/ SD-WANとMPLSの違いとは
SD-WANとMPLSの違いとは
SD-WANは複数の種類の接続を組み合わせられる仮想化されたネットワーク オーバーレイであるのに対し、MPLSはハードウェアベースの専用のプライベート ネットワークであるという違いがあります。他にも、SD-WANはインターネット上に暗号化されたトンネルを作成しますが、MPLSは暗号化を直接サポートせず、インターネットから分離されているという点が挙げられます。現在、SD-WANはMPLSよりも費用対効果が高く、柔軟で安全と考えられています。
SD-WANとは
ソフトウェア定義型広域ネットワーク(SD-WAN)は、仮想化とオーバーレイ トンネルを使用して、ユーザーをVPNやブロードバンド インターネット接続、LTE、マルチプロトコル ラベル スイッチング(MPLS)接続などの複数のトランスポート サービスや既存のインフラのワークロードに接続させます。組織がオンプレミスのデータ センターから移行する際、トラフィックの自動ステアリングを備えたSD-WANは、従来のWAN接続に代わる効率的な手段となります。
SD-WANの仕組み
SD-WANはアプリケーションアウェア ルーティング プロトコルを使用して、アプリケーションのパフォーマンスを向上させます。ほとんどのSD-WANソリューションは、エンドツーエンドの暗号化トンネルの形式で仮想オーバーレイを作成し、集中型マネージャーによってWAN上の最も効率的なルートでネットワーク トラフィックが誘導されます。このトラフィックは最適なサービス品質(QoS)を提供するために、ビジネス ポリシーによって優先順位が付けられます。
これらの安全なトンネルによって、ユーザーやエンティティーはクラウド内のSaaSアプリやインフラに直接接続されます。そのため、新たなインフラにかかるコストの削減、接続とユーザー エクスペリエンスの改善、攻撃対象領域の抑制が可能になり、従来のWANやハイブリッドWANのアーキテクチャーよりも優れたメリットが実現します。
MPLSとは
マルチプロトコル ラベル スイッチング(MPLS)は、IPアドレスの代わりにラベルを使用してトラフィックをルーティングし、パケット転送の最短パスを決定する広域ネットワーク(WAN)プロトコルの一種です。パケット スイッチングを介してルーターからルーターに送信するのではなく、各データ パケットにラベルを付与してパケットがたどるパスを制御します。MPLSの目的はルーターの遅延や揺らぎを最小限に抑え、QoSを改善し、パケット損失を減らしながら、トラフィックを可能な限り迅速に移動させることです。
MPLSの仕組み
MPLSは、IPアドレスではなくラベルに基づいて事前に決められたパスをトラフィックに付与します。従来のIPルーティングでは、各ルーターがトラフィックをどのネクスト ホップに送信するかを個別に決定します。これに対し、MPLSではラベルスイッチ パス(LSP)を介してトラフィックを送信します。この方法では、ルーターはMPLSラベルだけを参照するため、トラフィックのIPアドレスすべてを理解する必要がなくなります。
MPLSルーターは送受信データにラベルを付け、同様の特性を持つパケットを組み合わせます。こうすることでネットワーク層のトラフィックの種類が削減されるため、遅延の短縮が可能になります。ただし、MPLSにはセキュリティが備わっていないため、トラフィックをセキュリティ スタックにバックホールする必要があり、結果として遅延が長くなります。
MPLSと比較したSD-WANのメリット
SD-WANでは、ブロードバンド インターネットなどのネットワークやソフトウェア定義ポリシーを使用して、パブリックWebサイト、クラウド アプリケーション、データ センターにトラフィックをルーティングするための最適なパスを選択できます。MPLSよりもさまざまなメリットを提供します。そのうちのいくつかを紹介します。
- 低コスト:SD-WANは、高価な専用回路を必要とするMPLSとは異なり、費用対効果の高いパブリック インターネットを活用することでコストを削減します。
- 高い柔軟性:SD-WANはインフラが仮想化されているため数分で変更できます。一方、複雑なMPLS回線の変更には数か月かかる場合があります。
