SD-WANとセキュアサービスエッジによるDoDと超高度セキュリティの展開

Versa Networks SD-WAN、SD-Security、SASE 市場をリードNetworks 、世界中に120社以上のサービスプロバイダーパートナーを有しています。米国では、Verizon、Lumen、Versa主要パートナーとなっています。Versa 、世界最大のSD-WAN導入実績Versa 。Versa 、金融、銀行、エネルギー、衛星通信、海運、小売、医療などの業界において、あらゆる種類の障害やセキュリティ脅威に直面しても最高のユーザーからアプリケーションへのパフォーマンスを確保することが最優先課題となる、数多くのグローバルなミッションクリティカルなネットワークのネットワークおよびセキュリティを担っています。

ホワイトペーパーを読む PDFをダウンロードする.

 
 

要旨

本ホワイトペーパーでは、Versa 、ZTNA、SASE 、過酷な環境やDDIL(遮断、妨害、断続的、制限)状態下で運用され、NSAのHigh Assurance Internet Protocol Encryption(HAIPE)またはCommercial Solutions for Classified(CSfC)ベースのアーキテクチャを活用することが多い衛星通信、海上通信、連邦政府ネットワークに極めて適していることを説明します。

第1節:ガートナーは、Versa SD-WANマジック・クアドラント(MQ)の右上象限Versa 位置づけた

ガートナーのMQレポートには、Versa 1位Versa 2つのサブカテゴリーが含まれていました:

  1. 重要な能力
  2. 大規模で複雑なグローバルNetworks。ガートナーはまた、SASE 最も優れた企業に関するレポートも発表しています。Versa 、ガートナーが特定した15の技術のうち13を提供し、ガートナーのSASE でトップにVersa 。

NSS Labsは、Versa 、NGFW(次世代ファイアウォール)、およびNGIPS(次世代侵入防止システム)をテストしました。攻撃を阻止する製品の有効性は非常に高く、また、保護される1MbpsあたりのコストはOEM各社の中で最も低かった。

Versa 自社開発のSD-WAN、SD-Security、マルチクラウド機能を統合し、一貫性のある包括的なSASE マルチクラウドソリューションを提供Versa 。

Versa 他のソリューションとの主な違いは以下の通りです:

  • SD-WAN、SD-Security、マルチクラウドを単一のプラットフォームに統合。
  • SD-WAN、SD-Security、マルチクラウドを一元管理。
  • 統一されたポリシー管理 - オンプレミス、SASE クラウド、エッジのための1つのソフトウェアスタック(VOS)。
  • マルチ防御システムベースの脅威防御とほぼリアルタイムの修復。
  • ユーザー、グループ、デバイスの姿勢、アプリケーション、コンテンツ、地理的位置、エンティティの信頼性スコア、ソースに関連するセキュリティタグ、その他多くの要因に基づくゼロトラスト・ネットワーク・アクセス。
  • セキュア・プライベート・アクセス、セキュア・ウェブ・ゲートウェイ(SWG)、クラウド・アクセス・セキュリティ・ブローカー・サービス、データ損失防止(DLP)、リモート・ブラウザ隔離(RBI)、ユーザー・エンティティの行動分析、AI/MLに基づくセキュリティ、サンドボックスによるマルウェアの動的分析、次世代統合脅威管理のサポート。
  • 異常検知、トラフィック予測、イベント相関、チャットボット(Verbo)のためのVANI(AIOps)。
  • Versa Engineered(TELS:Traffic Engineering Link State)SASE を活用した、最適なトラフィック制御とSaaSの高速化。
  • ダイナミックなテナントと仮想ゲートウェイのインスタンス化 - 伸縮性のある自動スケーリングとネットワーク・インテリジェンスにより、リアルタイムのキャパシティ要求に対応します。
  • SASE クライアントとサードパーティルータ用のSD-WAN Lite。
  • シングルパスアーキテクチャ - スケールで比類のないパフォーマンス。
  • 階層的なマルチテナントときめ細かな役割ベースのアクセス制御(RBAC)。
  • 仮想ネットワーク機能(VNF)と物理ネットワーク機能(PNF)の多彩なサービスチェイニング。
  • ビッグデータ分析のサポート。
  • サイバー状況認識(SA)ツールを含む複数のセキュリティ・インテリジェンス・ソースとの統合により、迅速なグローバル配信とリアルタイムの実施を実現。

