Zpedia 

/ SD-WANとMPLSの違いとは

SD-WANとMPLSの違いとは

SD-WANは複数の種類の接続を組み合わせられる仮想化されたネットワーク オーバーレイであるのに対し、MPLSはハードウェアベースの専用のプライベート ネットワークであるという違いがあります。他にも、SD-WANはインターネット上に暗号化されたトンネルを作成しますが、MPLSは暗号化を直接サポートせず、インターネットから分離されているという点が挙げられます。現在、SD-WANはMPLSよりも費用対効果が高く、柔軟で安全と考えられています。

Zscaler Zero Trust SD-WANの詳細はこちら
ゼロトラストネットワーク セキュリティ
  1. SD-WANとは
  2. MPLSとは
  3. SD-WANとMPLSの違い
  4. Zscalerのソリューション
  5. おすすめのリソース
  6. よくある質問
  7. 関連するトピック

SD-WANとは

ソフトウェア定義型広域ネットワーク(SD-WAN)は、仮想化とオーバーレイ トンネルを使用して、ユーザーをVPNやブロードバンド インターネット接続、LTE、マルチプロトコル ラベル スイッチング(MPLS)接続などの複数のトランスポート サービスや既存のインフラのワークロードに接続させます。オンプレミスのデータ センターから移行する際、トラフィックを最適化するための自動ステアリングを備えたSD-WANは従来のWAN接続に代わる効率的な代替手段となります。

SD-WANの仕組み

SD-WANはアプリケーションアウェア ルーティング プロトコルを使用して、アプリケーションのパフォーマンスを向上させます。ほとんどのSD-WANソリューションは、エンドツーエンドの暗号化トンネルの形式で仮想オーバーレイを作成し、集中型マネージャーによってWAN上の最も効率的なルートでネットワーク トラフィックが誘導されます。このトラフィックは最適なサービス品質(QoS)を提供するために、ビジネス ポリシーによって優先順位が付けられます。

これらの安全なトンネルによって、ユーザーやエンティティーはクラウドベースのSoftware as a Service (SaaS)やInfrastructure as a Service (IaaS)に直接接続されます。そのため、新たなインフラにかかるコストの削減、接続とユーザー エクスペリエンスの改善、攻撃対象領域の抑制が可能になり、従来のWANやハイブリッドWANのアーキテクチャーよりも優れたメリットが実現します。

詳細は、SD-WANとはをご確認ください。

MPLSとは

マルチプロトコル ラベル スイッチング(MPLS)は、IPアドレスの代わりにラベルを使用してトラフィックをルーティングし、パケット転送の最短パスを決定する広域ネットワーク(WAN)プロトコルの一種です。パケット スイッチングを介してルーターからルーターに送信するのではなく、各データ パケットにラベルを付与してパケットがたどるパスを制御します。MPLSの目的はルーターの遅延や揺らぎを最小限に抑え、QoSを改善し、パケット損失を減らしながら、トラフィックを可能な限り迅速に移動させることです。

MPLSの仕組み

MPLSは、IPアドレスではなくラベルに基づいて事前に決められたパスをトラフィックに付与することで、ルーターをスイッチのように機能させます。従来のIPルーティングでは、各ルーターがトラフィックをどのネクスト ホップに送信するかを個別に決定します。MPLSは代わりに、事前に決められたラベルスイッチ パス(LSP)を介してトラフィックを送信します。この方法では、ルーターはMPLSラベルだけを参照するため、トラフィックのIPアドレスすべてを理解する必要がなくなります。

MPLSルーターは送受信データにラベルを付け、同様の特性を持つパケットを組み合わせることで、同じラベルを付与した後に同じLSPに送信できるようにします。企業の場合、これによってネットワーク層のトラフィックの種類が大幅に削減されるため、遅延の短縮が可能になります。

MPLSはまた、重複するIPアドレスを持つ複数の論理プライベート ネットワークをネットワークに分割することもできます。ネットワークを分割すると、大手サービス プロバイダーは複数の企業の顧客に対して管理されたWANトラフィックを同じネットワーク上で伝送できるようになります。

