Fortinet セキュア SD-WAN MVE の構築の計画
このトピックでは、プロビジョニング プロセスの概要と、 Megaport Virtual Edge (MVE) 向けの構築に関する考慮事項について説明します。
| 利用者が提供 | Megaport が提供 |
|---|---|
| ブランチからのインターネット接続 | 仮想SD-WAN機器をホストするプラットフォーム |
| SD-WANベンダーのブランチでの有効化 | ブランチからMegaportネットワーク上の任意の宛先への完全な接続と、他のMegaport製品・サービスとの相互運用。 |
| ブランチに設置された顧客構内設備 (CPE) | Megaport Internetインターネット経由で MVE とブランチの CPE 間のトンネルを終端する分散型サービス拒否 (DDoS) を利用した接続。 |
| Megaport SDNで使用するSD-WANソフトウェアライセンス | Megaportエコシステムへのアクセス |
構築の考慮事項
このセクションでは、MVEの展開オプションと機能の概要を説明します。
FortinetのセキュアSD-WANは、他の多くのSD-WANベンダーと同様に、仮想FortiGate機器または物理FortiGate機器を使用します。ただし、Fortinetでは、いくつかの異なる用途に合わせて機器を構成することができます。例えば、Fortinetの機器を次の用途に設定することができます。
-
厳密に、リモートオフィス向けの次世代ファイアウォール(NGFW)として、ローカルでの設定とローカルでのロギングのみを備える。
-
セントラルロギングを行うセントラルマネジメントとして、またはセントラルロギングを行わないセントラルマネジメントとして。
-
従来のSD-WAN方式のオーバーレイネットワーク内で。
詳細については、Fortinet ドキュメンテーション ライブラリを参照してください。
Fortinet セキュア SD-WAN の特徴
FortiGate-VM は、NGFW と SD-WAN の両サービスを 1 つの仮想マシンで実現します。FortiGate-VM を MVE 上でホストすることにより、エッジからクラウドへのネットワーク接続を最適化するだけでなく、Megaport バックボーン セグメント全体に高度なセキュリティ サービスやポリシーを適用します。
Megaport の NaaS プラットフォームに FortiGate-VM を組み込むことで、エッジとクラウドのネットワーク ファブリック間に以下のような中核となるセキュア アクセス サービス エッジ (SASE) 要素を拡張できます。
-
ステートフル ファイアウォール ポリシー、ネットワーク アドレス変換 (NAT)、侵入防御サービス、Secure Sockets Layer (SSL) インスペクション、脅威インテリジェンスを含む次世代ファイアウォール (NGFW)。
-
Secure Web Gateway (SWG) サービスは、Web コンテンツ フィルタリングとマルウェア スキャンにより、悪意のあるインターネット接続先からデバイスを保護します。
-
ゼロトラスト ネットワーク アクセス (ZTNA) は、アプリケーションの各セッションの前にユーザーとデバイスを検証し、そのアプリケーションにアクセスするための組織のポリシーを満たしていることを確認することで、アプリケーションへのアクセスを制御するものです。
FortiGate-VM は、FortiClient エンドポイント セキュリティ エージェントを使用した Fortinet SASE ソリューションとのリモート ユーザー統合もサポートしています。FortiClient を使用すると、VPN (SSL または IPsec) または ZTNA トンネルのいずれかを介して、デバイスをセキュリティ ファブリックに安全に接続することができます。
FortiSASE ソリューションでは、FortiGate と FortiCloud の両サービスを融合した設計で使用することも可能です。例えば、インターネットと一部の SaaS アプリケーションは、FortiCloud を通じて SWG と Cloud Acess Security Broker (CASB) の両方を使用して保護し、プライベート Megaport 接続は FortiGate セキュリティ サービスを使用して保護することが可能です。
注意
Fortinet のファイアウォールを構築済みの場合は、それを MVE に接続することで、本社や支店がプライベートな相互接続を介してクラウド サービスにアクセスできるようになります。
これらの機能の詳細については、次のサイトにアクセスしてご覧ください。
SD-WAN ベンダー
MVE は Fortinet の SD-WAN と統合されており、Fortinet の FortiManager コンソールを使ってプライベート オーバーレイ ネットワークを構築します。
その他の SD-WAN プロバイダーには、Aruba SD-WAN、Cisco SD-WAN、Versa Secure SD-WAN、VMware SD-WAN などがあります。
