムーズでシームレスなハンドオフを実現する1秒未満のフェイルオーバーが可能です。この機能により、特にWeb会議、リモートサポート、その他の遅延の影響を受けやすいアプリケーションにおいて、優れたユーザーエクスペリエンスを確保することが可能です。
✓WEB会議など遅延の影響を受けやすいアプリケーションへも優れたユーザーエクスペリエンスを提供
✓不安定な接続、リンクのバーンアウトや機能停止が発生すると、即座にフェイルオーバーを実施
✓1秒未満の高速フェールオーバーにより、スムーズでシームレスなハンドオフを実現(プロバイダーのリンク切り替わりを意識せずにハンドオフ)
(4-5) 複数リンクのサポート
複数リンクをサポートしていますので、より多くの帯域幅を使用し、アプリケーション、パフォーマンス、リンクコスト、等の属性に基づいてトラフィックに最も効率的なパスを選択できます。
また、4G、5G、LTEなどのワイヤレス接続をはじめとして、光ファイバーケーブルなど、あらゆるリンクタイプをサポートしていますので、様々なケースに対応しながらSD-WANをデプロイすることが可能です。
(4-6) 帯域幅のアグリゲーション
複数のサービスプロバイダーのリンクを利用して、リンク容量を集約(アグリゲート)する機能を有しています。帯域幅のアグリゲートにより、普段はアイドル状態になるスタンバイの冗長トンネルを保持する必要が無くなり、帯域を最大限に有効活用できます。
(4-7) 最高のセキュリティと最適なトラフィック操作の融合
Check PointのSD-WANソリューションは、最高のセキュリティと最適なトラフィック操作を融合させたソリューションです。
ゼロデイ攻撃、フィッシング攻撃、ランサムウェア攻撃に対する包括的かつ、業界最高レベルを誇る防御を提供するとともに、豊富なSD-WAN機能により、ユーザーと10,000を超えるアプリケーションのルーティングと、最適なトラフィック操作も可能にします。
また、Quantum SD-WANと Check Pointが提供する SASEソリューションを組み合わせることで、包括的なセキュリティとSASE/SSEを提供することもできます。
(4-8) 既存インフラの活用
また、従来からFirewall/UTMやVPN Gatewayとして、Check PointのQuantumをお使いのユーザー様は、既存のインフラを活用することが出来ます。既存のQuantumアプライアンスのソフトウェアアップグレードでSD-WANを有効化できますので、SD-WANのための追加のハードウェアは不要です。
(5) QUANTUM SD-WAN ライセンシング
(5-1) 現在のSD-WANライセンスの確認
現在のSD-WANライセンスの確認は、Infinity Portalのテナント名の横にある歯車のアイコンをクリックして、Services & Contractsというとことで確認をすることが出来ます。
✓Check Point Infinity Portal にログインします。
✓上部のツールバーで、テナント名の横にある歯車のアイコンをクリックし、「Services & Contracts」をクリックします。
✓このページには、アカウントに関連付けられている現在のすべてのサブスクリプションとサービスが表示されます。
(5-2) 新規のSD-WANライセンスの関連付け
ユーザーセンターのアカウントにて、SD-WANブレードのライセンスを購入いただき、下記の手順により、購入いただいたユーザーセンターアカウントをInfinity Portalにリンクさせることで新規のライセンスがInfinity Portal上でも使えるようになります。
✓Check Pointユーザーセンターアカウントを既にお持ちの場合は、この手順をスキップしてください。Check Pointユーザーセンターアカウントを作成し、SD-WANサブスクリプションを購入してください。
注:セキュリティゲートウェイのSD-WANライセンスを購入すると、Check Pointはユーザーセンターアカウントを新しいサービスサブスクリプションに更新します。
✓ユーザーセンターアカウントをInfinity Portalアカウントにリンクしてください。
✓Infinity PortalでQuantum SD-WANサービスを有効化してください。
注:手順については、「Infinity Portal管理ガイド」の「サービスと契約」を参照してください。
それから、ユーザーセンターアカウントで、購入したSD-WAN SKUサブスクリプションを特定のセキュリティゲートウェイに関連付けます。
(5-3) SD-WAN ライセンスの更新
SD-WANライセンスの更新に関しても、他製品と同様に、Infinity Portalのテナント横の歯車アイコンのService & ContractsのManage AccountsからSyncをすることで更新がされます。
