ビジネス&テクノロジー

フォーティネットのセキュアSD-WANとAzure Virtual WANの統合をさらに拡張

投稿者 Ali Bidabadi および Praveen Lokesh | 2020年8月6日

昨年、フォーティネットはMicrosoft Azure Virtual WANとの統合を発表しました。この統合は、データセンターと支社からAzureクラウドへのセキュアな最適経路を実現します。フォーティネットのセキュアSD-WANとAzure Virtual WANの統合は、自動セットアップ、使いやすさ、セキュリティ保護、分散したインフラストラクチャ全体の可視化を兼ね備えた理想的なソリューションです。また、Azureのグローバルトランジットネットワークを介して、支社間接続はもちろん、支社からAzure Virtual WANへの接続をセキュアに自動化します。さらに、ハイブリッドクラウド環境でVPNとExpressRoute接続オプションを使用すれば、動的パス選択機能によってAzureへの最適経路を加速させることが可能です。

今週、Azure Virtual WANにルーティング機能が新たに追加されたことが発表されました。フォーティネットは、この拡張機能との統合を他のベンダーに先駆けて発表し、Azure VNet環境のセキュリティを強化する新たなユースケースに対応しています。特に、FortiGate-VMをセキュアなVNetに導入できるようになり、全方向のトラフィックをセキュリティ保護することが可能になりました。

ルーティングの拡張でセキュリティインスペクションに対応

フォーティネットのFortiGate NGFWは、Azure Virtual WANの拡張されたルーティング機能を活用することで、社内の仮想ネットワークから支社へと伝送されるすべてのトラフィック(支社ネットワークから仮想ネットワークへと伝送されるトラフィックも同様)のインスペクションをFortiGate-VMで実行します。また、東西(VNet間)の全トラフィックのインスペクションを、VNetをAzure Virtual Hubに接続せずに実行できるようになりました。フォーティネットは、これらの拡張機能を統合し、これらの新しい用途を完全に検証した最初のベンダーです。

今回の拡張により、Azure Virtual WANが仮想ハブごとに作成するデフォルトのルートテーブルに加えて、カスタムルートテーブルの作成が可能になっています。作成したルートテーブル1つに、仮想ネットワーク接続を1つ関連付けることができます。仮想ハブへの接続が作成されると、デフォルトのルートテーブルへの関連付けと伝搬が行われます。拡張によって接続とカスタムルートテーブルの関連付けが可能になったため、新たに作成したルートテーブルで定義したルートに基づいてトラフィックを宛先に送信することができます。

ルートは、接続から1つまたは複数のルートテーブルへと動的に伝搬することが可能です。また、仮想ネットワーク接続で静的ルートを設定し、ネクストホップIPを使ったトラフィックステアリングを実行することも可能です。これには、仮想ハブに接続されたスポークVNetでプロビジョニングされたNVA(ネットワーク仮想アプライアンス)を使用できます。

Azure Virtual WANに統合されたサービスVNet

FortiGate NGFW(次世代ファイアウォール)をAzure Virtual Hubに接続されたセキュリティハブVNetに導入することで、VNetと支社間、VNetとインターネット間など、全トラフィックのインスペクションが可能になります。下の図は、今回の拡張が実現するハブ&スポークトポロジを示しています。特に、VNetと支社間(およびVNetとインターネット間)トラフィックが、FortiGate NGFW(NVA)へとステアリングされるしくみに注目してください。

 

Microsoft Azureを保護する動的なクラウドセキュリティ

この設定は、スポークVNetが2つ(Spoke1とSpoke2)、FortiGate-VMをホストするサービスVNet、およびVNetとインターネット間のトラフィックを検査する目的でFortiGate-VMをホストできるオプションのVNet 5で構成されます。2つの支社ネットワークが、IPSecとExpressRouteを介してAzure Virtual WANに接続しています。サービスVNetのFortiGate-VMは、2つのネットワークインタフェースで実装されています。また、4つのVNetはすべて、各リージョンでVirtual WANハブに接続されています。

スポークVNetから支社へと送信されるトラフィックは、すべてFortiGate内部インタフェースを介してルーティングされます。この処理には、Azure Virtual WANでサポートされるカスタムルートテーブルが使用されます。Azure Virtual WANでは、標準でデフォルトのルートテーブルまたは「なし」を使用できます。ルーティングを正しく設定するためには、さらに2つのルートテーブルが必要になります。スポークVNETはRT_V2Bルートテーブルに関連付けられ、FortiGate-VMをホストするサービスVNETはRT_Sharedルートテーブルに関連付けられます。

たとえば、Spoke1のリソースが支社ネットワーク内のサーバーと通信する必要がある場合、仮想ハブは、Spoke1が関連付けられているルートテーブルを検索します。この場合、RT_V2Bルートテーブルがこれに相当し、支社ネットワークの静的ルートでネクストホップが指定されています。FortiGate-VMによるインスペクションが完了したトラフィックは、仮想ハブへと戻されます。今回は、サービスVNet接続がRT_Sharedルートテーブルに関連付けられているため、ハブはこのテーブル内のルートに基づいてルートを決定します。

図で示すように、支社ネットワークへのVPN接続は、RT_Sharedにルートを伝搬しているため、ルートテーブルには支社ネットワークへのルートが含まれています。これにより、hub1はトラフィックを支社内の最終目的地へとルーティングできるようになります。また、図で示すように、インターネットへのトラフィックは、FortiGate-VMをホストする別のVNet(VNet5)にステアリングすることができます。

クラウドの最適経路を提供し、全方向でネットワークセキュリティを実現するFortiGateセキュアSD-WAN

フォーティネットのFortiGateとAzure Virtual WANの統合は、Azureクラウドへのセキュアな自動接続を可能にします。新たに発表されたAzure Virtual WANのルーティング拡張機能によって、支社に導入されたFortiGateセキュアSD-WANは、支社間接続を行い、FortiGate-VMは、全方向(VNetと支社間、VNetとインターネット間、VNet間)トラフィックのインスペクションとセキュリティ保護を実行できます。その結果、上記で説明したように、FortiGateソリューションをハイブリッドクラウド環境に導入することで、接続とセキュリティの幅広いユースケースへの対応が可能になります。

FortiGateセキュアSD-WANがMicrosoft Azureの動的なクラウドセキュリティを実現する方法については、こちらをご覧ください。

FortiGateとAzure Virtual WANによる自動化ソリューションの導入について詳しくは、こちらをご覧ください。

フォーティネットのマルチクラウドソリューションは、クラウドインフラストラクチャ全体の可視化と制御を行うことで、アプリケーションと接続をセキュリティ保護します。詳しくはこちらをご覧ください。

フォーティネットのユーザーコミュニティ(Fuse)にご参加ください。意見交換やフィードバック、フォーティネットの製品およびテクノロジーの詳しい情報を入手いただけま