MVE ロケーション
MVE に接続できるグローバルなロケーションのリストについては、「Megaport Virtual Edge のロケーション」を参照してください。
MVE インスタンスのサイジング
インスタンスサイズは、何個の同時接続をサポートできるかなど、MVEの容量を決定します。MVE のインスタンスはこれらのサイズに集約されています。
| パッケージ サイズ | vCPU | DRAM | ストレージ | Megaport Internet 速度 * |
|---|---|---|---|---|
| MVE 2/8 | 2 | 8 GB | 8 GB | 20 Mbps から 10 Gbps まで調整可能 |
| MVE 4/16 | 4 | 16 GB | 8 GB | 20 Mbps から 10 Gbps まで調整可能 |
| MVE 8/32 | 8 | 32 GB | 8 GB | 20 Mbps から 10 Gbps まで調整可能 |
| MVE 12/48 | 12 | 48 GB | 8 GB | 20 Mbps から 10 Gbps まで調整可能 |
* Megaport Internet アクセスは対称的、冗長性、多様性、DDoS スクラビング保護が組み込まれています。Megaport Internet アクセスは、MVE への Megaport Internet 接続を通じて調整可能です。
これらの性能と容量の指標は推定値であり、ご使用時の速度は異なります。MVEのインスタンスサイズを選択する際には、以下の項目を考慮してください。
-
ネットワークのデータストリームの負荷が増加すると、性能が低下します。例えば、IPsecによるセキュアトンネルの確立、トラフィックパスステアリングの追加、ディープパケットインスペクション(DPI)の使用などは、最大スループット速度に影響を与えます。
-
ネットワークを拡張するための今後の計画
将来的にMVEの容量が必要になった場合どうするか
いくつかの選択肢があります。
-
別の MVE インスタンスをプロビジョニングし、SD-WAN オーバーレイネットワークに追加して、2 つの MVE にワークロードを分割することができます。
-
より大きな MVE インスタンスをプロビジョニングして SD-WAN オーバーレイ ネットワークに追加し、古い MVE から新しい大きな MVE に接続を移行してから、古い MVE を停止することができます。
仮想マシンを解体することなく、いつでも Megaport Internet 帯域幅を調整できます。
セキュリティ
MVE は Megaport SDN 上のどのエンドポイントやサービス プロバイダーに対しても、インターネットに接続されたブランチ ロケーション間で容量を確実に提供します。CSP がホストするパートナーの SD-WAN プロダクトのインスタンスは、重要なトラフィックを Megaport SDN でルーティングし、インターネットへの依存度を低減します。トラフィックは暗号化されたままMegaportSDNとMVEの間を移動し、その間ご使用のポリシーコントロールが有効です。
MVEの各サブスクリプションには、追加料金なしで分散型サービス拒否(DDoS)攻撃対策が含まれています。
Fortinet セキュア SD-WAN には、包括的なセキュリティ機能であるセキュア アクセス サービス エッジ (SASE) へのアクセスが含まれています。MVE 上の Fortinet は、SASE と SD-WAN のサービスをネイティブにサポートします。詳細については、「SASE を使用したネットワークの保護」をご覧ください。
ライセンス
MVE で使用する Fortinet (FortiGate) SD-WAN のライセンスはお客様がご用意ください。Megaportネットワーク上に作成されたSD-WANエンドポイントに適切なライセンスを取得することはお客様の責任です。
VLAN タギング
Megaport では、Q-in-Q を使用して、ホスト ハードウェア システム上の VXC と MVE を区別しています。テナント MVE は、インターネット側のリンクではタグなしのトラフィックを受信し、Megaport ネットワーク上の他の宛先 (CSP オンランプや他の MVE など) へはシングル タグの 802.1Q トラフィックを受信します。
vNIC
各 MVE は、最大 5 つの vNIC を持つことができます。MVE はデフォルトで 1 つの vNIC で作成されます。最大 4 つまで追加でき、合計 5 つまで持つことができます。
MVE の vNIC の数を指定する前に、次のことを行います。
-
MVE が注文された後、vNIC の数を変更することはできません。MVE を作成するときに指定する vNIC の数を事前に決定します。
-
vNIC を追加しても機能に影響がないことを確認するには、サービス プロバイダーに相談してください。
注意
MVE の注文後に vNIC の数を変更する必要がある場合は、MVE をキャンセルして再注文する必要があります。