図2 図2は、Versa ルーティング、SD-WAN、およびセキュア・サービス・エッジ機能の概要を示しています。これらの機能を活用することで、Versa 顧客に以下のことをVersa :

  • ユーザーやアプリケーションの場所に関係なく、ユーザーやIoTデバイスに最高のアプリケーション体験を提供できる、セキュアなトラフィックエンジニアリングされたグローバルSD-WANおよびSASE ネットワークを展開する。これは 図1.
  • ユーザー、グループ、デバイスの姿勢、アプリケーション、コンテンツ、地理的位置、エンティティの信頼性スコア、ソースに関連するセキュリティタグ、パケットのレイヤー3からレイヤー7のフィールド、および時刻に基づくゼロトラストネットワークアクセス。
  • マルチ防御システムベースの脅威防御とほぼリアルタイムの修復。
Versa Access Service Edge ファブリック
図1
Versa - 市場をリードSASE SD-WAN + セキュリティ・サービス・エッジ)の機能セット
図2
 

第2節 特徴、用途、差別化要因

IETF 標準ベースのプロトコルを使用して構築: BGP/MPLS VPNとイーサネットVPNに基づき、プライベートSAFI(サブアドレス・ファミリー識別子)を使用して、以下のようなSD-WAN関連情報を伝送する:

  • キーマネージメント
  • 回路の状態とステータスにアクセス
  • NAT関連情報
  • 重要なアプリケーションへのSLAに関する情報

鍵管理と証明書管理

  • IKEを使用せずにIKEの真のエミュレーションを行う。
  • 支店の秘密は電信で送信されることはなく、4分ごとに交代させることができる。
  • 一意な共有秘密は、すべてのブランチのペア間でアルゴリズムによって導き出される。
  • 高度な証明書管理機能。
  • OCSP、CMPv2、SCEP、ACMEのサポート
  • テナント/顧客によって生成された鍵を必要とする配備については、KMIP(Key Management Interoperability Protocol)を使用した外部鍵管理をサポートする。

DDIL(拒否、中断、断続、制限)環境での展開能力

  • 3つのVMイメージ- 完全な非接続環境で動作させるためのイメージの最小セットは3つです。セキュリティ・イメージのすべてのアップデートは、完全に分離された環境でサポートされます。
  • ライセンス Versa によって一元管理されます。Versa 、ライセンスが読み込まれる3つのイメージのうちの1つであり、インターネットへの接続や経由を必要としません。
  • Versa 一例です。これにより、運用担当者はセキュリティ、接続性、パフォーマンスの状況を完全に把握することができます。
  • すべてのSASE サービス(SD-WAN、SSE)およびマルチクラウドの一元的なプロビジョニング、管理、モニタリング、可視化、およびビッグデータ分析だけでなく、シングルペインの管理
  • 衛星ベースのサービスプロバイダ、海運、海事で最も広く導入されているSD-WANソリューション。ノードあたり最大14のアンダーレイトランスポートドメインをサポート。SATCOM(LEO、MEO、GEO)、プライベートMPLS、LTE/5G、地上ファイバ、ブロードバンドなど複数のアンダーレイに同時に対応可能。

多彩なトラフィック・ステアリング、トラフィック・コンディショニング、高度なTCP最適化

  • パケットのレイヤー3-レイヤー7フィールド、レイヤー7アプリケーション、URLカテゴリ、ユーザー、グループ、デバイスの姿勢、エンティティの信頼性スコア、地理的位置、ソースに関連するセキュリティタグ、時刻、およびその他の要因に基づくトラフィックステアリング

