インターネットブレイクアウトとは？

従来の企業内ネットワークでは一旦プロキシサーバを介して外に出ていく構成が一般的だった。

しかし、SaaSの利用が増えるに連れてこの構成ではプロキシやFW, UTM, 回線を圧迫してしまうという問題が起きるようになった。

そこで、特定の通信、たとえばあるSaaSにアクセスするトラフィックだけをプロキシサーバーを経由せずに拠点から直接インターネットに出すことでプロキシや回線の負荷を軽減するという方法が編み出された。 これをインターネットブレイクアウトと呼ぶ。

インターネットブレイクアウトの仕組み

DPI (Deep Packet Inspection)

インターネットに出ていく通信全てをブレイクアウトするのにはセキュリティ面から不安が残る。よって特定のSaaSに対しての通信だけをブレイクアウトしたい。

SaaSを限定するためには流れるパケットがどのサービスによるものなのかが分かる必要がある。このアプリケーション識別を行うための仕組みがDPIである。

Split DNS

拠点から直接インターネットに通信を出すことで、プロキシなどを経由せず最短経路でSaaSのサーバにたどり着くことができる。この利点を最大化するのがSplit DNSである。

SaaSを使用する際、関連するDNSクエリに対する通信を拠点でインターセプトし、名前解決を拠点で行うようにする仕組みである。 もしこうしなければ、DNSクエリがプロキシを経由することでSaaSのアクセス先サーバがデータセンターの近くになってしまう。 海外拠点からのアクセスを国内のプロキシーを介して外にだすような構成になっている時、これはとても非効率的である。

Split DNSを使うことで、拠点近くのSaaSサーバにアクセスすることができる。

QoE (Quality of Experience)

拠点から直接インターネットにアクセスすることが効率とはいえ、インターネット回線が常に安定しているとは限らない。 回線がダウンした時にDCや他の拠点にインターネットへの出口を切り替えることは重要だが、 回線状況が悪化したときにも同様によりパフォーマンスのいい出口に切り替えることでユーザーはSaaSを快適に使用できる(=QoEを保証できる！)。

インターネットブレイクアウトを実現するSD-WAN

上記の機能を実現するとして注目されているのがSD-WANと呼ばれる技術である。

SD-WANに対応したルータと、SD-WANコントローラを用いて回線切替やDPI機能によるトラフィックの振り分けなどを効率的に行うことによって、 企業の海外展開を支えるとして注目されている。

参考

qiita.com

Master's ONE Cloud WAN - NTT PC コミュニケーションズ https://cloudwan.nttpc.co.jp/service/internet_breakout.html