SD-WANとセキュアサービスエッジによるDoDと超高度セキュリティの展開

Versa Networks は SD-WAN、SD-Security、SASE テクノロジーのマーケットリーダーであり、世界中に 120 以上のサービスプロバイダパートナーを有しています。米国では、Verizon、Lumen、Comcastが最大のパートナーです。VersaはグローバルSD-WANの導入数が最も多い。Versaのソリューションは、金融、銀行、エネルギー、衛星、海事、小売、医療、その他、あらゆる種類の障害やセキュリティに直面してもユーザーからアプリケーションへの最高のパフォーマンスが重視される業種において、多くのグローバルなミッションクリティカルなネットワークのネットワーキングとセキュリティを担っています。

ホワイトペーパーを読む PDFをダウンロードする.

 
 

要旨

このホワイトペーパーでは、Versa SD-WAN、ZTNA、SASE ソリューションが、悪条件やDDIL(Denied、Disrupted、Intermittent、Limited)条件で運用され、NSAのHAIPE(High Assurance Internet Protocol Encryption)やCSfC(Commercial Solutions for Classified)ベースのアーキテクチャを活用することが多い衛星、海上、連邦政府のネットワークに非常に適していることを説明しています。

第1節:ガートナーはVersaをSD-WANマジック・クアドラント(MQ)の右上に認定した。

ガートナーのMQレポートには、Versaが1位となった2つのサブカテゴリーが含まれている:

  1. 重要な能力
  2. 大規模で複雑なグローバルネットワークガートナーはまた、最もSASE 能力の高い企業に関するレポートも作成している。バーサは、ガートナーのSASE 能力レポートにおいて、ガートナーが特定した15のテクノロジーのうち13を提供し、トップにランクされた。

NSS LabsはVersa SD-WAN、NGFW(次世代ファイアウォール)、NGIPS(次世代侵入防御システム)をテストした。攻撃を阻止する製品の有効性は非常に高く、確保されたMbpsのコストはOEMの中で最も低かった。

Versaは、ネイティブのSD-WAN、SD-Security、マルチクラウドの各機能を融合させ、まとまりのある包括的なSASE およびマルチクラウドソリューションを提供している。

Versaと他のソリューションとの主な違いは以下の通り:

  • SD-WAN、SD-Security、マルチクラウドを単一のプラットフォームに統合。
  • SD-WAN、SD-Security、マルチクラウドを一元管理。
  • 統一されたポリシー管理 - オンプレミス、SASE クラウド、エッジのための1つのソフトウェアスタック(VOS)。
  • マルチ防御システムベースの脅威防御とほぼリアルタイムの修復。
  • ユーザー、グループ、デバイスの姿勢、アプリケーション、コンテンツ、地理的位置、エンティティの信頼性スコア、ソースに関連するセキュリティタグ、その他多くの要因に基づくゼロトラスト・ネットワーク・アクセス。
  • セキュア・プライベート・アクセス、セキュア・ウェブ・ゲートウェイ(SWG)、クラウド・アクセス・セキュリティ・ブローカー・サービス、データ損失防止(DLP)、リモート・ブラウザ隔離(RBI)、ユーザー・エンティティの行動分析、AI/MLに基づくセキュリティ、サンドボックスによるマルウェアの動的分析、次世代統合脅威管理のサポート。
  • 異常検知、トラフィック予測、イベント相関、チャットボット(Verbo)のためのVANI(AIOps)。
  • Versa Traffic Engineered (TELS: Traffic Engineering Link State)SASE バックボーンを使用した最適なトラフィックステアリングとSaaSアクセラレーション。
  • ダイナミックなテナントと仮想ゲートウェイのインスタンス化 - 伸縮性のある自動スケーリングとネットワーク・インテリジェンスにより、リアルタイムのキャパシティ要求に対応します。
  • SASE クライアントとサードパーティルータ用のSD-WAN Lite。
  • シングルパスアーキテクチャ - スケールで比類のないパフォーマンス。
  • 階層的なマルチテナントときめ細かな役割ベースのアクセス制御(RBAC)。
  • 仮想ネットワーク機能(VNF)と物理ネットワーク機能(PNF)の多彩なサービスチェイニング。
  • ビッグデータ分析のサポート。
  • サイバー状況認識(SA)ツールを含む複数のセキュリティ・インテリジェンス・ソースとの統合により、迅速なグローバル配信とリアルタイムの実施を実現。