詳細は、MPLSとはをご確認ください。

SD-WANとMPLSの違い

MPLSネットワークはパフォーマンスとQoSの面でメリットがあるものの、専用のネットワークまたは管理されたWANサービスのいずれかを必要とします。SD-WANでは、企業はブロードバンド インターネットなどのネットワークやソフトウェア定義ポリシーを使用して、パブリックWebサイト、クラウド アプリケーション、データ センターにトラフィックをルーティングするための最適なパスを選択できます。MPLSテクノロジーよりも汎用性と費用対効果が高く、最新の電話会議やVoIP、ビジネス インテリジェンス、その他のリアルタイム アプリケーションに使用できます。

SD-WANはソフトウェア定義の構造のため、よりシンプルなプロビジョニングの提供とトラフィック エンジニアリング構成の拡大が可能になります。また、クラウド経由で確立して施行されるソフトウェア定義ポリシーにより、送受信場所を問わずネットワーク トラフィックが暗号化されるため、MPLSよりも優れたセキュリティを確保できます。

MPLSと比較したSD-WANのメリット

MPLSが静的な専用ネットワークを必要とするのに対し、SD-WANは接続を任意に組み合わせてユーザーをリソースに接続できるため、MPLSよりもさまざまなメリットを提供します。そのうちのいくつかを紹介します。

  • コストの削減:WANトラフィックはクラウド化が進むにつれて急増する傾向があり、特により広い帯域幅のニーズに対応するために新しいハードウェアを購入するとコストがかさみます。MPLSとは異なり、SD-WANではパブリック インターネットなどの費用対効果の高い方法を利用できるため、こういったコストが削減されます。
  • 柔軟性の強化:インフラをSD-WANアーキテクチャーで仮想化するのにかかる時間はわずか数分ですが、MPLSネットワークへの変更には、複数のデータ センターや拠点でファイアウォールやその他のデバイスを管理する複雑さが伴うため、数か月かかる場合があります。
  • パフォーマンスの向上:SD-WANは、インテリジェントなトラフィック ステアリングを使用して重要なトラフィックを優先し、ダイレクト トンネルを作成するため、バックホールの排除、遅延の短縮、ユーザー エクスペリエンスの向上が可能になります。MPLSでは、中央のセキュリティ ゲートウェイを経由してすべてのトラフィックを再ルーティングする必要があります。
  • 簡素化の促進:最新のSD-WANソリューションは、ゼロタッチ プロビジョニング(ZTP)を特長としており、事前にデバイスを構成する必要がありません。ZTPでは、WAN内のあらゆるルーターが自動的にプロビジョニングおよび構成されます。MPLSはハードウェアに縛られるため、手動で構成する必要があります。
  • セキュリティの強化:SD-WANトンネルはエンドツーエンドで暗号化され、クラウドが提供するセキュリティ機能と簡単に統合し、SASEアーキテクチャーの一部としてユーザーとデータを保護します。MPLS接続はプライベートですが、本質的に安全ではなく、暗号化もされていないため、接続が侵害されるとMPLSを通過するデータは脆弱な状態になります。

MPLSと比較したSD-WANのデメリット

SD-WANには多くのメリットがありますが、インターネット回線に依存するため組織の攻撃対象領域が拡大するなど、MPLSとは異なる課題も持ち合わせています。SD-WANのメリットをすべて実現しながら、あらゆる場所のユーザーやサーバー、IoT/OTデバイスに安全な接続を提供するには、効果的なゼロトラスト アプローチとSD-WANを組み合わせる必要があります。

SD-WANとMPLSの各機能の比較

SD-WAN

MPLS

ネットワーク アーキテクチャー

接続を任意に組み合わせたオーバーレイ ネットワーク

専用回線を使用したアンダーレイ ネットワーク

スケーラビリティー

既存の接続を使用するため拡張性が高い

専用インフラに依存するため拡張性が限定的

コスト

費用対効果の高いブロードバンド インターネットを使用

高価な専用回線を使用

トラフィックの最適化

インテリジェントなステアリング、アプリケーションアウェア ルーティング

限定的で、中央集中型のセキュリティ ゲートウェイの経由が必要

セキュリティと暗号化

組み込み済み

追加のソリューションが必要

展開と管理

展開と構成が簡単

展開と構成に専門知識が必要

冗長性とフェイルオーバー

組み込み済み

専用バックアップ回線に依存

サービス品質(QoS)