    • フロー単位でのトンネルレス方式。Versa 。詳細は「VersaトンネルレスSD-WANソリューション」のセクションをご参照ください。
    • 暗号化はフロー単位で有効にも無効にもできる。
  • Versa 、DDIL(直接的脅威)や過酷な環境下での運用が想定される、NSAのHigh Assurance Internet Protocol Encryption(HAIPE)またはCommercial Solutions for Classified(CSfC)に基づくアーキテクチャを活用する衛星、海上、および連邦政府ネットワークに極めて適しており、最高のアプリケーション体験を提供します。詳細は、「Versa 」のセクションをご参照ください。
  • トラフィックステアリングは、パケットロス、遅延、ジッターといったエンドツーエンドの動的パス特性の可視性に基づいて行われます。この機能により、より正確で耐障害性の高いエンドツーエンドのアプリケーションSLAを実現します。他のベンダーはすべて、直近のネクストホップまでのSLAに基づいて最適なパスを選択します。エンドツーエンドのパスメトリクスに基づいてトラフィックをステアリングVersa だけです。
  • FEC、レプリケーション、その他の手段を用いたトラフィック・コンディショニング。これらはすべて、SLAが低下すると自動的にトリガーされ、SLAが改善すると停止する。これらの機能は、単に音声とビデオだけでなく、すべてのトラフィック・タイプで利用可能です。
  • BBR、Hybla、SACK、Recent Acknowledgementなどの高度なTCP最適化および輻輳制御アルゴリズムをサポート

包括的なQoS機能 Versa 、非常に包括的なQoS(レイヤー3 QoSポリシー、AppQoSポリシー、ポリサー、マーキング、4Kシェイパーおよび64,000キューを備えたHQoS)と、SD-WANトラフィックステアリング機能をサポートしています。 受信トラフィック内のレイヤー3~レイヤー7フィールド(アプリケーション、URLカテゴリ、デバイスのポスチャーなど)に基づき、転送クラス(FC)およびパケット損失優先度(PLP)がトラフィックフローに関連付けられます。 FCとPLPは、VOSプラットフォーム内でのトラフィックの優先順位付けとスケジューリングを行います。さらに、FCとPLPに基づいて、内部および外部ヘッダーの書き換えやエグレス・シェーピングが行われます。したがって、Versa 内および伝送経路において、ミッションクリティカルなトラフィックが重要度の低いトラフィックよりも優先されます。

ブラウンフィールドでのネットワーク展開に非常に適している。

  • すべての主要なレイヤー2およびレイヤー3(IPv4およびIPv6)プロトコルをサポート。
  • VRFのIPv4、IPv6、デュアルスタック、アンダーレイトランスポートをサポート。

フルメッシュ、ハブ&スポーク、パーシャルメッシュ、スポーク-ハブ-ハブ-スポーク、ハブ-コントローラー、ハブの後ろにコントローラーなど、複雑なトポロジーをサポート。

非常に充実したテンプレート機能: Versa 、テンプレートの階層構造をサポートする非常に充実したテンプレートVersa 。このテンプレートの階層構造を活用することで、グローバルなポリシーを定義しつつ、特定のポリシーに優先順位を高く設定することができます。これにより、全体的な設定管理がシンプルかつ効率的になります。

デバイス・グループは、類似しているが同一ではない構成を持つデバイスの集合体である。デバイス・グループは通常、デバイス・テンプレートと、セキュリティ・サービス・テンプレート、アプリケーション・ステアリング・サービス・テンプレート、QoSサービス・テンプレート、一般サービス・テンプレートなどの異なるタイプのサービス・テンプレートのセットと関連付けられます。デバイス・グループは複数のセキュリティ・サービス・テンプレートと関連付けられ、オペレータが指定した順序で適用されます。さらに、デバイス固有のセキュリティ・サービス・テンプレートもあります。

v4およびv6用CGNATNAPT-44、DNAT-44、ダイナミックNAT-44、ベーシックNAT-44、トワイスベーシックNAT-44、NPT66、NAT64、MAP-E

ゼロ・タッチ・プロビジョニングのための複数のオプション。

複数のVNFをホストするユニバーサルCPE。ホスティングされたVNFと外部の物理PNFをサービスチェーンする。

 
 

第3章:VersaトンネルレスSD-WANソリューション

Versa 、ネットワークの拡張性と帯域幅効率を向上させ、パケットの断片化を解消し、セキュリティを強化する「トンネルレスSD-WAN」Versa 提供しています。このトンネルレスソリューションの導入を後押ししたユースケースには、NSAのHigh Assurance Internet Protocol Encryption(HAIPE)やCommercial Solutions for Classified(CSFC)に基づくアーキテクチャを活用する、衛星通信、海事、および連邦政府のネットワークなどが挙げられます。

Versa 、ネットワークの拡張性と帯域幅効率を向上させ、パケットの断片化を解消し、セキュリティを強化する「トンネルレスSD-WAN」Versa 提供しています。このトンネルレスソリューションの導入を後押ししたユースケースには、NSAのHigh Assurance Internet Protocol Encryption(HAIPE)やCommercial Solutions for Classified(CSFC)に基づくアーキテクチャを活用する、衛星通信、海事、および連邦政府のネットワークなどが挙げられます。