図2は、Versaがサポートするルーティング、SD-WAN、セキュアサービスエッジ機能の定期チャートを示している。これらの機能を使用して、Versaは顧客に以下のことを可能にする:

  • ユーザーやアプリケーションの場所に関係なく、ユーザーやIoTデバイスに最高のアプリケーション体験を提供できる、セキュアなトラフィックエンジニアリングされたグローバルSD-WANおよびSASE ネットワークを展開する。これは 図1.
  • ユーザー、グループ、デバイスの姿勢、アプリケーション、コンテンツ、地理的位置、エンティティの信頼性スコア、ソースに関連するセキュリティタグ、パケットのレイヤー3からレイヤー7のフィールド、および時刻に基づくゼロトラストネットワークアクセス。
  • マルチ防御システムベースの脅威防御とほぼリアルタイムの修復。
バーサ・セキュア・アクセス・サービス・エッジ・ファブリック
図1
Versa VOS - 市場をリードするSASE (SD-WAN + セキュリティサービスエッジ)機能セット
図2
 

第2節 特徴、用途、差別化要因

IETF 標準ベースのプロトコルを使用して構築: BGP/MPLS VPNとイーサネットVPNに基づき、プライベートSAFI(サブアドレス・ファミリー識別子)を使用して、以下のようなSD-WAN関連情報を伝送する:

  • キーマネージメント
  • 回路の状態とステータスにアクセス
  • NAT関連情報
  • 重要なアプリケーションへのSLAに関する情報

鍵管理と証明書管理

  • IKEを使用せずにIKEの真のエミュレーションを行う。
  • 支店の秘密は電信で送信されることはなく、4分ごとに交代させることができる。
  • 一意な共有秘密は、すべてのブランチのペア間でアルゴリズムによって導き出される。
  • 高度な証明書管理機能。
  • OCSP、CMPv2、SCEP、ACMEのサポート
  • テナント/顧客によって生成された鍵を必要とする配備については、KMIP(Key Management Interoperability Protocol)を使用した外部鍵管理をサポートする。

DDIL(拒否、中断、断続、制限)環境での展開能力

  • 3つのVMイメージ- 完全な非接続環境で動作させるためのイメージの最小セットは3つです。セキュリティ・イメージのすべてのアップデートは、完全に分離された環境でサポートされます。
  • ライセンスはVersa Directorで一元管理。Versa Directorは、ライセンスがロードされる3つのイメージのうちの1つであり、インターネットに接続する必要はありません。
  • Versa Analyticsはそのイメージのひとつだ。オペレーターにセキュリティ、接続性、パフォーマンスの完全な可視性を提供する。
  • すべてのSASE サービス(SD-WAN、SSE)およびマルチクラウドの一元的なプロビジョニング、管理、モニタリング、可視化、およびビッグデータ分析だけでなく、シングルペインの管理
  • 衛星ベースのサービスプロバイダ、海運、海事で最も広く導入されているSD-WANソリューション。ノードあたり最大14のアンダーレイトランスポートドメインをサポート。SATCOM(LEO、MEO、GEO)、プライベートMPLS、LTE/5G、地上ファイバ、ブロードバンドなど複数のアンダーレイに同時に対応可能。

多彩なトラフィック・ステアリング、トラフィック・コンディショニング、高度なTCP最適化

  • パケットのレイヤー3-レイヤー7フィールド、レイヤー7アプリケーション、URLカテゴリ、ユーザー、グループ、デバイスの姿勢、エンティティの信頼性スコア、地理的位置、ソースに関連するセキュリティタグ、時刻、およびその他の要因に基づくトラフィックステアリング

