データ シートCisco Group Encrypted Transport VPN - WAN 上で暗号化と認証を実現するトンネルレス VPN製品の概要音声アプリケーションやビデオ アプリケーションなど、今日のネットワーク化されたアプリケーションでは、ブランチ間を相互接続するために、QoS(Quality Of Service)に対応した WAN が急速に必要になってきています。これらのアプリケーションは分散処理が基本となるため、スケーラビリティの必要性も増しています。同時に、企業の WAN テクノロジーでは、QoS 対応のブランチ間相互接続とトランスポート セキュリティの間のトレードオフを避けることはできません。ネットワーク セキュリティのリスクが増大し、規制への準拠が不可欠になっている中で、ネットワーク インテリジェンスとデータ プライバシーの両方を実現する 次世代の WAN 暗号化テクノロジーとして、シスコではCisco® Group Encrypted Transport VPN を提供しています。 Cisco Group Encrypted Transport は、トンネルの必要がない、新しいカテゴリの VPN(Virtual Private Network)を可能にします。ポイントツーポイント トンネルを不要にすることで、分散ブランチ ネットワークで QoS、ルーティング、マルチキャストなど、音声とビデオの品質に不可欠なネットワーク インテリジェンス機能を維持したまま、規模を拡張できます。Group Encrypted Transport は、「信頼できる」グループ メンバーという概念に基づく、新しい、標準ベースの IPSec(IP Security)セキュリティ モデルです。信頼できるメンバー ルータは、あらゆるポイントツーポイント IPSec トンネル関係から独立した、共通のセキュリティ方式を使用します。 Group Encrypted Transport ベースのネットワークは、IP および MPLS(Multiprotocol Label Switching; マルチプロトコル ラベル スイッチング)を含む、さまざまな WAN 環境で使用できます。この暗号化テクノロジーを使用した MPLS VPN は、高いスケーラビリティを持ち、管理性に優れ、コスト効果が高く、規制の暗号化要件を満たします。Group Encrypted Transport の持つ柔軟性により、セキュリティに重点を置いている企業では、サービス プロバイダーの WAN サービス上で自社のネットワーク セキュリティを管理したり、暗号化サービスをプロバイダーに委託することができます。Group Encrypted Transport により、部分メッシュまたはフル メッシュの接続が必要な大規模なレイヤ 2 ネットワークまたは MPLS ネットワークのセキュリティ保護が簡素化されます。 主な機能と利点Group Encrypted Transport は、標準ベースのテクノロジーに基づいて構築されており、ネットワーク ファブリック内でルーティングとセキュリティを簡単に統合できます。安全なグループ メンバーは、IETF 標準の Group Domain of Interpretation(GDOI)を通じて管理されます。 セキュリティ ポリシー配布の簡素化GDOI により、トンネル エンドポイント設定の必要性が軽減されます。キー サーバは、登録および認証されたすべてのメンバー ルータにキーとポリシーを配布します(図 1)。 
図 1 GDOI を使用したキーとポリシーの配布 ポリシーを中央の集中管理ポイントから配布し、認証済みのグループ メンバー間で同一のグループ セキュリティ アソシエーションを共有することにより、キーの配布と管理が大幅に簡素化されます。 IP ルーティングの保持Group Encrypted Transport 対応のセキュリティ モデルでは、従来の IPSec オーバーレイではなく、既存のルーティング インフラストラクチャを使用します。データ パケットには元の IP 送信元アドレスと送信先アドレスが保持されます(図 2)。Group Encrypted Transport では、IPSec パケット内に元の IP ヘッダーを保持するため、組織は既存のレイヤ 3 ルーティング情報を利用できます。そのため、マルチキャスト レプリケーションの非効率性に対処でき、ネットワーク パフォーマンスが向上します。 
図 2 IPSec と Group Encrypted Transport の IP ルーティングの比較 また、Group Encrypted Transport では、すべてのサイト間で、中央のハブ サイトを経由しないダイレクトで常時アクティブな通信を実現することにより、音声やビデオなど、遅延によって問題が生じやすいトラフィックについて遅延とジッタを低減できます。さらに、IPSec で暗号化されるネットワークではブロードキャスト トラフィックのレプリケーションが不要なため、IP レイヤ 3 の VPN におけるマルチキャスト トラフィックの負荷が軽減されます。 表 1 に Group Encrypted Transport VPN の主な機能をまとめます。 表 1 主な機能
ハードウェアのサポートIPSec 暗号化のハードウェア アクセラレーションにより、パフォーマンス要件を満たすことができるようになります。IPSec を使用するときは、常に IPSec のハードウェア アクセラレーションを使用することをお勧めします。IPSec アクセラレーションと Group Encrypted Transport フィーチャ セットは、Cisco ISR(Integrated Services Router; サービス統合型ルータ)、Cisco 7200 シリーズ ルータ、および VPN モジュールを備えた Cisco 7301 ルータのオンボード暗号化機能によってサポートされます。シスコ ルータのアクセラレーション サポートについては、表 2 を参照してください。 表 2 シスコによる GET VPN のハードウェア サポート
Cisco Group Encrypted Transport の利点Group Encrypted Transport は、マルチキャスト トラフィックとユニキャスト トラフィックの暗号化および認証によって GDOI を拡張することで、さまざまなアプリケーションにメリットをもたらします。
適用ソリューションプライベート WAN 環境ネットワーク セキュリティのリスクが増大し、規制への準拠が不可欠になっている中で、WAN トランスポート セキュリティの必要性が高まっています。MPLS ネットワークを自社管理している企業組織や、MPLS または プライベート WAN サービスをサービス プロバイダーから購入した企業組織は、Group Encrypted Transport を自社運用して、多くのプライベート WAN の特徴である任意間接続を維持しながら、データのプライバシーを確保できます。これにより、セキュリティ規制に準拠すると同時に、自社とサービス プロバイダーの間でのセキュリティ管理分担という、きわめて重要なバランスを確保することもできます。 公共のインターネット環境企業の IPSec VPN が公共のインターネットを経由する場合、Group Encrypted Transport は、グループ共有キーを使用したコスト効果の高い方法により、管理しやすくスケーラビリティの高いネットワーク メッシュを提供することで、DMVPN(Dynamic Multipoint VPN)および GRE ベースのサイト間 VPN の機能を拡張します。これにより、大規模なネットワーク展開でのキー管理が簡素化されます。 管理Cisco Group Encrypted Transport は、グループ メンバー ルータとキー サーバの両方に対してモニタリングとデバッグの機能を提供するだけでなく、PKI 展開でデバイスの安全なプロビジョニングを行うための Easy Secure Device Deployment をサポートします。今後、Cisco Security Manager もサポートされる予定です。 提供時期表 3 に、Cisco Group Encrypted Transport フィーチャ セットの提供時期に関する情報を示します。 表 3 機能の提供時期
ソフトウェアのダウンロードCisco IOS ソフトウェアは、Cisco Software Center からダウンロードできます。 Cisco IOS ソフトウェア リリース 12.4(11)T Advanced Security イメージ以降には、Cisco Group Encrypted Transport フィーチャ セットが含まれます。 関連情報Cisco Group Encrypted Transport の詳細については、http://www.cisco.com/jp/go/getvpn を参照してください。 |
|||||||||||||||||||||||||||||||||||
 |
Cisco Group Encrypted Transport VPN - WAN 上で暗号化と認証を実現するトンネルレス VPN