すべてのトンネルレスソリューションの場合、内部パケットは変更可能なフィールドと 変更不可能なフィールドに分割される。図3は、IPヘッダー、TCPヘッダー、およびUDPヘッダーのすべての共通 フィールドを示している。IPヘッダー、TCPヘッダー、UDPヘッダー内の不変フィールドのサブセットは、5タプルフローの間不変であり、青色で示されている。すべてのソリューションは、クッキー、ラベル、フローID、または(送信元-ポート、宛先-ポート)のペアを何らかの形で不変フィールドに関連付ける。

このクッキー/ラベル/フローID/ポートペアは、送信元SD-WAN CPE(SDWAN-CPE1)から受信側SD-WAN CPE(SDWAN-CPE2)へ、ペイロードパケット全体と共に少なくとも1回は伝達されます。リモート側のSD-WAN CPE(例:SDWAN-CPE2)が送信元(例: SDWAN-CPE1)のマッピングを学習し、それを送信元に通知すると、送信元(SDWAN-CPE1)は自身のフローIDをSDWANヘッダーにエンコードし、SDWAN-CPE1からSDWAN-CPE2へ送信されるトラフィックにおいて、ペイロードパケットのすべての不変フィールドを省略します。 なお、Versa では、送信元SD-WAN CPEがピアSD-WAN CPEへトラフィックを送信する際、ペイロードパケットの他の多くのIP、TCP、およびUDPフィールドも省略します。これらについては、本ホワイトペーパーでは説明していません。

不変のヘッダー・フィールド
不変のヘッダー・フィールド
図3

Versa における詳細なパケットフローを図4に示します。ここでは、クライアント5(C5)がSD-WAN CPE-1およびSD-WAN CPE-2を経由してサーバー7(S7)と通信しています。

  1. Step-1はClient5からServer7へのパケットを示し、Payload1はC5からS7へ。
  2. 新しい5-tupleフローのパケットを受信すると、SD-WAN CPE-1はそのパケットを検証し、C5からS7へのセッションを確立します。その後、このフローに対してFlowId51を割り当て、すべての高度なレイヤー3~レイヤー7サービス(ZTNA、SD-WAN、UTM、CASB、SWG、HQoSなど)を実行します。すべてのサービスに関する情報は、Versa に送信されます。
  3. 次に、ステップ-3に示すように、CPE1は、C5からS7に受信したパケットを暗号化し、外側のUDPヘッダにそのローカルフローID(CPE1-to-CPE2 FlowId51)をエンコードし、このパケットが属するアプリケーションに最適なアンダーレイパスを介してSD-WAN CPE2にパケットを送信する。
  4. CPE-1から新しい5タプル・フローに関するこのパケットを受信すると、SD-WAN CPE-2はセッションを作成し、CPE-1から受信したFlowId51を保存して将来のパケットで使用できるようにし、パケットを復号・検証し、このフローに対して独自のFlowId22を割り当て、すべての高度なレイヤー3~レイヤー7サービス(ZTNA、SD-WAN、UTM、 CASB、SWG、HQoSなど)を実行します。すべてのサービスに関連するVersa 。これはステップ4に示されています。
  5. CPE2はクライアント5からの復号化されたパケットをサーバー7に転送する。これをステップ5に示す。
  6. ステップ6は、Server7からClient5へのPayload2を含む応答を示す。
  7. このS7からC5へのパケットを受信すると、SD-WAN CPE-2はこのパケットを検証し、すべての豊富なレイヤ3-レイヤ7サービス(ZTNA、SD-WAN、UTM、CASB、SWG、HQoSなど)を実行し、S7からC5から受信したパケットを暗号化し、そのローカルフローID(CPE2-to-CPE1 FlowId22)を外側のUDPヘッダにエンコードし、このパケットが属するアプリケーションに最適なアンダーレイパスに沿ってSD-WAN CPE1にパケットを送信します。また、SD-WAN CPE2は、CPE1がこのフローに割り当てたFlowId51を学習したことをSD-WAN CPE1に通知します。これはステップ7に示されている。
  1. ステップ8で、SD-WAN CPE1は、CPE2がそのFlowId51について学習し、FlowId51でエンコードされたパケットを受信する準備ができているという事実でセッション状態を更新する。
  2. 復号化されたパケットに必要なサービスをすべて実行した後、CPE1はServer7からClient5へPayload2を含むパケットを転送する。これをステップ9に示す。
  3. Client5からServier7へのPayload3を持つパケットを受信した後(ステップ10)、SD-WAN CPE1はすべてのサービスを検証し、実行する。次に、Client5からServer7へのPayload3のパケットの変更可能なフィールドのみを持つ新しいペイロードを作成する。このペイロードを暗号化し、外側のUDPヘッダーにローカルフローID(CPE1-to-CPE2 FlowId51)をエンコードし、このパケットが属するアプリケーションに最適なアンダーレイパスでSD-WAN CPE2にパケットを送信します。SD-WAN CPE1はまた、CPE2がこのフローに割り当てたFlowId22を学習したことをSD-WAN CPE2に通知します。これはステップ11に示されている。
  4. ステップ12で、SD-WAN CPE2は、CPE1がそのFlowId22について学習し、FlowId22でエンコードされたパケットを受信する準備ができているという事実でセッション状態を更新する。
  5. 復号化されたパケットに必要なサービスをすべて実行した後、CPE2はクライアント5からサーバー7へ、ペイロード3を含むパケットを転送する。これをステップ13に示す。
  6. Server7からClient5へのPayload4のパケットを受信した後(ステップ14)、SD-WAN CPE2はすべてのサービスを検証し、実行する。次に、Server7からClient5へのPayload4付きパケットの変更可能なフィールドのみを持つ新しいペイロードを作成する。このペイロードを暗号化し、外側のUDPヘッダーにローカルフローID(CPE2-to-CPE1 FlowId22)をエンコードし、このパケットが属するアプリケーションに最適なアンダーレイパスに沿ってSD-WAN CPE1にパケットを送信する。これはステップ15に示されている。
  7. 復号化されたパケットに必要なサービスをすべて実行した後、CPE1はServer7からClient5にPayload4のパケットを転送する。これをステップ16に示す。
パケットフロー
SD-WANのパケットフロー
図4