    • フロー毎のトンネルレス。Versaは必要に応じてトンネルレスSD-WANをサポートすることができます。"VersaのトンネルレスSD-WANソリューション"をご参照ください。
    • 暗号化はフロー単位で有効にも無効にもできる。
  • Versaソリューションは、NSAのHAIPE(High Assurance Internet Protocol Encryption)またはCSfC(Commercial Solutions for Classified)ベースのアーキテクチャを活用し、DDILや悪条件が発生する可能性のある衛星、海上、連邦政府のネットワークに非常に適しており、最高のアプリケーション体験を提供します。"Versa SD-WAN for Classified Solution"のセクションを参照してください。
  • トラフィック・ステアリングは、パケット損失、遅延、ジッターなどのエンド・ツー・エンドの動的パス特性の可視性に基づいています。この機能は、より正確で回復力のあるエンドツーエンドのアプリケーションSLAを提供します。他のすべてのベンダーは、直近のネクストホップへのSLAに基づいて最適なパスを選択します。エンドツーエンドのパスメトリクスに基づいてトラフィックを制御できるのはVersaだけです。
  • FEC、レプリケーション、その他の手段を用いたトラフィック・コンディショニング。これらはすべて、SLAが低下すると自動的にトリガーされ、SLAが改善すると停止する。これらの機能は、単に音声とビデオだけでなく、すべてのトラフィック・タイプで利用可能です。
  • BBR、Hybla、SACK、Recent Acknowledgementなどの高度なTCP最適化および輻輳制御アルゴリズムをサポート

包括的なQoS機能Versaソリューションは、非常に包括的なQoS(Layer3-QoS-Policy、AppQoS Policy、Policer、Marking、4Kシェイパーと64,000キューを備えたHQoS)とSD-WANトラフィックステアリング機能をサポートしています。受信したトラフィック内のレイヤー3-レイヤー7フィールド(アプリケーション、URLカテゴリ、デバイス姿勢など)に基づいて、転送クラス(FC)とパケットロス優先度(PLP)がトラフィックフローに関連付けられる。FCとPLPはVOSプラットフォーム内でトラフィックの優先順位付けとスケジューリングを行う。さらに、FC と PLP に基づいて、内部ヘッダーと外部ヘッダーの書き換えとイグレス・シェーピングが行われる。従って、ミッション・トラフィックは、Versaアプライアンス内でも伝送上でも、重要度の低いトラフィックよりも優先されます。

ブラウンフィールドでのネットワーク展開に非常に適している。

  • すべての主要なレイヤー2およびレイヤー3(IPv4およびIPv6)プロトコルをサポート。
  • VRFのIPv4、IPv6、デュアルスタック、アンダーレイトランスポートをサポート。

フルメッシュ、ハブ&スポーク、パーシャルメッシュ、スポーク-ハブ-ハブ-スポーク、ハブ-コントローラー、ハブの後ろにコントローラーなど、複雑なトポロジーをサポート。

非常に豊富なテンプレートインフラ:Versaは、テンプレートの階層構造をサポートする非常に豊富なテンプレートインフラをサポートしています。このテンプレート階層を使用することで、特定のポリシーがより優先されるグローバルポリシーを定義することができます。これにより、全体的な構成管理がシンプルかつ効率的になります。

デバイス・グループは、類似しているが同一ではない構成を持つデバイスの集合体である。デバイス・グループは通常、デバイス・テンプレートと、セキュリティ・サービス・テンプレート、アプリケーション・ステアリング・サービス・テンプレート、QoSサービス・テンプレート、一般サービス・テンプレートなどの異なるタイプのサービス・テンプレートのセットと関連付けられます。デバイス・グループは複数のセキュリティ・サービス・テンプレートと関連付けられ、オペレータが指定した順序で適用されます。さらに、デバイス固有のセキュリティ・サービス・テンプレートもあります。

v4およびv6用CGNATNAPT-44、DNAT-44、ダイナミックNAT-44、ベーシックNAT-44、トワイスベーシックNAT-44、NPT66、NAT64、MAP-E

ゼロ・タッチ・プロビジョニングのための複数のオプション。

複数のVNFをホストするユニバーサルCPE。ホスティングされたVNFと外部の物理PNFをサービスチェーンする。

 
 

セクション3:VersaのトンネルレスSD-WANソリューション

VersaはトンネルレスSD-WANソリューションも提供している。これはネットワークをよりスケーラブルにし、帯域幅を効率化し、パケットの断片化をなくし、セキュリティを向上させる。このトンネルレスソリューションを推進したユースケースの中には、NSAのHAIPE(High Assurance Internet Protocol Encryption)やCSFC(Commercial Solutions for Classified)ベースのアーキテクチャを活用した衛星、海上、連邦政府のネットワークがあります。