- 高パフォーマンス:SD-WANは重要なトラフィックを優先し、バックホールの排除、遅延の削減、ユーザー エクスペリエンスの向上を実現します。MPLSでは、中央のゲートウェイを経由して再ルーティングする必要があります。
- シンプルな運用:SD-WANは自動構成のためのゼロタッチ プロビジョニングを備えていますが、MPLSは手動で構成されたハードウェアに依存しています。
- 強力なセキュリティ:SD-WANは暗号化されたエンドツーエンドのトンネルを使用し、クラウド型のセキュリティと統合されます。一方、MPLS接続はプライベートですが、本質的に安全でなく暗号化されていません。
- SASEのサポート:SD-WANは、ネットワークとクラウド型のセキュリティを統合することでセキュア アクセス サービス エッジ(SASE)をサポートします。MPLSには、SASEをサポートする柔軟性と統合機能がありません。
MPLSと比較したSD-WANのデメリット
SD-WANは、エンタープライズ ネットワーク ソリューションであるMPLSと比較して多くのメリットがあるものの、インターネット回線に依存するため、攻撃対象領域を拡大させる可能性もあります。あらゆる場所のユーザーやサーバー、IoT/OTデバイスに真に安全なSD-WAN接続を提供するには、ゼロトラストとSD-WANを組み合わせる必要があります。
SD-WANとMPLSのどちらを選択するか
SD-WANとMPLSのどちらを選択するかは、組織のニーズによって変わります。SD-WANは低コストで、拡張性と柔軟性に優れているため、クラウドのような動的な環境を利用している場合は、より優れた選択肢になります。主にパフォーマンスの高さと低遅延が重要で、セキュリティやコストはさほど重視しないと場合は、MPLSという選択肢もあるかもしれません。
Zscalerのソリューション
Zscaler Zero Trust SD-WANは、安全なSD-WANのメリットと真のゼロトラスト アーキテクチャーの力を兼ね備えています。
ユーザーやサーバー、IoT/OTデバイスなど、接続のあらゆるニーズにゼロトラストの原則を適用することで、MPLSなど拠点内の従来のWANソリューションの代わりとなります。Zscaler Zero Trust Exchange™のクラウドへの直接接続アーキテクチャーにより、ルーティング不可能なWANネットワークで攻撃対象領域とラテラル ムーブメントを排除します。
Zscalerは、SaaSやクラウド アプリの迅速な展開、ローカル インターネット ブレイクアウト、サイト間VPNの排除により、拠点とデータ センターの接続を近代化するとともに、統合および自動化された接続とセキュリティで複雑さとコストを削減します。そして、旧式のネットワーク テクノロジーやセキュリティ ソリューションよりも迅速で、スマートかつセキュアな手段を提供します。
ゼロトラストSD-WANのユース ケース
サイト間VPNのリプレース
クラウドへの直接接続アーキテクチャーにより、複雑なサイト間VPNやハブ&スポーク ネットワークが不要になり、パフォーマンスが向上します。
M&Aに伴う統合の迅速化と保護
ゼロタッチ プロビジョニングで、あるIT環境の拠点が別のIT環境のプライベート アプリにすばやく接続できるようにします。複雑なネットワーク統合は必要ありません。
OTリソースへの安全なアクセス
サード パーティーに対してOT資産のSSH/RDPポートへのブラウザーベースのクライアントレス アクセスを提供すると同時に、公開されたポートやVPNエンドポイントを削除して、攻撃対象領域を排除します。
IoTデバイスの検出と分類
拠点のIoTデバイスをすべて可視化して、その情報を詳細に提供します。トラフィック プロファイルに基づいてデバイスを自動的に分類し、IoTトラフィックに対するポリシー制御の管理を簡素化します。
ゼロトラストSASEの確保
ゼロトラストSD-WANに基づいて構築された初のゼロトラストSASEにより、ビジネス リスクとネットワークの複雑さを軽減します。ゼロトラストを弱体化させる従来のSD-WANテクノロジーを基盤とするSASEアーキテクチャーの枠を超えます。