Versaトンネルレスソリューションでは、入力側のSD-WANノードからピアSD-WANノードへ、およびversa 最初のパケットversa 完全な情報がversa 、その後どちらの方向から送信されるパケットも、ペイロードに加えてメタデータのみを伝送します。これにより、ユースケースに応じて、より大きなペイロードに対応したり、帯域幅の使用量を節約したりすることが可能になります。

市場に出回っている既存のトンネルレス技術と比較して、Versa革新的なトンネルレスソリューションには大きな利点があり、その一部を以下に挙げます。

  • Versa 、他の技術が複数のポートを開く必要があるのに対し、SD-WANアンダーレイ内で「4790」または「4500」という単一のポートを開くだけで済みます。
  • Versa ソリューションは、受信パケットのシーケンス番号を無効化したり、TCP SYNパケットにメタデータを追加したりすることはありません。そのため、ファイアウォールやトランジットデバイスによっては、この動作を受け入れられない場合があります。その結果、他のソリューションとは異なり、TCPパケットをUDPパケットに変換する必要がありません。
  • Versa は、非常に充実したテンプレート機能を備えており、これを利用することで、同一である必要はないものの類似した設定を、デバイス群に対して一元的に適用することができます。その結果、テナント、サービス、およびセキュリティポリシーに関する情報を、メタデータの一部として保持する必要がなくなります。
  • Versa ソリューションは、アンダーレイ転送ネットワーク内にNATデバイスやファイアウォールが存在しても影響を受けません。Versa では、個々のユーザーセッションに対してキープアライブパケットを必要としないため、NATセッションがタイムアウトすることはありません。
  • Versa (VOS)は、Connectivity Fault Management/Y.1731(CFM:IEEE 802.1ag)のバリエーションを使用して、直接通信を行う必要のある他のブランチへのすべての可能な経路を監視します。 パスは、あるブランチ上のトランスポートアドレスから別のブランチ上のトランスポートアドレスへの経路として定義されます。VOSは、このCFMのバリエーションを使用して、さまざまなアクセス回線を介した他のSD-WANサイトへの(遅延、ジッター、パケットロス、往復遅延)に関する情報のデータベースを構築します。 このSLA測定は(トランスポート分類子、トランスポートパス)ごとに実行されます。ここで、トランスポート分類子とはDSCPおよびMPLS EXPを指します。アンダーレイのトランスポートパスが提供するSLAは主に(トランスポート分類子、トランスポートパス)に依存するため、Versa は、個々のユーザーセッションに対してエンドツーエンドのアクティブSLA測定を行うよりもはるかにスケーラブルです。なお、Versa 個々のセッションのパッシブモニタリングVersa 。
  • Versa 、IETF準拠のリプレイ保護、初期化ベクトル、HMAC、およびほぼすべての暗号方式に対応しています。Versa CPEは、パケットのリプレイを検出するために、Time Based HMAC(SD-WAN CPE間で時計を正確に同期させる必要がある方式)を必要としません。
  • トンネリングは、2つのサイト間のフローごとに有効にも無効にもできる。
  • 暗号化はフロー単位で有効にも無効にもできる。