VersaはトンネルレスSD-WANソリューションも提供している。これはネットワークをよりスケーラブルにし、帯域幅を効率化し、パケットの断片化をなくし、セキュリティを向上させる。このトンネルレスソリューションを推進したユースケースの中には、NSAのHAIPE(High Assurance Internet Protocol Encryption)やCSFC(Commercial Solutions for Classified)ベースのアーキテクチャを活用した衛星、海上、連邦政府のネットワークがあります。

すべてのトンネルレスソリューションの場合、内部パケットは変更可能なフィールドと 変更不可能なフィールドに分割される。図3は、IPヘッダー、TCPヘッダー、およびUDPヘッダーのすべての共通 フィールドを示している。IPヘッダー、TCPヘッダー、UDPヘッダー内の不変フィールドのサブセットは、5タプルフローの間不変であり、青色で示されている。すべてのソリューションは、クッキー、ラベル、フローID、または(送信元-ポート、宛先-ポート)のペアを何らかの形で不変フィールドに関連付ける。

このクッキー/ラベル/フローID/ポートペアは、送信側のSD-WAN CPE(SDWAN-CPE1)から受信側のSD-WAN CPE(SDWAN-CPE2)へ、ペイロードパケット全体とともに少なくとも1回は通信される。リモートのSDWAN-CPE(例えば、SDWAN-CPE2)が送信者(例えば、SDWAN-CPE1)のマッピングを学習して送信者に伝えると、送信者(SDWAN-CPE1)はSDWAN-ヘッダーにフローIDをエンコードし、SDWAN-CPE1からSDWAN-CPE2に送信されるトラフィック内のペイロードパケットのすべての不変フィールドをスキップします。Versa Tunnel-lessソリューションでは、送信側のSD-WAN CPEは、相手側のSD-WAN CPEにトラフィックを送信する際に、ペイロードパケットの他の多くのIP、TCP、UDPフィールドをスキップすることに注意してください。これらについては、このホワイトペーパーでは説明しません。

不変のヘッダー・フィールド
不変のヘッダー・フィールド
図3

クライアント5(C5)がSD-WAN CPE-1とSD-WAN CPE-2を介してサーバー7(S7)と通信している。

  1. Step-1はClient5からServer7へのパケットを示し、Payload1はC5からS7へ。
  2. 新しい5タプルフローのこのパケットを受信すると、SD-WAN CPE-1はパケットを検証し、C5からS7セッションを作成し、このフローにFlowId51を選択し、すべての豊富なレイヤ3-レイヤ7サービス(ZTNA、SD-WAN、UTM、CASB、SWG、HQoSなど)を実行します。すべてのサービスに関連する情報がVersa Analyticsに送信される。
  3. 次に、ステップ-3に示すように、CPE1は、C5からS7に受信したパケットを暗号化し、外側のUDPヘッダにそのローカルフローID(CPE1-to-CPE2 FlowId51)をエンコードし、このパケットが属するアプリケーションに最適なアンダーレイパスを介してSD-WAN CPE2にパケットを送信する。
  4. このパケットをCPE-1から新しい5タプルフローとして受信すると、SD-WAN CPE-2はセッションを作成し、CPE1から受信したFlowId51を保存して今後のパケットに使用し、パケットを復号化して検証し、このフローに独自のFlowId22を割り当て、すべての豊富なレイヤ3-レイヤ7サービス(ZTNA、SD-WAN、UTM、CASB、SWG、HQoSなど)を実行します。すべてのサービスに関連する情報がVersa Analyticsに送信される。これはステップ4に示されている。
  5. CPE2はクライアント5からの復号化されたパケットをサーバー7に転送する。これをステップ5に示す。
  6. ステップ6は、Server7からClient5へのPayload2を含む応答を示す。
  7. このS7からC5へのパケットを受信すると、SD-WAN CPE-2はこのパケットを検証し、すべての豊富なレイヤ3-レイヤ7サービス(ZTNA、SD-WAN、UTM、CASB、SWG、HQoSなど)を実行し、S7からC5から受信したパケットを暗号化し、そのローカルフローID(CPE2-to-CPE1 FlowId22)を外側のUDPヘッダにエンコードし、このパケットが属するアプリケーションに最適なアンダーレイパスに沿ってSD-WAN CPE1にパケットを送信します。また、SD-WAN CPE2は、CPE1がこのフローに割り当てたFlowId51を学習したことをSD-WAN CPE1に通知します。これはステップ7に示されている。
  1. ステップ8で、SD-WAN CPE1は、CPE2がそのFlowId51について学習し、FlowId51でエンコードされたパケットを受信する準備ができているという事実でセッション状態を更新する。
  2. 復号化されたパケットに必要なサービスをすべて実行した後、CPE1はServer7からClient5へPayload2を含むパケットを転送する。これをステップ9に示す。
  3. Client5からServier7へのPayload3を持つパケットを受信した後(ステップ10)、SD-WAN CPE1はすべてのサービスを検証し、実行する。次に、Client5からServer7へのPayload3のパケットの変更可能なフィールドのみを持つ新しいペイロードを作成する。このペイロードを暗号化し、外側のUDPヘッダーにローカルフローID(CPE1-to-CPE2 FlowId51)をエンコードし、このパケットが属するアプリケーションに最適なアンダーレイパスでSD-WAN CPE2にパケットを送信します。SD-WAN CPE1はまた、CPE2がこのフローに割り当てたFlowId22を学習したことをSD-WAN CPE2に通知します。これはステップ11に示されている。
  4. ステップ12で、SD-WAN CPE2は、CPE1がそのFlowId22について学習し、FlowId22でエンコードされたパケットを受信する準備ができているという事実でセッション状態を更新する。
  5. 復号化されたパケットに必要なサービスをすべて実行した後、CPE2はクライアント5からサーバー7へ、ペイロード3を含むパケットを転送する。これをステップ13に示す。
  6. Server7からClient5へのPayload4のパケットを受信した後(ステップ14)、SD-WAN CPE2はすべてのサービスを検証し、実行する。次に、Server7からClient5へのPayload4付きパケットの変更可能なフィールドのみを持つ新しいペイロードを作成する。このペイロードを暗号化し、外側のUDPヘッダーにローカルフローID(CPE2-to-CPE1 FlowId22)をエンコードし、このパケットが属するアプリケーションに最適なアンダーレイパスに沿ってSD-WAN CPE1にパケットを送信する。これはステップ15に示されている。
  7. 復号化されたパケットに必要なサービスをすべて実行した後、CPE1はServer7からClient5にPayload4のパケットを転送する。これをステップ16に示す。
パケットフロー
SD-WANのパケットフロー
図4