✓Check Point Infinity Portal にログインします。
✓上部のツールバーで、テナント名の横にある歯車のアイコンをクリックし、「 Services & Contracts 」をクリックします。
✓右上にある「Manage Accounts」リンクをクリックします。
✓「Manage Accounts」ウィンドウが開きます。
✓該当するアカウントの行で、「Sync」をクリックします。
(5-4) SD-WAN 評価ライセンス
評価ライセンスもUser Centerから申請できます。評価ライセンスの利用可能期間は30日間になります。
✓Quantum SD-WAN サービスの評価ライセンスは、Check Point User Center の有効なアカウントから申請できます。
✓Check Point は、お客様のアカウントに 30 日間の評価ライセンスを付与します。
✓30 日の有効期限が切れた後は、製品の使用を継続するためにソフトウェアライセンスをご購入いただく必要があります。
注:Infinity Portal テナントで有効な SD-WAN 契約を有効化せずに SD-WAN 製品を使用する場合、SD-WAN ログの共有は許可されません。そのため、重大なデータ損失のリスクがあります。
(5-5) QUANTUM SD-WAN BLADE ライセンス注意事項
すべての関連するライセンスは、セキュリティゲートウェイごとにご注文いただく必要がございます(クラスタごとではありません)。SD-WANブレードの有効化には、Application ControlおよびURL Filteringのソフトウェアブレードが必要です。
注:サイジングの際もこれらのブレードを有効にすることを想定してサイジングを考慮いただく必要が有ります。
そして、高度なオーバーレイネットワークを有効にするには、IPSec VPNソフトウェアブレードが必要です。ステアリングポリシーとモニタリングの管理に使用できるInfinity Portal SD-WANアプリケーションが付属しており、ポリシーのステアリングやモニタリング用の追加ライセンスは不要です。
(6) SD-WAN ユースケース
(6-1) ユースケース 1 ローカルブレイクアウト
SD-WAN のユースケースとして、先ずインターネットローカルブレイクアウトにSD-WANを使うことが出来ます。
SD-WANが無くても、Check PointのQuantumでローカルブレイクアウトは可能ですが、SD-WANを使うことで、
より高い可用性に配慮して、帯域の有効活用をする、インテリジェントなローカルブレイクアウトが可能となります。
(6-2) ユースケース 2 VPN オーバーレイ
SD-WAN の2つ目のユースケースとして、VPNを使い、組織内のサイト間の接続をするユースケースが有ります。従来のInternet VPNと比べて、SD-WANを使うと、高い可用性に配慮し、帯域幅を有効活用した、拠点間ネットワーク接続が実現できます。
(6-3) ユースケース 3 バックホール
SD-WAN の3つ目のユースケースとして、バックホールが有ります。これは、インターネット通信を支店の拠点から、本社やDCなどのハブ拠点経由でルーティングするユースケースになります。また、支店からハブ拠点にバックホールさせて、ハブ拠点からブレイクアウトさせてインターネットへ出ていくことも可能です。
これら3つのユースケースを組み合わせて、よりコストパフォーマンスが高く、安定性の高い、ネットワーク接続を実現することが出来ます。
(7) QUANTUM SD-WAN 制限
Check PointのQuantum SD-WANの制限についてです。
Quantum Security GatewayとSecurity Management Serverを同一の筐体・又はインスタンスにインストールする、スタンドアローン構成では、Quantum SD-WANはサポートしていません。また、以前はMAESTRO CLUSTERでは、Quantum SD-WANはサポートされていませんでしたが、現状はサポートするようになっています。
ここまで、Check PointのQUANTUM SD-WANソリューションの概要についてご説明させていただきました。Check PointのQUANTUM SD-WANソリューションは、最高レベルのセキュリティ性能と、数多くのアプリケーションをカバーする最適なトラフィック操作を融合する、唯一無二のセキュリティ&ネットワークソリューションとなります。是非、QUANTUM SD-WANのソリューションをご活用いただき、情報資産を強固に守りながら、高いパフォーマンス・可用性と、コストパフォーマンスを両立させたWANネットワークをご利用してみてください。
後編では、SD-WANのインストールワークフローと、各画面の説明をさせていただきます。