FortiGate™
CTCSPは、インターネットゲートウェイに必要なセキュリティ機能を実現するUTM(統合脅威管理)「FortiGate」の一次代理店です。
製品情報
サービス・サポート情報5分わかる「概要」動画
FortinetのセキュアSD-WAN①
クラウド活用から生じるWAN環境の課題とFortiGateによる課題解決をご紹介いたします。 動画①ではインターネット・ブレイクアウトによるパフォーマンスの最適化について解説します。
FortinetのセキュアSD-WAN②
動画②では、FortiGateで行うSD-WANの仕組み・事例・他社比較についてご紹介します。
SD-WANってなに?
SD-WAN(エスディーワン)とは「Software Defined-WAN」の略称で、ソフトウェアによって仮想的なネットワークを作り、WANに接続されている機器の管理を簡素化する仕組みのことです。
では、WANをソフトウェアによって仮想化することでどのようなメリットがあるのでしょうか?
SD-WANを導入するメリット
1.スイッチやルータ等、ネットワークに接続されている機器は一元管理されているため、新オフィスを増設する時や設定変更が必要な時にリモートから一括で行うことができる。
2.セキュリティ要件の異なるネットワークをひとつのWAN上に作り出せるので、複雑な設定や追加の回線契約が不要になる。
3.クラウドサービス等のインターネットに抜けるトラフィックをプロキシを介さず、拠点から直接インターネットに出すことで接続経路を最適化することができる。
SD-WANが注目される理由
米国で2014年頃から話題にあがった「SD-WAN」がなぜ今トレンドキーワードとしてよく耳にされるようになったのでしょうか?
その背景としては、企業においてOffice365やSalesforce、AWZ等のクラウドアプリケーションやBox等のクラウドストレージの利用が一般的になりつつあり、クラウド向けのトラフィック、セッション数が急増し、プロキシサーバーやファイアウォール、インターネット回線が逼迫するケースが増えたためです。
SD-WANでは前述のメリット3に記載したように、クラウドサービス等のインターネットに抜けるトラフィックを拠点から直接インターネットへ出すため、アプリケーションごとの通信経路を最適化することができます。
このような課題を解決する方法として、昨今「SD-WAN」は大注目されるようになりました。
FortiGate セキュア SD-WAN
クラウド活用から生じるWAN環境の課題と解決法
クラウドに起因する課題
|
SD-WANによる課題解決
|
FortiGateでSD-WANを実現するメリット
①セキュリティ対策とトラフィック制御の統合を安価に実現
- セキュリティ対策とクラウドサービスのトラフィック制御を単一プラットフォームで実現
- 専用機器導入コストと管理コストを削減
②豊富なラインナップ
- 要件に合わせて、豊富なラインナップから最適なモデルを選択が可能
③ISDB (Internet Service DataBase)でIPアドレス情報を自動更新
- クラウドサービスで使用されるIPアドレス情報を自動更新するので、運用コストを低減してクラウドサービスのオフロードを実現
FortiGateのSD-WAN機能
特定のサービスに対する通信をその他の通信とは別のゲートウェイを経由した経路で行うことができます。
- クラウドサービス(Microsoft365等)を利用している場合、拠点毎にブレイクアウトが可能
- Fortinet社では保守サポートに加入していれば、ライセンス無しでデータベース(ISDB)を配信します。このため、利用しているクラウドサービスのサービス/経路選択に使用可能です。
- クラウドサービス向けのトラフィックを直接インターネットにむかせることでオフロード可能
- 対象OS(v6.0.x以降)を使用していれば、利用可能(追加費用無)
FortiGateのISDB
FortiGateではIPルーティングによってローカルブレイクアウトを設定します。FortiGateにはISDB(Internet Service DataBase)と呼ばれるデータベースがインストールされています。ISDBはFortinet社の管理するデータベースで、クラウドサービスで使用されるサーバのIPアドレス、ポート番号などのローカルブレイクアウトに必要な情報が記録されています。
この情報は常にFortinet社がアップデートを行っており、クラウドサービス側で使用するサーバが増減した場合新たな情報がFortiGateにダウンロードされます。対応サービスは以下のURLから確認をすることができます。