Versaのトンネルレスソリューションでは、イングレスのSD-WANノードからピアのSD-WANノードへの最初のパケット、またはその逆のパケットは完全な情報を持ち、どちらの方向からの後続のパケットもペイロードと共にメタデータのみを運ぶ。

市場にある既存のトンネルレス技術と比較して、Versaの革新的なトンネルレス・ソリューションには大きな利点があります。

  • Versaソリューションでは、SD-WANアンダーレイ内で "4790 "または "4500 "という単一のポートを開くだけでよい。
  • Versa Tunnel-lessソリューションは、受信パケットのシーケンス番号を無効にしたり、TCP SYNパケットにメタデータを追加したりしない。その結果、他のソリューションとは異なり、TCPパケットをUDPパケットに変換する必要はない。
  • Versa Orchestratorは非常に豊富なテンプレートインフラストラクチャをサポートしており、デバイスのグループを同一でなくても同様のコンフィギュレーションで一元的に構成することができます。その結果、テナント、サービス、セキュリティポリシーに関する情報をメタデータの一部として持ち運ぶ必要はありません。
  • Versaトンネルレス・ソリューションは、アンダーレイ・トランスポート・ネットワークにNATデバイスやファイアウォールが存在しても影響を受けない。Versaソリューションは個々のユーザーセッションにキープアライブパケットを必要としないため、NATセッションが失効することはありません。
  • バーサブランチ(VOS)は、コネクティビティ障害管理/Y.1731(CFM: IEEE 802.1ag)の変種を使用して、直接通信する必要がある他のブランチへの可能なパスをすべて監視します。パスは、あるブランチのトランスポートアドレスから別のブランチのトランスポートアドレスによって定義される。VOS はこの CFM の変種を使用して、様々なアクセス回路を介した他の SD-WAN サイトへの(遅延、ジッター、パケットロス、往復遅延)情報のデータベースを構築する。この SLA 測定は(トランスポート分類子、トランスポートパス)ごとに行われ、トランスポート分類子は DSCP と MPLS EXP である。アンダーレイ・トランスポート・パスが提供するSLAは主に(トランスポート・クラシファイア、トランスポート・パス)に依存するため、Versaソリューションは個々のユーザー・セッションに対してエンド・ツー・エンドのアクティブSLA測定を行うよりもはるかにスケーラブルです。Versaは個々のセッションのパッシブ・モニタリングをサポートしています。
  • Versaの暗号化は、IETF準拠のリプレイ保護、初期化ベクトル、HMAC、そしてあらゆる暗号をサポートしています。Versa SD-WAN CPEは、パケットのリプレイを検出するためのタイムベースHMAC(SD-WAN CPEが正確に同期されたクロックを持つ必要がある)を必要としません。
  • トンネリングは、2つのサイト間のフローごとに有効にも無効にもできる。
  • 暗号化はフロー単位で有効にも無効にもできる。
  • Versaソリューションは、アンダーレイ・トランスポート・パスの非常に効率的な切り替えと、SD-WAN CPEのトランスポート・アドレスの変更をサポートする。
  • Versaソリューションは、長年にわたってミッションクリティカルなネットワークを支えてきたプロトコルとメカニズムに基づいている。Versaソリューションはあらゆるブラウンフィールドのネットワークに適応し、SD-WANへの段階的な移行を可能にします。
  • このトンネルレスSD-WANソリューションは、Layer7のアプリケーション、ユーザー、グループ、URLカテゴリ、デバイスの姿勢、エンティティの信頼性スコアなどに基づくアプリケーションステアリング、FEC、レプリケーション、ストリッピングを使用した多用途のトラフィックコンディショニング機能、BBR、Hybla、RACK、Tail-Loss Probes、SACKなどの高度なTCP輻輳制御アルゴリズム、SD-WAN Traffic Engineering Link Stateなど、Versaの最高かつ最も包括的なSD-WAN機能セットと連携して機能します。
 