  • Versa は、アンダーレイ伝送経路の極めて効率的な切り替えや、SD-WAN CPEの伝送先アドレスの変更をサポートしています。
  • Versa 、長年にわたりミッションクリティカルなネットワークを支えてきたプロトコルとメカニズムに基づいています。Versa は、既存のネットワーク環境に極めて柔軟に対応でき、SD-WANへの段階的な移行を可能にします。
  • このトンネルレスSD-WANソリューションは、Versa最高かつ最も包括的なSD-WAN機能群と密接に連携して動作します。その機能には、レイヤー7アプリケーション、ユーザー、グループ、URLカテゴリ、デバイスの状態、エンティティ信頼度スコア、その他の要因に基づくアプリケーションステアリング、FEC、レプリケーション、ストリッピングを活用した多機能なトラフィック調整機能、BBRなどの高度なTCP輻輳制御アルゴリズム、 Hybla、RACK、Tail-Loss Probes、SACKといった高度なTCP輻輳制御アルゴリズム、およびSD-WANトラフィックエンジニアリングのリンクステートなど、Versaの最高かつ最も包括的なSD-WAN機能セットと密接に連携し、シームレスに動作します。
 
 

セクション4:他のトンネルレスSD-WANソリューションとの相互運用性

SD-WAN はトランスポートにとらわれず、アプリケーションを認識し、集中管理とプロビジョニングをサポートする仮想プライベートネットワークを構築する。SD-WAN ソリューションがブラウンフィールドのネットワークに簡単に挿入でき、既存の MPLS または DMVPN ネットワークから SD-WAN ネットワークに徐々に移行できることが不可欠です。

上で説明したように、すべてのトンネルレスソリューションの場合、内部パケットはミュータブル フィールドとイミュータブルフィールドに分割される。すべてのソリューションが、クッキー、ラベル、フロー ID、または(ソース-ポート、デスティネーション-ポート)ペアの何らかの形式を、不変フィールドに関連付ける。このクッキー/ラベル/フローID/ポートペアは、送信側のSD-WAN CPE(SDWAN-CPE1)から受信側のSD-WAN CPE(SDWAN-CPE2)へ、ペイロードパケット全体と少なくとも一度は通信される。リモートのSDWAN-CPE(例えば、SDWAN-CPE2)が送信者(例えば、SDWAN-CPE1)のマッピングを学習して送信者に伝えると、送信者(SDWAN-CPE1)はSDWAN-ヘッダーにそのフローIDをエンコードし、SDWAN-CPE1からSDWAN-CPE2に送信されるトラフィックのペイロードパケットのすべての不変フィールドをスキップします。

様々なベンダーが不変データをエンコードするために選択した様々な方法(フロー ID、外部ソースポートと外部デスティネーションポートの組み合わせ)のために、それらは異なるベンダーの SDWAN ネットワークの境界(NNI: Network to Network Interface)でしか相互運用できない。キー管理、パケットのエンコーディング、暗号化/復号化、コントロールプレーン(経路の伝播)、管理プレーン(設定と監視)、可視性プレーン(ビッグデータ分析)が全てのベンダーで大きく異なるからだ。

2つのベンダーは、E-BGP、IKEベースのIPsec、TWAMPなどのIETFベースのプロトコルを使って相互運用できる。また、2つのベンダーは互いのデータプレーン形式をデコードおよびエンコードする機能を追加することもできます。

 
 