動的なQoSポリシー

静的なQoS設定

Zscalerのソリューション

Zscalerは、安全なSD-WANのメリットと真のゼロトラスト アーキテクチャーを組み合わせます。

Zscaler Zero Trust SD-WANは、ユーザーやサーバー、IoT/OTデバイスなど、接続のあらゆるニーズにゼロトラストの原則を適用することで、MPLSなど拠点内の従来のWANソリューションの代わりとなります。Zscaler Zero Trust Exchange™のクラウドへの直接接続アーキテクチャーにより、ルーティング不可能なWANネットワークで攻撃対象領域と脅威のラテラル ムーブメントを排除します。

Zscalerは、SaaSやクラウド アプリの迅速な展開、ローカル インターネット ブレイクアウト、サイト間VPNの排除により、拠点とデータ センターの接続を近代化するとともに、統合および自動化された接続とセキュリティで複雑さとコストを削減します。そして、旧式のネットワーク テクノロジーやセキュリティ ソリューションよりも迅速で、スマートかつセキュアな手段を提供します。

拠点向けゼロトラスト接続の図

Zscaler Zero Trust SD-WANのユース ケース

拠点からのインターネット直接接続の確保

多くのアプリがクラウドに移行し、クラウド ネイティブ アプリが構築されるにつれて、オンプレミスのネットワークとセキュリティ モデルは十分な効果を発揮できなくなりつつあります。ゼロトラストSD-WANは拠点を変革するために構築されており、基盤となるネットワークから拠点が独立し、あらゆる宛先と安全に通信できるようにする新たなモデルを提供します。

 

サイト間VPNのリプレース

WANの拡張やVPNの使用によってユーザーをプライベート アプリに直接接続すると、攻撃対象領域が拡大します。ゼロトラストSD-WANは拠点の外部からアプリケーションを検出できないようにし、Zero Trust Exchangeは指定されたエンティティーのみにアクセスを制限します。エンティティーはいずれも、アクセスが許可される前に厳格なアイデンティティー、コンテキスト、ポリシー チェックを通過する必要があります。これにより、脅威のラテラル ムーブメントが防止されます。

 

シャドーIoT/OTの検出と可視化

認可されていない検出不可能なデバイスが支店のネットワークに接続すると、脆弱なデバイスのリスクが高まり、攻撃対象領域が拡大します。これは、IT部門が直面している課題の一つでもあります。ゼロトラストSD-WANはデバイスを識別、分類することで、IT部門が動作状況をより深く可視化して、より効果的なアクセス制御ポリシーを定義できるようにします。

 

ゼロトラストによるサーバーとIoT/OT接続の保護

稼働時間を最大化し、機器やプロセスの障害による中断を回避するために、従業員やパートナー、ベンダーは定期的にIoT/OT資産を評価する必要があります。ゼロトラストSD-WANは、社内リモート デスクトップ(RDP)とセキュア シェル(SSH)対象システムへの完全に分離されたクライアントレスのリモート アクセスを提供します。ジャンプ ホストやVPNを使用してデバイスにクライアントをインストールする必要はありません。

 

スムーズな合併と吸収のサポート

別々のネットワークを統合する場合、IPの重複、ルーティングの問題、ネットワーク攻撃対象領域の拡大などの課題が発生し、時間もかかります。Zscaler Zero Trust SD-WANを使用することで、ネットワークを分離したまま、ある環境の拠点から別の環境のプライベート アプリに中断することなく、素早く接続できるようになります。

Zscaler Zero Trust SD-WANは簡素化、ハイパー スケーラビリティー、高度なセキュリティを実現し、従来のWANよりも低コストで拠点を接続して保護します。

おすすめのリソース

Zscaler Zero Trust SD-WAN
データ シートを読む
今こそ拠点間接続の見直しを
ブログを読む
Zscalerのネットワーク パートナーおよびUCaaSパートナー
詳細はこちら
よくある質問