 

セクション4:他のトンネルレスSD-WANソリューションとの相互運用性

SD-WAN はトランスポートにとらわれず、アプリケーションを認識し、集中管理とプロビジョニングをサポートする仮想プライベートネットワークを構築する。SD-WAN ソリューションがブラウンフィールドのネットワークに簡単に挿入でき、既存の MPLS または DMVPN ネットワークから SD-WAN ネットワークに徐々に移行できることが不可欠です。

上で説明したように、すべてのトンネルレスソリューションの場合、内部パケットはミュータブル フィールドとイミュータブルフィールドに分割される。すべてのソリューションが、クッキー、ラベル、フロー ID、または(ソース-ポート、デスティネーション-ポート)ペアの何らかの形式を、不変フィールドに関連付ける。このクッキー/ラベル/フローID/ポートペアは、送信側のSD-WAN CPE(SDWAN-CPE1)から受信側のSD-WAN CPE(SDWAN-CPE2)へ、ペイロードパケット全体と少なくとも一度は通信される。リモートのSDWAN-CPE(例えば、SDWAN-CPE2)が送信者(例えば、SDWAN-CPE1)のマッピングを学習して送信者に伝えると、送信者(SDWAN-CPE1)はSDWAN-ヘッダーにそのフローIDをエンコードし、SDWAN-CPE1からSDWAN-CPE2に送信されるトラフィックのペイロードパケットのすべての不変フィールドをスキップします。

様々なベンダーが不変データをエンコードするために選択した様々な方法(フロー ID、外部ソースポートと外部デスティネーションポートの組み合わせ)のために、それらは異なるベンダーの SDWAN ネットワークの境界(NNI: Network to Network Interface)でしか相互運用できない。キー管理、パケットのエンコーディング、暗号化/復号化、コントロールプレーン(経路の伝播)、管理プレーン(設定と監視)、可視性プレーン(ビッグデータ分析)が全てのベンダーで大きく異なるからだ。

2つのベンダーは、E-BGP、IKEベースのIPsec、TWAMPなどのIETFベースのプロトコルを使って相互運用できる。また、2つのベンダーは互いのデータプレーン形式をデコードおよびエンコードする機能を追加することもできます。

 
 

セクション5:Versa SD-WAN for Classifiedソリューション

図5は、NSA高保証インターネットプロトコル暗号化(HAIPE)または機密扱い商用ソリューション(CSfC)ベースのアーキテクチャを活用する連邦政府のネットワークにおいて、Versaソリューションがどのように包括的なSD-WANおよびZTNA機能を提供するかを説明している。このような展開には通常複数のレイヤーがあり、複数の SATCOM、MPLS、セルラー (4G/5G)、およびその他のアンダーレイで構成されるブラックネットワークがレッドネットワークへのトランスポートを提供します。