第5章:Versa

図5は、NSAのHigh Assurance Internet Protocol Encryption(HAIPE)またはCommercial Solutions for Classified(CSfC)に基づくアーキテクチャを活用する連邦政府ネットワークにおいて、Versa 包括的なSD-WANおよびZTNA機能を提供する仕組みを示しています。 このような展開では通常、複数のレイヤーが存在し、複数のSATCOM、MPLS、セルラー(4G/5G)、およびその他のアンダーレイで構成されるブラックネットワークが、レッドネットワークへのトランスポートを提供します。

Versa ソリューション
図5
  1. CPE 2-1 および CPE 2-5 は、非定形かつ遍在するブラックファブリックのエッジに配置されるVersa CPE です。これらの CPE は、包括的な SD-WAN および SD-Security 機能を提供します。図示された例では、ブラックファブリックには SatCom-Meo、SatCom-Geo、および Private MPLS の 3 つのアンダーレイネットワークが存在します。
  2. CPE 1-1 および CPE 1-5 は、red-site-1 および red-site-2 のエッジに配置されたVersa CPE です。これらの SD-WAN CPE は、包括的な SD-WAN および SD-Security 機能も提供します。これらの CPE は、極秘データまたはミッションクリティカルではないデータのいずれかを受信する可能性があります。red-site から送信されるトラフィックは、通常、HAIPE によって暗号化されます。
  3. の左側、red-site-1にあるアドレス10.1.12.100のノートパソコン。 図5 は、図のステップ-1で示されるように、red-site-2に位置するIPアドレス10.50.22.100を持つエンドポイントに最高機密のミッションクリティカルな情報を通信したい。ユーザー設定に基づき、SD-WAN CPE-1-1はこのトラフィックを受信すると次のことを行う。
    • アプリケーション、URLカテゴリ、ユーザー、グループ、デバイスの姿勢、エンティティの信頼スコア、セキュリティグループタグ、および受信したパケットのレイヤー3~7のフィールド(分類情報)に基づいてパケットを分類する
    • SD-WAN CPE-1-1のWANインターフェース(IPアドレス192.168.11.101)からSD-WAN CPE-1-1に出るパケットのDiffServコードポイントは、分類情報を使用するマッピングテーブルか、受信したパケットのDSCPをコピーするか、またはその2つの組み合わせによって決定される。このように、ミッションクリティカルなフローとミッションクリティカルでないフローは、適切なDSCPと関連付けられる。これをステップ2で示す。
    • このフローにフローIDを関連付ける。
    • このフローを暗号化するかしないか。
    • 次に、さまざまなアンダーレイパスが提供するアプリケーションのタイプとSLAを考慮したSD-WANトラフィックステアリングポリシーに基づいて、最適なアンダーレイトランスポートが選択されます。
    • その後、パケットは「スケジューリングとシェーピング」を経て、最適なアンダーレイに属する次のホップに転送される。これは図のステップ3で示されている。
  4. このトラフィックを受信すると、HAIPE1はこのトラフィックを暗号化することを選択できる。HAIPE1は受信したパケットのDSCPを、HAIPE1が追加する外部ヘッダにコピーするように設定できる。これをステップ4に示す。次にステップ5に示すように、HAIPE1はパケットを外部ヘッダでカプセル化し、CPE2-1に転送する。
  5. このパケットを受信すると、ブラックネットワークのエッジにあるSD-WAN CPE 2-1は以下を実行する:
    • 適切なフローIDを関連付ける
  • のステップ6に示すように 図5CPE 2-1は、設定されたSD-WAN Traffic Steering Policyルールに基づいて適切なアンダーレイを決定する。
    • Source-IP(送信元HAIPEのIPアドレス172.16.1.1)、Destination-IPアドレス(宛先HAIPEのIPアドレス172.16.5.5)、受信パケットのDSCP。
    • このクラスのトラフィックに対して、様々なアンダーレイネットワークのプリファレンスを設定。
    • さまざまなアンダーレイ・ネットワーク(この例ではMPLS、Satcom-Meo、SatCom-Geo)で観測されるリアルタイムのSLA。
  • アンダーレイトランスポートが提供するSLAに応じて、フォワードエラー訂正とパケットレプリケーションを組み合わせてトラフィックコンディショニングを行う。
  • 必要に応じてパケットストリップを行う。
  • 暗号化されていないTCPトラフィックを受信した場合、BBRやHyblaのような高度な輻輳制御アルゴリズムを適用する。
  • その後、パケットは「スケジューリングとシェーピング」を経て、最適なアンダーレイを使用してリモートのSD-WAN CPE 2-5に転送される。これは図のステップ 7 で示されている。
  1. ブラックネットワークのエッジにある SD-WAN CPE 2-5 は以下のことを行う:
    • SD-WANヘッダーを削除する。
    • HAIPE1 から HAIPE2 のパケットを復元する。
    • FECとパケットレプリケーションが有効になっている場合、必要なフロー処理と修復を実行する。
    • 図5のステップ8に示すように、トラフィックをHAIPE2に向けてルーティングします。
  2. ステップ9に示すように、HAIPE2はトラフィックを復号化し、赤サイト-2のエッジにあるSD-WAN CPE 1-5に向けてトラフィックを転送する。
  3. 赤いサイト2のエッジにあるSD-WAN CPE 1-5は次のことを行う:
    • SD-WANヘッダーを取り外します。
    • Endpoint-1からEndpoint-2へのパケットの復元
    • FECとパケットレプリケーションが有効になっている場合は、必要なフロー処理と修復を実行する。
    • 図5のstep-10に示すように、トラフィックをEndpoint-2に向けてルーティングする。

