一部の大規模企業のお客様は、ネットワーク オーケストレーション ソリューションとして、
Cisco Network Services Orchestrator(NSO)をすでに導入しており、NSO の NETCONF/
RESTCONF インターフェイスとインフラストラクチャを使用して、WAN、データセン
ター、キャンパス導入を自動化しています。Cisco NSO を利用することで、Cisco DNA Center で公開されている API を使って SD-Access をオーケストレーションし、利用するこ とができます。
SD-Access をネットワーク オーケストレータと統合する主なメリットは次のとおりです。
• ネットワーク全体での一貫性:現行のネットワークと NFV/SDN ネットワークで同 一のソリューションを使用できます。
• サービス管理の俊敏性:新しいサービスの導入に要する時間を短縮できます。
• 業界トップレベルのマルチベンダー サポート
ファイアウォール
ステートフル ファイアウォールを使用して、SD-Access 環境でポリシー主導の VN 間通信 を実現できます。Cisco ASA と Cisco SD-Access を統合することで、ファイアウォールは、
コンテキスト情報(エンドポイントのグループ分類に関するセキュリティ コンテキストな ど)をすべて利用できるようになります。これにより、ASA ファイアウォールや Firepower Threat Defense ファイアウォールなどのファイアウォールを通過するトラフィッ クのポリシー管理やモニタリングを、Cisco DNA Center のポリシー モデルと一貫した方法 で簡単に行うことができます。またこの統合は、CheckPoint などのシスコ以外のファイア ウォールでも利用できます。
セキュリティ分析
StealthWatch などのセキュリティ分析ソリューションと SD-Access を統合することで、
ネットワーク チームやセキュリティ チームがインシデントにすばやく対応できるようにな ります。SD-Access の一部として Cisco ISE の Rapid Threat Containment 機能を使用するこ とで、侵害されている、またはその可能性があると StealthWatch によって判断されたホス トを簡単に検疫したり、ネットワークでブロックしたりすることができます。
まとめ、次のステップ、
参考資料
まとめ
現在の世界では、あらゆるものがネットワークでつながっています。しかし、ユーザやさ まざまなデバイスの増加に伴い、一般的な手動のプロビジョニング、モニタリング、トラ ブルシューティングでは、ネットワークを管理しきれなくなっています。Cisco SD-Access は、有線とワイヤレスの両方のアクセスに関して、エッジからクラウドに至るまでポリ シーベースの自動化およびアシュアランスを実現することで、これらの課題に対応できる ように一から設計されています。継続的に注意が必要なネットワークと、組織のニーズを すぐに理解してそれに対応できるネットワークの違いはそこにあります。それは、現在も この先も、何千もの手動タスクが必要なシステムと、ネットワークではなくビジネス ニー ズに注力できる自動化されたシステムとの違いです。
Cisco SD-Access を利用すると、組織にさまざまなメリットがあります。
スピードと俊敏性の向上:SD-Access により組織は、ネットワークの新しい革新的な技術を 短期間でシームレスに導入できるため、ビジネス要件に迅速に対応してより大きな成果を 生み出すことができます。
効率化とより詳しいインサイト:SD-Access では、より安全なネットワークを短期間で導 入してネットワーク運用を効率化し、ユーザのネットワーク使用状況や使用中のアプリ ケーションの動作を把握できるため、コストも削減できます。
リスクの低減:SD-Access では、SD-Access ファブリック固有の機能である統合型セキュリ ティを活用することで、ネットワークの攻撃対象エリアを縮小し、ユーザ、デバイス、ア プリケーションのアクセス制御を細かく設定できます。また、安全性と柔軟性を備えたイ ンフラストラクチャを迅速に導入して、維持していくことができます。
上記はすべて、自動化、ポリシー、アシュアランスといった、シスコによって検証済みの
SD-Access ファブリック内の主要要素によって実現されます。いずれも、Cisco DNA
Center から実行することができます。SD-Access が提供する強力ながら柔軟な手法を用い
ることにより、よりシンプルに設計、導入、運用できるエンタープライズ ネットワークを 構築できます。
IT 部門は、SD-Access により、ネットワークの管理や保護にかかる時間を大きく削減し、
本来の業務に注力することができます。また、全体的なエンドユーザ エクスペリエンスも 向上します。
図 SD-Access のメリット
出典:シスコの主要なグローバル企業のお客様における社内 TCO(総所有コスト)分析
次のステップ
ここまでの説明で Cisco SD-Access とその利点はご理解いただけたと思います。では、ネッ トワーク管理者としての次のステップはどのようなものになるでしょうか。さらに、組織 として、ソフトウェア定義型の未来に向けてどのようなことが始められるでしょうか。
モバイル、エンタープライズ IoT、クラウドなどの進化の流れに対応し、俊敏で安全なエン タープライズ ネットワーク アーキテクチャを実現することを考えた場合、従来のエンター プライズ ネットワークにはいくつかの共通した課題があります。SD-Access はそのような 課題に対して価値の高いソリューションを提案できます。SD-Access は既存のネットワー ク上に導入することも、新しいインフラストラクチャ上に導入することもできます。
