ユースケース:サービスチェイニング

より快適にSaaSやパブリッククラウドを使うためにはローカルExitが有効であるというのは「ユースケース:リージョナル / ローカルExit」の回で説明しました。ローカルExitの場合は拠点を直接インターネットにつなぐことになりますので、セキュリティが心配です。一つの解決策はzScalerのようなCASBを使うことですが、もう一つの方法はViptelaのSD-WANソリューションが持つ「サービスチェイニング機能」(サービスインサーション機能と呼ばれることもあります)を使うことです。

拠点ファイアウォールの問題点

WAN回線がMPLSによるクローズド・ネットワークだけで構成されていた場合は拠点側にファイアウォールを置かない場合もあるかと思いますが、インターネットで接続されている場合はファイアウォールを置いていることが多いと思います。拠点数が少ないうちはそれでも良いでしょうが、拠点数が数百、あるいは数千、という規模になってくると、全ての拠点にファイアウォールを設置するのは機器コスト的にも現実的ではありませんし(CAPEX的側面)、それだけの数のファイアウォールにきちんとしたポリシー設定をして維持管理をしていくのも並大抵のことではありません(OPEX的側面)。

そのような場合に有効なのがViptelaの持つサービスチェイニング機能です。

Viptelaのサービスチェイニング機能

例えばある拠点からユーザがデータセンター側のサーバにアクセスをする際には必ずファイアウォールを経由させたいとします。

Viptelaのサービスチェイニング機能
Viptelaのサービスチェイニング機能

従来は拠点側に置いたファイアウォールにアクセスポリシーを設定していたと思いますが、Viptelaのサービスチェイニング機能を使うと特定トラフィックの経路を変更して、別のvEdgeに送り、そこでさまざまなサービス(ファイアウォール、アンチウィルス、ロードバランサ、など)を経由させることができます。トラフィックの特定にはACLやDPIによるアプリケーション識別が使えます。同等のセキュリティモデルを保ちながら、従来拠点側にあったファイアウォールをリージョナルなデータセンターに集約することができるわけです。ViptelaのSD-WANソリューションを使っているお客様の中には、この機能を使って何千台もあった拠点側ファイアウォールをデータセンター側の数十台のファイアウォールに集約し、大きなコスト削減を実現されているお客様がいます。

このサービスチェイニング機能はViptelaの持つ柔軟なポリシー制御機能によって実現されています。サービスチェイニングの具体的な仕組みや設定例はまた日を改めてお話したいと思います。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です