ミッションクリティカルでないパケット、たとえばレッドサイト-1の192.168.2.2からレッドサイト-2の192.168.6.6へのパケットも同様に、トラフィックステアリングとトラフィックコンディショニングの設定に基づいて適切にステアリングされる。

 
 

第6章:Versa Time Monitor およびVersa

Versa Time Monitorは、各Versa に設定されているすべてのネットワーク、SD-WAN、およびセキュリティサービスに関するリアルタイム情報を提供します。また、VOSインスタンスの稼働状況(CPU、メモリ、各インターフェースの帯域幅、負荷)に関する情報も提供します。

Versa 、ログやイベントを分析し、Versa 強力なレポート、分析結果、フィードバックを提供するビッグデータソリューションです。HP ArcSight、Splunk、IBM QRadar、LogRhythm、Elastic Searchなどのサードパーティ製データレポートおよびSIEM製品とネイティブに統合されます。 支店拠点のVOS™は、リンク、ネットワークパス、セキュリティイベント、サービス、アプリケーションなどに関するVersa 監視情報を継続的に提供します。さらに、次世代ファイアウォール、IDS/IPS、URLフィルタリング、CASB、SWG、DLP、RBI、UEBA、DNSプロキシ、その他のモジュールなど、VOS™上のすべてのサービスは、フローレベルおよび集計レベルのログメッセージを生成し、Versa プラットフォームによって利用されます。

これらの情報はすべて、キャパシティプランニングやセキュリティフォレンジックなどの業務に活用できます。図6図7図8および図9は、Versa 取得可能な情報の例をいくつか示しています。

Versa 、これらのログをKAFKAバスVersa 送信します。Versa 、ユーザー、ノートPC、スマートフォン、IoTデバイスなど、あらゆるエンティティによる異常なイベントを追跡し、フラグを立てることができます。ユーザーやIoTデバイスが異常な動作を示した場合、そのエンティティ信頼度スコア(ECS)は低下します。このECSは、セキュリティアクセス制御ポリシーやトラフィック監視ポリシーなど、さまざまな種類のポリシーで使用されます。 エンティティのECSが低下した場合、Versa Serviceを使用してすべてのサブスクライバー(Versa ゲートウェイなど)に通知されます。Versa ゲートウェイは、ECSが低下した際にリアルタイムで是正措置を適用できます。

Versa 画面例 1
図6
Versa 画面例 2
図7
Versa 画面例 3
図8
Versa 画面例 4
図9
 
 

第7節:まとめ

Versa 、ZTNA、およびSecure Services Edgeソリューションは、トラフィックを最適化したグローバルSD-WANSASE を提供し、DDILや悪条件下を含むあらゆる環境において、ユーザーやIoTデバイスの位置やアプリケーションの場所に関わらず、最高のアプリケーション体験を実現します。Versa は、NSA高保証インターネットプロトコル暗号化(HAIPE)または機密情報対応商用ソリューション(CSfC)ベースのアーキテクチャを活用する衛星通信、海上通信、連邦政府ネットワークに極めて適しています。

Versa