主な目標と使用例を特定する
既存のネットワークを SD-Access アーキテクチャに移行するためには、初めに、ネット ワーク環境の主な目標または使用例を特定することをお勧めします。今後予測される要件 と、直近で対応が必要な要件の両方を検討します。ネットワーク アーキテクチャの主な目 的が明確になったら、その目的と本書の内容を参考に、組織の使用例および要件と、それ を実現できる SD-Access の機能とをマッピングしていきます。
インフラストラクチャが対応できるかを評価する
SD-Access 導入の目標となる使用例が定義されたら、次に、プロジェクトの目標達成のた
めにネットワーク インフラストラクチャのどの部分を SD-Access アーキテクチャに移行す るかを明確にします。このときに、Cisco DNA Center と Cisco Identity Services Engine
(ISE)の導入も使用例のニーズに基づいて計画します。また、ソリューション導入のニー ズに合うよう、ネットワーク インフラストラクチャのハードウェアとソフトウェアの互換 性を考慮することもお勧めします。
ポリシーの目的の定義
SD-Access への移行では、多くの場合、ビジネス要件に基づいて適切な関係者とともにポリ シーの目的について検討する必要があります。SD-Access のポリシーは、従来の手法とは異 なり、ビジネス機能に基づいてネットワーク全体に適用されるため、このような検討が重 要になります。検討の結果、グループ構造が設計され、組織のエンドポイントのマッピン グに関する主な基準が設定されれば、その後のポリシーの定義と自動化が大いに促進され ます。ポリシーの目的を適切に定義すれば、SD-Access による一元的なポリシー自動化のメ リットの実現に向けて急速に進み始められます。
最初は、組織を大まかなグループ(従業員かパートナーか、など)に分けることから始め ることをお勧めします。その後で、より細かく分類(財務部門か人事部門か、など)しま す。こうして次第に SD-Access のポリシー モデルの運用に慣れることで、スケーラブル グ ループの数を増やしていくことができます。
移行を計画し、実行する
既存の環境に SD-Access を取り入れる場合、従来のネットワークをそのまま保持し、それと 並行して SD-Access 対応のものだけで構成される新しいネットワーク インフラストラクチャ を構築するという方法をとることができます。または、最初にネットワークの特定の領域だ けを移行し、その後、段階的に移行を進める方法もあります。どちらの場合でも、始めは範 囲を限定して導入することをお勧めします。まずは SD-Access のパイロットを実施し、その 運用とテクノロジーに慣れてから、徐々に導入範囲や使用例を拡大していきます。
参考資料
Cisco SD-Access についての詳細情報は、以下のサイトでも提供されています。
https://www.cisco.com/jp/go/sda:SD-Access のすべてのコンポーネントと特長についての 概要および詳細情報(自動化、アシュアランス、サポート対象プラットフォーム)が提供 されています。また、お客様向けの参考資料と事例、SD-Access に関する豊富な最新情報 も提供されています。
www.cisco.com/jp/go/dnacenter:Cisco DNA Center の概要および詳細情報が提供されてい ます。
cs.co/sda_tech_paper:SD-Access ソリューションのホワイトペーパー。このホワイト ペー パーでは、Cisco DNA および SD-Access の主要なコンポーネントとその関係のすべてにつ いて、標準的なレベルの技術的概要が示されています。さらに知識を習得するのに最適な 資料です。
www.cisco.com/jp/go/cvd:SD-Access の設計オプション、運用機能、導入に関する推奨事 項を示した Cisco Validated
Design(CVD)です。実際のネットワーク導入における、SD-Access の設計、運用、利用方法のベストプラクティスを知ることができます。
Cisco Live 365 の主なセッション:
Cisco SD-Access:A Look Under the Hood(詳細説明)— BRKCRS-2810
(https://www.ciscolive.com/global/on-demand-library.html?search=BRKCRS-2810)
Cisco SD-Access:Building the Routed Underlay(ルーテッド アンダーレイの構築)—
BRKCRS-2816(http://www.ciscolive.com/global/on-demand-library.html?search=BRKCRS-2816)
Cisco SD-Access:External Connectivity(外部接続)— BRKCRS-2811
(https://www.ciscolive.com/global/on-demand-library.html?search=BRKCRS-2811)
Cisco SD-Access:Extending Segmentation and Policy into IoT(セグメンテーションとポリ シーを IoT に拡張)— BRKCRS-2817
(http://www.ciscolive.com/global/on-demand-library.html?search=BRKCRS-2817)