Versa SD-WAN クラシファイド・ソリューション
図5
  1. CPE 2-1とCPE 2-5は、アモルファスでユビキタスなブラック・ファブリックの端にあるVersa SD-WAN CPEである。これらの CPE は包括的な SD-WAN と SD-Security の機能を提供します。示されている例では、ブラックファブリックには SatCom-Meo、SatCom-Geo、およびプライベート MPLS の 3 つのアンダーレイネットワークがあります。
  2. CPE 1-1とCPE 1-5は、レッドサイト-1とレッドサイト-2の端にあるVersa SD-WAN CPEです。これらのSD-WAN CPEは、包括的なSD-WANおよびSD-セキュリティ機能も提供します。これらの CPE は、最高機密データまたはミッションクリティカルでないデータのいずれかを受信できます。レッドサイトを出るトラフィックは通常 HAIPE によって暗号化される。
  3. の左側、red-site-1にあるアドレス10.1.12.100のノートパソコン。 図5 は、図のステップ-1で示されるように、red-site-2に位置するIPアドレス10.50.22.100を持つエンドポイントに最高機密のミッションクリティカルな情報を通信したい。ユーザー設定に基づき、SD-WAN CPE-1-1はこのトラフィックを受信すると次のことを行う。
    • アプリケーション、URLカテゴリ、ユーザー、グループ、デバイスの姿勢、エンティティの信頼スコア、セキュリティグループタグ、および受信したパケットのレイヤー3~7のフィールド(分類情報)に基づいてパケットを分類する
    • SD-WAN CPE-1-1のWANインターフェース(IPアドレス192.168.11.101)からSD-WAN CPE-1-1に出るパケットのDiffServコードポイントは、分類情報を使用するマッピングテーブルか、受信したパケットのDSCPをコピーするか、またはその2つの組み合わせによって決定される。このように、ミッションクリティカルなフローとミッションクリティカルでないフローは、適切なDSCPと関連付けられる。これをステップ2で示す。
    • このフローにフローIDを関連付ける。
    • このフローを暗号化するかしないか。
    • 次に、さまざまなアンダーレイパスが提供するアプリケーションのタイプとSLAを考慮したSD-WANトラフィックステアリングポリシーに基づいて、最適なアンダーレイトランスポートが選択されます。
    • その後、パケットは「スケジューリングとシェーピング」を経て、最適なアンダーレイに属する次のホップに転送される。これは図のステップ3で示されている。
  4. このトラフィックを受信すると、HAIPE1はこのトラフィックを暗号化することを選択できる。HAIPE1は受信したパケットのDSCPを、HAIPE1が追加する外部ヘッダにコピーするように設定できる。これをステップ4に示す。次にステップ5に示すように、HAIPE1はパケットを外部ヘッダでカプセル化し、CPE2-1に転送する。
  5. このパケットを受信すると、ブラックネットワークのエッジにあるSD-WAN CPE 2-1は以下を実行する:
    • 適切なフローIDを関連付ける
  • のステップ6に示すように 図5CPE 2-1は、設定されたSD-WAN Traffic Steering Policyルールに基づいて適切なアンダーレイを決定する。
    • Source-IP(送信元HAIPEのIPアドレス172.16.1.1)、Destination-IPアドレス(宛先HAIPEのIPアドレス172.16.5.5)、受信パケットのDSCP。
    • このクラスのトラフィックに対して、様々なアンダーレイネットワークのプリファレンスを設定。
    • さまざまなアンダーレイ・ネットワーク(この例ではMPLS、Satcom-Meo、SatCom-Geo)で観測されるリアルタイムのSLA。
  • アンダーレイトランスポートが提供するSLAに応じて、フォワードエラー訂正とパケットレプリケーションを組み合わせてトラフィックコンディショニングを行う。
  • 必要に応じてパケットストリップを行う。
  • 暗号化されていないTCPトラフィックを受信した場合、BBRやHyblaのような高度な輻輳制御アルゴリズムを適用する。
  • その後、パケットは「スケジューリングとシェーピング」を経て、最適なアンダーレイを使用してリモートのSD-WAN CPE 2-5に転送される。これは図のステップ 7 で示されている。
  1. ブラックネットワークのエッジにある SD-WAN CPE 2-5 は以下のことを行う:
    • SD-WANヘッダーを削除する。
    • HAIPE1 から HAIPE2 のパケットを復元する。
    • FECとパケットレプリケーションが有効になっている場合、必要なフロー処理と修復を実行する。
    • 図5のステップ8に示すように、トラフィックをHAIPE2に向けてルーティングします。
  2. ステップ9に示すように、HAIPE2はトラフィックを復号化し、赤サイト-2のエッジにあるSD-WAN CPE 1-5に向けてトラフィックを転送する。
  3. 赤いサイト2のエッジにあるSD-WAN CPE 1-5は次のことを行う:
    • SD-WANヘッダーを取り外します。
    • Endpoint-1からEndpoint-2へのパケットの復元
    • FECとパケットレプリケーションが有効になっている場合は、必要なフロー処理と修復を実行する。
    • 図5のstep-10に示すように、トラフィックをEndpoint-2に向けてルーティングする。