情報元:https://fortiguard.com/search?q=Google&type=isdb&engine=1
※ISDB非対応の場合
パブリッククラウドや、ISDBに情報が存在しないサービスをブレイクアウトしたい場合、通常のIPルーティングでブレイクアウトを行う必要があります。この場合、接続先のサーバや、接続に用いるポート番号等はすべて把握しておく必要があります。また、サーバの増減が発生した場合は新たにFortiGateにローカルブレイクアウト用の設定を追加する必要があります。
実際の設定画面SD-WAN構成例
ルーティングの使用例
- 要件:ゲスト端末と社内端末のWAN回線を分けたい
- メリット:ユーザー毎(ゲスト・社員端末)のルーティング設定可
社員とゲストで使用するWAN回線を分けることで、社員通信の品質を保ちます。また、回線障害時の自動切り替わり、復旧時の自動切り戻しも実現可能です。
SD-WAN+IPSecVPNの使用例
- 要件:用途毎(Saas・Cloud)にWAN回線を分けたい
- メリット:Firewall・VPNとSD-WANの併用が可
クラウドサービス通信をローカルブレイクアウトすることにより、社内の業務通信の品質を保ちます。また、同一の物理インターフェースを使用したSD-WANとIPsecVPNの設定の共有も可能です。
まとめ
セキュアSD-WANによるトラフィック最適化
クラウドへのアクセスをエッジでオフロード
セグメント細分化によるセキュリティリスク軽減
セグメント間のトラフィック検疫
ブレイクアウトの社内検証実績
サービス名 | 機能名 | 検証結果 | |||
---|---|---|---|---|---|
サービス名 | Gsuite | 機能名 | メール閲覧 | 検証結果 | 〇 |
サービス名 | Gsuite | 機能名 | メール送信 | 検証結果 | 〇 |
サービス名 | Gsuite | 機能名 | 添付ファイル閲覧 | 検証結果 | 〇 |
サービス名 | Gsuite | 機能名 | 添付ファイル送信 | 検証結果 | 〇 |
サービス名 | Gsuite | 機能名 | ビデオ会議 | 検証結果 | 〇 |
サービス名 | O365 | 機能名 | メール閲覧 | 検証結果 | 〇 |
サービス名 | O365 | 機能名 | メール送信 | 検証結果 | 〇 |
サービス名 | O365 | 機能名 | 添付ファイル閲覧 | 検証結果 | 〇 |
サービス名 | O365 | 機能名 | 添付ファイル送信 | 検証結果 | 〇 |
サービス名 | Zoom | 機能名 | ビデオ会議 | 検証結果 | 〇 |
サービス名 | Amazon AWS | 機能名 | クラウドプラットフォーム | 検証結果 | 〇 |
サービス名 | Microsoft-Azure | 機能名 | クラウドプラットフォーム | 検証結果 | 〇 |
ブレイクアウトの採用実績
業種 | 規模 | 導入機種 | 構成 | ||||
---|---|---|---|---|---|---|---|
業種 | 公共 | 規模 | 中(100-500) | 導入機種 | FortiGate-500E | 構成 | FortiGate-500EをFirewall兼SSL-VPNサーバとして導入。ユーザ認証にお客様環境に設置されていた既存LDAPを使用し、ユーザごとにアクセス可能な社内サーバを制御する設計とした。 |
業種 | 放送 | 規模 | 小(-100) | 導入機種 | FortiGate-60E | 構成 | 拠点社員の本社サーバへのアクセスのため拠点間のIPSecVPN環境の構築。 |
業種 | 製造 | 規模 | 中(100-500) | 導入機種 | FortiGate-60E FortiManager |
構成 | 約40の拠点に向けてFirewallを導入。 FortiManagerによるコンフィグの一元管理と導入後の設定変更、監視業務の教育を実施。 |
CTCSPの支援体制
SD-WAN 対応モデル |
プリセールス | 機材貸し出し | 技術支援 | 保守 | |||||
---|---|---|---|---|---|---|---|---|---|
SD-WAN対応モデル | FortiGate FortiSwitch FortiAP |
プリセールス | ◎ 営業・推進・技術同行 |
機材貸し出し | ◎ CTCSP保有機材 FortiGate主要モデル |
技術支援 | ◎ CTCSP社員で対応 (PL・設計・設置) |
保守 | ◎ CTCT自営保守 24時間オンサイト含む |