ミッションクリティカルでないパケット、たとえばレッドサイト-1の192.168.2.2からレッドサイト-2の192.168.6.6へのパケットも同様に、トラフィックステアリングとトラフィックコンディショニングの設定に基づいて適切にステアリングされる。

 
 

セクション6:バーサ・リアルタイム・モニターとバーサ・アナリティクス

Versaリアルタイムモニターは、各Versaアプライアンスに設定されているすべてのネットワーキング、SD-WAN、セキュリティサービスに関するリアルタイム情報を提供します。また、VOSインスタンスの健全性(CPU、メモリ、各インターフェイスの帯域幅、負荷)に関する情報も提供します。

Versa Analyticsは、ログやイベントを分析し、強力なレポート、分析、フィードバックをVersa Directorに提供するビッグデータソリューションです。HP ArcSight、Splunk、IBM QRadar、LogRhythm、Elastic SearchなどのサードパーティのデータレポートやSIEM製品とネイティブに統合します。ブランチサイトのVOS™は、リンク、ネットワークパス、セキュリティイベント、サービス、アプリケーションなどに関連するVersa Analyticsモニタリング情報を継続的に提供する。さらに、次世代ファイアウォール、IDS/IPS、URLフィルタリング、CASB、SWG、DLP、RBI、UEBA、DNSプロキシ、その他のモジュールなど、VOS™上のすべてのサービスは、Versa Analyticsプラットフォームによって消費されるフローレベルおよび集約ログメッセージを生成します。

これらの情報はすべて、容量計画やセキュリティ・フォレンジックなどの機能に活用できる。図6図7 、図8、および図9は、Versa Analyticsを使用して利用可能な情報のいくつかの例を示しています。

Versa AnalyticsはこれらのログをKAFKAバス経由でVersa UEBAに送信します。Versa UEBAは、ユーザー、ラップトップ、電話、IoTデバイスなど、すべてのエンティティによる異常なイベントを追跡し、フラグを立てることができます。ユーザーやIoTデバイスが異常な動作を示すと、そのエンティティの信頼性スコア(ECS)が低下します。このECSは、セキュリティ・アクセス・コントロール・ポリシーやトラフィック・モニタリング・ポリシーなど、さまざまな種類のポリシーで使用される。エンティティのECSがデグレードすると、Versaメッセージサービスを使用してすべてのサブスクライバ(Versaクラウドゲートウェイなど)に公開されます。Versaクラウドゲートウェイは、ECSがデグレードした場合、リアルタイムの修復を実施することができます。

Versa Analytics画面例1
図6
バーサアナリティクス画面例2
図7
バーサアナリティクス画面例3
図8
Versa Analytics画面例4
図9
 
 

第7節:まとめ

Versa SD-WAN、ZTNA、セキュアサービスエッジソリューションは、セキュアなトラフィック設計のグローバルSD-WANおよびSASE ネットワークを提供し、DDILや悪条件下など、ユーザーやアプリケーションの場所に関係なく、ユーザーやIoTデバイスに最高のアプリケーション体験を提供します。Versaソリューションは、NSAのHAIPE(High Assurance Internet Protocol Encryption)やCSfC(Commercial Solutions for Classified)ベースのアーキテクチャを活用する衛星、海上、連邦政府のネットワークに非常に適しています。

バーサの概要